كشف استطلاع عالمي أجرته شركة كاسبرسكي لاب بالتعاون مع B2B International في العام 2015 وشمل أكثر من 5500 شركة في 26 دولة بما فيها المملكة العربية السعودية أن أكثر أنواع الاختراقات الأمنية تكلفة تلك التي تنجم عن الاحتيال من جانب الموظفين وأنشطة التجسس الالكتروني والاختراق عبر شبكة الانترنت وعدم التزامالطرف الثالث من موردي الخدمات للشركات.
ويبلغ متوسط التكلفة المطلوبة للتعافي من أحد الاختراقات الأمنية مبلغ 551,000 دولار للمؤسسات الكبيرة 38,000 دولار للشركات الصغيرة والمتوسطة.
تؤدي عملية اختراق خطيرة لنظم أمن تقنية المعلومات إلى العديد من المشكلات التجارية. مع تعدد الأضرار إلى حد كبير، يكون من الصعب للغاية في بعض الأحيان أن يتمكنالضحايا بأنفسهم من تقدير التكلفة الإجمالية لذلك الاختراق الأمني. اعتمدت الأساليب المستخدمة في هذا المسح على البيانات المتوفرة من السنوات السابقة لتحديد المجالات التي يجب أن تنفق الشركات أموالها فيها بعد أي اختراق أمني،وإلا تتعرض لخسائر مالية نتيجة لذلك الاختراق.
بالإضافة إلى هذا، يختلف تقدير كل من عواقب الاختراقات الأمنية اختلافا كبيرا وفقاً لكل حالة على حدة، ويجب أن يؤخذ هذا الاختلاف بعين الاعتبار معتباين حجم الشركات المتضررة.
وتم استخدام طريقة مماثلة لتقدير النفقات غير المباشرة بما في ذلك الميزانيات التي تخصصها الشركات بعد معالجة الاختراقات الأمنية، مع استمرار تضررها من وجود تلكالاختراقات الأمنية. لذلك، يضاف إلى التكاليف المذكورة أعلاه، تلك المبالغ التي تدفعها الشركات عادة على تعيينات الموظفين والتدريب وتطوير البنية التحتية، حيث تنفق الشركات مبالغ تتراوح ما بين 8000 دولار أمريكي (الشركات الصغيرة والمتوسطة) إلى 69,000 دولار أمريكي (المؤسسات الكبيرة).
متوسط تكلفة أي اختراق أمني لإحدى المؤسسات الكبيرة:
الخدمات الفنية (تقنية المعلومات، وإدارة المخاطر، والمحامين): ما يصل إلى 84 ألف دولار مع وجود احتمال بنسبة 88% للتعرض للاختراقات الأمنية
الفرص التجارية الضائعة: ما يصل إلى 203 ألف دولار مع وجود احتمال بنسبة 29% للتعرض للاختراقات الأمنية
فترات توقف الأعمال التجارية: ما يصل إلى 1,4 مليون دولار مع وجود احتمال بنسبة 30% للتعرض للاختراقات الأمنية
إجمالي متوسط التكلفة: 551,000 دولار
الإنفاق غير المباشر: ما يصل إلى 69 ألف دولار
وذكرت تسع من كل عشرة شركات شملهاالاستطلاع أنها تعرضت لحالة اختراق أمني واحدة على الأقل، ومع ذلك، لم تكن كل حالات الاختراق خطيرة أو أدت إلى فقدان بيانات حساسة. في معظم الأحوال كانت الاختراقات الأمنية الخطيرة ناجمة عن هجوم برمجيات خبيثة وبرامج التصيد الإلكتروني وتسرب البيانات من قبل الموظفين واستهداف برمجيات مصابة بثغرات أمنية. يتيح تقدير تكاليف معالجة الاختراقات الأمنية لتقنية المعلومات نظرة جديدة حولمدى شدة تلك الاختراقات،حيث تختلف التقديرات بين التكاليف التي تتحملها الشركات الصغيرة والمتوسطة وبين التكاليف التي تتحملها المؤسسات الكبيرة لمعالجة تلك الاختراقات الأمنية اختلافا ضئيلا.
تدفع الشركات الكبيرة مبالغ طائلة بشكل ملحوظ عندما يكون الاختراقالأمني ناجما عن إخفاق طرف ثالث من موردي الخدمات موثوق به، وتشملالأنواع الأخرى الباهظة التكاليف من الاختراقات الأمنية الاحتيال من جانب الموظفين، وأنشطة التجسس الالكترونيوالاختراق عبر شبكة الانترنت. تميل الشركات الصغيرة والمتوسطة الى خسارةمبالغ كبيرة من المال بسببكافة أنواع الاختراقات تقريبا، وتدفع ثمنا باهظا مماثلانظيرمعالجة أعمال التجسس وكذلك هجمات DDoSوهجمات التصيد الإلكتروني.
وقال برايان بيرك، رئيس فريق استخبارات السوق، لدى كاسبرسكي لاب : ” لم ترد إلينا الكثير من التقارير حول عواقب انتهاكات أمن تقنية المعلومات متضمنة تقدير الخسائر المالية الحقيقة، ونرى أنه من الصعب التوصل إلى طريقة ما يمكن الاعتماد عليها للتوصل إلى متوسط تلك الخسائر، ولكننا أدركنا أن علينا القيام بذلك من أجل سد الفجوة بين المجال النظري والواقع الفعلي لتهديد الشركات وتحويل ذلك الجانب النظري إلى ممارسات تجارية فعلية.