Kai įmonė patiria kibernetinę ataką, pirmoji mintis – kiek prašo išpirkos. 10 000 eurų? 100 000? Pusė milijono?
Bet išpirka – jei apskritai mokama – dažnai sudaro mažiausią nuostolių dalį. Tikroji sąskaita ateina vėliau, dalimis, ir galutinė suma pribloškia net tuos, kurie manė esą pasiruošę.
Pirmosios 24 valandos: chaosas
Pirmadienis, 7:32 ryto. Darbuotojai negali prisijungti. Serveriai nepasiekiami. Ekranuose – pranešimas, kad duomenys užšifruoti.
Nuo šios akimirkos laikrodis pradeda skaičiuoti pinigus.
Kiekviena valanda, kai verslas stovi, kainuoja. Gamykla negamina. Parduotuvė neparduoda. Logistika nejuda. Vadybininkai negali pasiekti klientų duomenų, buhalterija – išrašyti sąskaitų.
Vidutinė Europos įmonė prastovos metu praranda apie 5 000–25 000 eurų per valandą, priklausomai nuo sektoriaus. Pirmos paros nuostoliai – nuo 50 000 iki 250 000 eurų. Vien dėl to, kad niekas nedirba.
Savaitė: gaisro gesinimas
IT komanda – jei ji yra – dirba be poilsio. Jei jos nėra, skambinama visiems, kas gali padėti. Incidentų valdymo specialistai atvyksta. Jų valandiniai įkainiai prasideda nuo 150 eurų, sudėtingais atvejais siekia 500.
Reikia nustatyti, kas įvyko. Kaip įsibrovė. Ką palietė. Ar duomenys pavogti, ar tik užšifruoti. Tai forensic analizė – ji užtrunka dienas ir kainuoja tūkstančius.
Profesionali serverio priežiūra būtų leidusi aptikti įsibrovimą anksčiau arba visai užkirsti kelią. Dabar – brangi pamoka.
Lygiagrečiai vyksta komunikacija: darbuotojams, klientams, partneriams. Reikia pranešti, kas nutiko, nemeluojant ir nekeliant panikos. Krizių komunikacijos konsultantai – dar viena sąskaitos eilutė.
Mėnuo: atstatymas
Sistemos atstatytos iš atsarginių kopijų – jei jos buvo ir jei veikia. Jei ne – duomenys prarandami arba atkuriami rankiniu būdu, kas užtrunka savaites.
Nauja infrastruktūra: serveriai, programinė įranga, licencijos. Net jei senoji technika fiziškai nesugadinta, ja nebegalima pasitikėti. Gali būti palikta „backdoor” – slaptų durų kitai atakai.
Darbuotojai dirba viršvalandžius, gena atsilikimą. Klientų užsakymai vėluoja. Kai kurie klientai nebelaukia – išeina pas konkurentus.
Trys mėnesiai: baudos ir ieškiniai
Jei nutekėjo asmens duomenys, BDAR reikalauja pranešti per 72 valandas. Paskui – tyrimas, aiškinimaisi su Valstybine duomenų apsaugos inspekcija.
Baudos pagal BDAR gali siekti iki 20 milijonų eurų arba 4% metinės apyvartos – kas didesnė. Net mažesnės baudos dažnai matuojamos šimtais tūkstančių.
Paskui ateina ieškiniai. Klientai, kurių duomenys nutekėjo. Partneriai, kurie patyrė nuostolių dėl jūsų prastovos. Kiekvienas ieškinys – advokatų valandos, teismo išlaidos, galimos kompensacijos.
Metai: reputacija
Tai sunkiausiai apskaičiuojama, bet dažnai didžiausia kaina.
Google paieškoje jūsų įmonės pavadinimas dabar asocijuojasi su „duomenų nutekėjimas”. Potencialūs klientai tai mato. Partneriai prašo papildomų garantijų. Investuotojai abejoja.
Tyrimai rodo, kad įmonės, patyrusios viešą duomenų pažeidimą, vidutiniškai praranda 3–5% klientų. Skamba nedaug – kol nesuskaičiuoji, ką tai reiškia eurais per metus.
Tikroji sąskaita
Susumavus viską – prastovą, specialistus, atstatymą, baudas, prarastus klientus – vidutinė kibernetinės atakos kaina smulkiam ir vidutiniam verslui Europoje siekia 50 000–200 000 eurų.
Didelėms įmonėms – nuo 500 000 iki kelių milijonų.
Tai ne teoriniai skaičiai – tai realių įmonių realūs nuostoliai.
Alternatyvi sąskaita
Kiek kainuoja kibernetinis saugumas? Metinė sutartis su profesionalais, apimanti stebėseną, atnaujinimus, reagavimą į incidentus – priklausomai nuo įmonės dydžio – nuo kelių tūkstančių iki keliasdešimties tūkstančių eurų per metus.
Palyginkime:
| Scenarijus | Kaina |
| Metinė saugumo priežiūra | 5 000–30 000 € |
| Vidutinė ataka (be duomenų nutekėjimo) | 50 000–100 000 € |
| Rimta ataka su duomenų nutekėjimu | 150 000–500 000 € |
| Ataka su BDAR bauda | 300 000+ € |
Matematika aiški. Bet daugelis ją supranta tik gavę pirmąją sąskaitą.
Kai kurių dalykų pinigai neatperka
Yra nuostolių, kurių neįrašysi į sąskaitą.
Naktys be miego, kai nežinai, ar įmonė išgyvens. Pokalbiai su darbuotojais, kai negali garantuoti atlyginimų. Skambučiai klientams, kuriems turi prisipažinti, kad jų duomenys nutekėjo.
Verslininkai, patyrę rimtą ataką, dažnai kalba apie tai kaip apie lūžio tašką. Ne finansinį – emocinį.
Klausimas ne „ar”, o „kada”
Statistika nesideri: kas trečia įmonė Europoje per pastaruosius metus patyrė kibernetinį incidentą. Ne bandymą – incidentą, kuris turėjo pasekmių.
Galima tikėtis, kad jūsų nepalies. Galima investuoti į apsaugą. Vienas kelias kainuoja mažai dabar ir labai daug paskui. Kitas – priešingai.
Sąskaitą vis tiek gausite. Klausimas – kokią.
