Niedawno ukazał się doroczny raport opracowany przez amerykański Ponemon Institute we współpracy z IBM Security o koszcie incydentu naruszenia ochrony danych osobowych („Cost of data breach”[1]). Badania te prowadzono w 16 krajach i regionach[2], z których tylko w 5 obowiązuje RODO. Raport ten, podobnie jak inne podobne publikacje, daje pogląd na najczęstsze przyczyny naruszeń ochrony danych osobowych oraz ich koszt dla przedsiębiorców.

Wyniki uzyskano dzięki przeprowadzeniu 3.211 wywiadów z pracownikami 507 przedsiębiorstw z wybranych krajów i regionów, które doznały incydentu ochrony danych osobowych w okresie od lipca 2018 roku do kwietnia 2019 roku. Incydent zdefiniowano jako sytuację, w której dane osobowe osoby fizycznej, dane o jej stanie zdrowia oraz finansach zostały narażone na ujawnienie. Przyczyną incydentu może być umyślne działanie osób trzecich, błąd systemu komputerowego oraz błąd człowieka.

Z raportu Ponemon Institute wynika, iż przeciętny koszt wycieku danych osobowych w omawianym okresie wyniósł 3,92 miliona dolarów (wartość ta utrzymała tendencję wzrostową od 2017 roku). Z kolei z badań CIRA (Canadian Internet Registration Authority[3] – organizacji odpowiedzialnej za zarządzenie kanadyjska domeną krajową .ca) wynika, że dla firm z tego kraju przeciętny koszt wycieku danych wyniósł aż 9,2 miliona dolarów. Przeciętny czas od wystąpienia incydentu do jego pełnego opanowania przez przedsiębiorcę wyniósł 279 dni. Szczególną uwagę należy zwrócić na oszacowane przez badaczy ryzyko wystąpienia incydentu cyberbezpieczeństwa w okresie dwóch lat – wynosi ono obecnie 29,60%.

Z kolei z Raportu o ekonomicznych skutkach cyberprzestępczości za 2017 rok, opublikowanego przez firmę McAfee[4] wynika, że koszty związane z cyberprzestępczością oscylują około 0,8 % PKB w krajach Europy i Ameryku Północnej.

Czynniki powodujące wzrost kosztu incydentu[5]:

  • Udział podmiotów zewnętrznych
  • Braki w zakresie compliance
  • Przeprowadzenie dużej operacji migracji do chmury
  • Duża złożoność systemów
  • Stosowanie technologii OT

Czynniki powodujące obniżenie kosztu incydentu[6]:

  • Intensywne używanie szyfrowania
  • Ochrona przed utratą danych
  • Wymiana informacji o zagrożeniach
  • Integracja bezpieczeństwa na etapie rozwoju oprogramowania
  • Prawidłowe zarządzanie ciągłością działania

Najbardziej narażone branże

Z badań jednoznacznie wynika, że skutki wycieków danych osobowych najdotkliwsze są w branży ochrony zdrowia[7] – dotyczy to zarówno łącznego kosztu incydentu (6,45 miliona $ wobec średniej 3,92 miliona $), jak i poziomu utraty klientów po ujawnieniu zdarzenia (7 % wobec średniej 3,9 %). W czołówce firm narażonych na najwyższe straty w razie wystąpienia incydentu znalazły się również: branża finansowa[8] (odpowiednio 5,86 mln. $ i 5,9 %), sektor energetyczny[9] (5,60 mln. $ i 3,3 %) oraz przemysł[10] (5,20 mln. $ i 3,3 %) i farmacja[11] (5,20 mln. $ i 5,5 %).

Prewencja

Szczególną uwagę warto zwrócić na przygotowanie organizacji na wystąpienie incydentu. Z badań Ponemon Institute wynika, iż następujące działania pozwalają na zmniejszenie kosztu oraz wpływu incydentu na organizację:

  • powołanie dedykowanego zespołu reagowania na incydenty, przygotowanie i przetestowanie planu reagowania,
  • podjęcie działań w celu zachowania zaufania klienta, w szczególności powołanie w strukturze organizacji dysponującej odpowiednimi uprawnieniami osoby odpowiedzialnej za ochronę danych,
  • identyfikacja, klasyfikacja i szyfrowanie danych wrażliwych oraz wyszukiwanie podatności we własnych systemach,
  • inwestycja w rozwiązania technologiczne, które pozwalają na szybkie wykrywanie incydentów i zarządzanie nimi,
  • inwestycja w odpowiednie techniki zarządzania ryzykiem i zachowanie zgodności (compliance),
  • minimalizacja złożoności infrastruktury IT oraz struktury bezpieczeństwa.

