A rossz IT-biztonság ára
Sokszor a gazdasági vezetők felé nem könnyű megindokolni, miért is van szükség IT-biztonságra költeni. Összeállításunkban olyan példákat mutatunk be, ahol az IT-biztonság hiánya súlyos dollármilliókban mérhető veszteségeket okozott – ahogy azt az iPhone partnere saját bőrén megtapasztalhatta.
Nem sokat hallottunk eddig a Taiwan Semiconductor Manufacturing Company (TSMC) vállalatról, nem is volt miért, hiszen a cég az elektronikai ipar részvevőinek gyárt processzorokat, chipre épített rendszereket. Egyik nagy megrendelője az Apple, a TSMC készíti az iPhone telefon A12-es chipjeit. A vállalatot nemrég kibertámadás érte: egy külső vállalkozó rendszerein keresztül a tavaly nagy port kavart Wannacry zsarolóvírus bejutott a gyár rendszereibe.
A termelést működtető operációs rendszereket vélhetően nem frissítették, így tudott a Wannacry elterjedni gyáron belül. A fertőzés következtében a termelés három napon keresztül szünetelt. A cég becslése szerint az így keletkezett kár a vállalat bevételének 3 százaléka, 170 millió dollár. A vállalat optimista, hogy az idei célszámokat az incidens ellenére fogják tudni tartani, igaz, rá is kell kapcsoljanak a következő negyedévben.
A Dailymotion video-platformnak is költségei keletkeztek a nem megfelelő IT-biztonság miatt. Igaz, az előző esethez képest sokkal kisebb a kár, hiszen „csak” az ügyfelek adatai kerültek rossz kezekbe. A francia adatvédelmi hivatalnak lépnie kellett, és az adatszivárgás miatt 50 ezer euróra büntette a platform üzemeltetőjét (a GDPR értelmében a büntetés a vállalat bevételének 4 százalékát is elérhette volna). Az adatszivárgásért részben a videós oldal is felelős, miután egy adminisztrátori jelszót a GitHub-on találtak meg.
A magyar vállalatok esetében is kötelező az adatok kezelésével kapcsolatos incidenseket bejelenteni, így csak idő kérdése, hogy hasonló eset mikor lát napvilágot itthon is, ahogy az első rekordméretű bírságok is a levegőben lógnak.
Egyébként egy vállalaton belül a legtöbb kárt az adatok hanyag kezelése okozza, egy ellopott adatrekord átlagosan 148 dollárba (40 ezer forint) kerül a cégnek, ahogy azt korábban a G DATA blogjában olvasható. A Ponemon Intézet adatai szerint az adatszivárgások 64 százaléka az adatok hanyag kezelése miatt következik be, itt a külső partnereket is figyelembe vették. Az incidensek 23 százalékáért a rossz szándékú belső munkatárs a felelős, 13 százalékuk jelszavak ellopásának a következménye.
Ezek az adatok csak hozzávetőlegesen mutatják meg, mekkora költségre számíthat egy-egy vállalat adatszivárgási incidensek esetében. Az elmúlt időszak legköltségesebb adatszivárgását az amerikai pénzügyi szolgáltató, az Equifax szenvedte el, ennek költsége 439 millió dollár volt – a pénzügyi szolgáltató 125 millió dollárra kötött biztosítást, a különbözetet saját zsebből kell kifizetnie. Egyébként az Equifax adatszivárgását egy nem frissített Apache-Struts alkalmazásszerver okozta, ezt a munkát egy lassan dolgozó rendszergazda nyolc óra alatt biztosan el tudta volna végezni.
