Kwestię bezpieczeństwa krytycznych danych organizacji traktować należy śmiertelnie poważnie, tak by cyberatak nie uderzył w wycenę spółki. O ile bezpieczeństwo danych, szczególnie tych wrażliwych, jest bezcenne, to jego brak można przeliczyć już na konkretne pieniądze. Potrafią to być miliardy związane ze spadkiem cen akcji. 

Wycieki nawet z doliny krzemowej

Cyberataki zdarzają się w firmach różnych branż. Wydawać by się jednak mogło, że kto jak to, ale technologiczni giganci potrafią dbać o swoje bezpieczeństwo. Nic bardziej mylnego. Nawet najwięksi z wielkich sektora IT doświadczali wycieków danych, które mocno nadwyrężyły ich wiarygodność.

Między 2013 a 2014 rokiem w ręce rosyjskich hakerów trafiły informacje dotyczące 3 miliardów kont użytkowników Yahoo!. Były to nazwy kont i hasła, adresy e-mail, numery telefonów, daty urodzenia czy pytania bezpieczeństwa. Także w 2014 roku wyciekły zaszyfrowane hasła wraz z danymi osobowymi z eBay, a w 2012 dużego cyberataku o podobnych skutkach doświadczył LinkedIn

Katastrofę związaną z bezpieczeństwem przeżył również Google, kiedy w październiku 2018 roku hakerzy uzyskali dostęp do danych 500 milionów kont użytkowników Google+. Zachwiało to reputacją firmy, tym bardziej że korporacja, wiedząc przez dłuższy czas o wycieku, poinformowała o nim użytkowników dopiero po publikacji Washington Post. Koniec końców Google+ został zamknięty dla użytkowników prywatnych pozostawiając jedynie konta firmowe.

Na naszym rynku cyberataki odczuły niektóre sklepy internetowe. Z Morele.net, zajmującego się sprzedażą sprzętu komputerowego, wyciekły np. dane 2,5 miliona klientów. Hakerzy posłużyli się wykradzioną firmie bazą danych do szeroko zakrojonej akcji phishingu. Wystawili też bazę na sprzedaż zamieszczając ogłoszenie na jednym z hakerskich forów. 

Cyberataki a ceny akcji

Firma badawcza Comparitech przeprowadziła analizę zmian w wycenach spółek giełdowych, które doświadczyły cyberataków. Pod lupę wzięła 24 firmy, gdzie doszło do utraty danych lub ujawnienia przynajmniej miliona rekordów. Były to m.in. Apple, Adobe, LinkedIn, Yahoo!, T-Mobile i Sony. 

Wyniki opublikowano w sierpniu 2018 r,. a dotyczyły okresu trzech lat wstecz. Analizie zostały poddane ceny zamknięcia akcji, począwszy od dnia przed publicznym ujawnieniem naruszeń danych. Punktem odniesienia był indeks giełdowy NASDAQ, czyli amerykańskiej giełdy papierów wartościowych. Same spółki były notowane na giełdzie nowojorskiej.

Wnioski z badania jednoznacznie wskazywały na spadek wyceny firm, które doświadczyły wycieku danych. Chociaż ich akcje po miesiącu od wydarzenia ponownie rosły, to w porównaniu do NASDAQ były notowane znacznie niżej jeszcze przez cały analizowany okres, czyli trzy lata. 

Podobne badanie, już na próbie 65 firm, które doświadczyły cyberataku, przeprowadziły w 2017 r. wspólnie firmy konsultingowe CGI i Oxford Economics. Wg niego analizowane spółki doświadczyły trwałego spadku cen akcji o 1,8%. Wyliczając stratę inwestorów w porównaniu do typowej firmy z indeksu FTSE, ocenili, że wyniosłaby ona średnio 120 milionów funtów. Gdyby zaś zsumować straty związane z wyciekami dla wszystkich spółek badania, byłoby to ok. 52 mld dolarów.

Z obu badań wynika, że największe straty wartości notowały firmy z branży finansów i bankowości oraz telekomunikacyjne. Najmniejsze zaś te z sektora opieki zdrowotnej. Duże znaczenie ma także waga danych, które wyciekły ze spółek. Jeżeli są one poufne w najwyższym stopniu, jak dane kart płatniczych, akcje spadają wyraźniej niż w przypadku spółek, którym wykradziono informacje o mniejszym znaczeniu dla klientów.

Cyberatak – straty nie tylko na giełdzie

Pogorszenie się wyceny spółek to jeden z rodzajów strat, jakie ponoszą one w wyniku cyberataków. Z firm wyciekają także bardziej „realne”, nie tylko giełdowe pieniądze. 

Firma doradcza Deloitte badała koszty, jakie wiążą się z cyberatakami. Należą do nich konieczność szybkiej poprawy zabezpieczeń, konieczność powiadamiania klientów, straty dotyczące własności intelektualnej, zakłócenia w pracy firmy czy wreszcie poważne nadszarpnięcie reputacji.

Przykładem może być amerykańska firma ubezpieczeń zdrowotnych, która utraciła 2,8 mln rekordów pacjentów w wyniku mało wyrafinowanego „cyberataku” – kradzieży laptopa z biura sprzedawcy. Efektem był brak dostępu lekarzy do informacji ubezpieczeniowych pacjentów dotkniętych wyciekiem, co ostatecznie spowodowało straty w wysokości 1,7 miliona dolarów.

W marcu tego roku cyberatak dotknął też spółkę Norsk Hydro, lidera rynku producentów aluminium. W tym przypadku nie był to jednak wyciek danych ale działanie mające na celu wymuszenie okupu za pomocą wirusa szyfrującego dane LockerGoga. Niektóre placówki musiały zostać zamknięte, a ceny aluminium wzrosły o 1,2%, co odczuły firmy na całym świecie wykorzystujące ten surowiec.

Bezpieczeństwo na pierwszym miejscu

Dbałość o krytyczne dane organizacji jest zatem niezbędne, aby ustrzec się przed realnymi stratami oraz utratą wiarygodności w oczach klientów. W tym celu ważne są m.in. wdrożenie Polityki Bezpieczeństwa Informacji, dbałość o jakość przechowywania danych krytycznych dla organizacji czy korzystanie ze specjalistycznego oprogramowania chroniącego sieć firmy (jak np. wdrażany przez nas Fortinet). 

W celu podniesienia bezpieczeństwa organizacji stosowane są również testy socjotechniczne. Pozwalają one ustrzec się ataków służących zmanipulowaniu jego celu, (którym jest często konkretny, wytypowany pracownik) tak, aby ujawnił on poufne informacje na temat firmy. Podstawowe znaczenie mają też systemy zarządzania logami jak np. nasz autorski centralny system zarządzania i kolekcjonowania logów.