Sokszor a gazdasági vezetők felé nem könnyű megindokolni, miért is van szükség IT biztonságra költeni. Összeállításunkban olyan példákat mutatunk be, ahol az IT biztonság hiánya súlyos dollármilliókban mérhető veszteségeket okozott – ahogy azt az iPhone partnere saját bőrén megtapasztalhatta.

A Taiwan Semiconductor Manufacturing Company (TSMC) nevű vállalatról nem sokat hallottunk eddig, nem is volt miért, hiszen a cég elektronikai cégeknek gyárt processzorokat, chipre épített rendszereket. A cég egyik nagy megrendelője az Apple, itt készülnek az iPhone telefon A12-es chipjei. A vállalatot nemrég kibertámadás érte: egy külső vállalkozó rendszerein keresztül a tavaly nagy port kavart Wannacry zsarolóvírus bekerült a gyár rendszereibe.

A termelést működtető operációs rendszereket vélhetően nem frissítették, így tudott a Wannacry elterjedni gyáron belül. A fertőzés következtében a termelés három napon keresztül szünetelt. A cég becslése szerint az így keletkezett kár a vállalat bevételének 3 százaléka, ami 170 millió dollárt jelent. A vállalat optimista, hogy az idei célszámokat az incidens ellenére fogják tudni tartani, igaz, rá is kell kapcsoljanak a következő negyedévben.

Másik eset, újabb ok

A Dailymotion video platformnak is költségei keletkeztek a nem megfelelő IT biztonság miatt. Igaz, az előző esethez képest nagyságrendekkel kisebb a kár, hiszen „csak” az ügyfelek adatai kerültek rossz kezekbe. A francia adatvédelmi hivatalnak lépnie kellett, és az adatszivárgás miatt 50 ezer euróra büntette a platform üzemeltetőjét (a GDPR értelmében a büntetés a vállalat bevételének 4 százalékát is elérhette volna). Az adatszivárgásért részben a videós oldal is felelős, miután egy adminisztrátori jelszót a GitHub-on találtak meg.

A magyar vállalatok esetében is kötelező az adatok kezelésével kapcsolatos incidenseket bejelenteni, így csak idő kérdése, hogy hasonló eset mikor lát napvilágot itthon is, ahogy az első rekordméretű bírságok is a levegőben lógnak.

Átlagosan 40 ezer forint egy elveszett adatrekord

Egyébként egy vállalaton belül a legtöbb kárt az adatok hanyag kezelése okozza, egy ellopott adatrekord átlagosan 148 dollárba (40 ezer forint) kerül a cégnek, ahogy azt korábban a G DATA blogjában már megírtuk. A Ponemon Intézet adatai szerint az adatszivárgások 64 százaléka az adatok hanyag kezelése miatt következik be, itt a külső partnereket is figyelembe vették. Az incidensek 23 százalékáért a rossz szándékú belső munkatárs a felelős, 13 százalékuk jelszavak ellopásának a következménye.

Ezek az adatok csak hozzávetőlegesen mutatják meg, milyen költségre számíthat egy-egy vállalat adatszivárgási incidensek esetében. Az elmúlt időszak legköltségesebb adatszivárgását az amerikai pénzügyi szolgáltató, az Equifax szenvedte el, ennek költsége 439 millió dollár volt – a pénzügyi szolgáltató 125 millió dollárra kötött biztosítást, a különbözetet saját zsebből kell kifizetnie. Egyébként az Equifax adatszivárgását egy nem frissített Apache-Struts alkalmazásszerver okozta, ezt a munkát egy lassan dolgozó rendszergazda nyolc óra alatt biztosan el tudta volna végezni.