Jak widać, kluczowe znaczenie dla zmniejszenia kosztów incydentów ma odpowiednia organizacja procesów przetwarzania danych osobowych. 2/3 wskazanych powyżej działań odnosi się właśnie do tego zakresu, zaś pozostałe dwa to kwestie stricte techniczne. O wadze odpowiedniej organizacji procesów przetwarzania pisaliśmy też w niedawno opublikowanej liście kontrolnej RODO.

Również badania CIRA wskazują na korzyści płynące z działań prewencyjnych, takich jak szkolenia (96 % objętych badaniem podmiotów uznało, że mają one wpływ na zmniejszenie ilości wycieków danych).

Wnioski

Analiza przytoczonych powyżej publikacji wskazuje, iż od lat utrzymują się pewne zasadnicze trendy. Z roku na rok rośnie ilość incydentów ochrony danych, ich koszt oraz udział ataków hakerskich jako przyczyny tych zdarzeń. Pytanie, jakie powinni sobie zadawać przedsiębiorcy coraz bardziej przechodzi z „czy w mojej firmie nastąpi incydent bezpieczeństwa danych osobowych?” w „kiedy w mojej firmie dojdzie do incydentu bezpieczeństwa danych osobowych i jak powonieniem się na niego przygotować?”.

W tym kontekście pamiętać należy, o tym, że przepisy RODO nakazują stosowanie zabezpieczeń adekwatnych do stwierdzonych potrzeb. Daje to przedsiębiorcy swobodę, ale jednocześnie wiąże się z obowiązkiem wdrożenia procedur zarządzania ryzykiem i stosowania zabezpieczeń w zależności od wyników tej czynności. Przedsiębiorca powinien pamiętać też o zasadzie rozliczalności.

Stale rosnący koszt wycieku danych osobowych wyraża się nie tylko w grożących karach, odszkodowaniach i konieczności zatrudnienia wyspecjalizowanych firm zewnętrznych w celu zarządzania incydentem, ale i w utraconych zyskach i stratach wizerunkowych, których naprawienie może zająć lata.

W tej sytuacji, podejmując decyzję o wydatkach przeznaczonych na ochronę danych osobowych, systemy szyfrowania, czy powołanie zespołu reagowania na incydenty ochrony danych osobowych, koszt ten należy traktować jako inwestycję, która może pozwolić uniknąć większych kosztów w razie wystąpienia incydentu.

 

[1] https://www.ibm.com/security/data-breach, dalsze przytoczone w tekście dane – o ile nie wskazano innego źródła – pochodzą z tego badania.
[2] Australia, Brazylia, Francja, Indie, Japonia, Kanada, Korea Południowa, Niemcy, RPA, Skandynawia, Stowarzyszenie Narodów Azji Południowo-Wschodniej, Środkowy Wschód, Turcja, USA, Wielka Brytania, Włochy.
[3]https://www.cira.ca/resources/cybersecurity/report/2019-cira-cybersecurity-survey, badaniem objęto 500 podmiotów publicznych i prywatnych, które zatrudniały minimum 50 użytkowników komputerów i urządzeń mobilnych.
[4] https://www.mcafee.com/enterprise/en-us/solutions/lp/economics-cybercrime.html
[5] Zgodnie z raportem „Cost of data breach”.
[6] Zgodnie z raportem „Cost of data breach”.
[7] Definiowana w raporcie jako szpitale i kliniki.
[8] Bankowość, ubezpieczenia, firmy inwestycyjne.
[9] Firmy obracające ropą i gazem, zakłady użyteczności publicznej, producenci i dostawcy w zakresie alternatywnych źródeł energii.
[10] Przedsiębiorstwa z branży chemicznej, budowlanej i produkcyjnej.
[11] Przedsiębiorstwa farmaceutyczne, w tym biomedyczne.