מחקר: עלות ממוצעת של אירוע אבטחת מידע בארגון – שני מיליון דולרים

עלות הנזקים – הישירים והעקיפים – מאירוע אבטחת מידע ממוצע בארגון שנגנבו ממנו 10,000 רשומות דיגיטליות עומדת על שני מיליון דולרים – כך עולה ממחקר שפורסם לאחרונה. עוד קובע המחקר, כי ארגונים שבהם ההנהלה אינה מעורבת לעומק בהחלטות הכרוכות בתפעול אבטחת המידע של הארגון "מצויים בבעיה רצינית ועלולים לפגוע בשל כך ביעדים העסקיים שלהם".

"ארגונים רבים רואים באבטחת מידע מיחשובית בעיה שהיא כולה בעיית IT, והם שוגים בתפיסתם", אמרה קארן יוז, מנהלת תקני אבטחת מידע במכון התקנים האמריקני (ANSI) – אחד הגופים שמימנו את המחקר. "אנחנו קוראים להתעוררות בקרב הנהלות הארגונים ברחבי העולם", הוסיפה. היא פנתה למנהלי הארגונים ואמרה, כי "מדובר בנושא כאוב וחשוב, עם השלכות מרחיקות לכת, שעולה לכם כסף רב".

המחקר נערך תחת הכותרת "ניהול פיננסי של סיכונים קיברנטיים". מתוצאותיו עלה, כי רק בחלק קטן מהארגונים היו סמנכ"לי הכספים מעורבים בניהול הסיכונים ובתכנון האבטחה בארגון. ממצא נוסף שעלה מהמחקר הצביע על כך שרוב העובדים בארגונים כלל לא רואים באבטחת מידע ממוחשבת חלק מתפקידם. "בכל ארגון יש לעובד מידע", אמר לארי קלניטון, נשיא האיגוד האמריקני לאבטחה (ISA). "עם זאת, אנשים לא מודעים לעובדה שמפני שיש להם נתונים ומידע, בהכרח תיווצרנה בעיות אבטחת מידע. הם חושבים שהאחריות לאבטחת המידע היא של אנשי ה-IT, אלה שמשרדיהם נמצאים בקומה השנייה, בסוף המסדרון".

בדו"ח שבו פורסמו התוצאות מצוטט מחקר אחר, שביצע הממשל האמריקני לפני כשנה, ולפיו בין 2008 ל-2009 איבדו ארגונים בארצות הברית טריליון דולרים כתוצאה מנזקי מתקפות קיברנטיות. נתון זה אינו כולל חישוב נזקים שנגרמו בשל גניבת מידע אישי או אובדן לקוחות.

"אנחנו מאמינים שאם נצליח לשכנע מנכ"לים ודרגי הנהלה בכירה בארגונים כמה כסף הם מפסידים בשל אירועי אבטחת מידע, נוכל להגיע לשלב הבא – פתרון הבעיה", אמר קלינטון. לדבריו, 90% מבעיות אבטחת המידע הקיברנטיות יכולות להימנע בשל שילוב של טכנולוגיות, תקנים ותהליכים, "אבל לפעמים, אנשים צריכים להבין את המשמעויות הכספיות הגלומות בנזקים של אירועי האבטחה בטרם יחליטו כיצד לפעול בתחום".

לדברי ג'סטין סומייני, מנמ"ר סימנטק (Symantec), שהשתתף במסיבת העיתונאים שנערכה לרגל פרסום המחקר, שחררה החברה במהלך 2009 2.7 מיליון עדכוני אבטחה – כמות הגדולה מכל העדכונים ששוחררו על ידה ב-25 השנים האחרונות יחדיו. הוא אמר, כי מרבית העדכונים היו נגד סוסים טרויאניים בתצורות שונות. סומייני כינה את המחקר "קריאת אזהרה לארגונים", ואמר, כי ברוב הארגונים בעולם רמת אבטחת המידע הינה בסיסית ביותר. זאת, על אף שבנוסף לכל זירות ההתמודדות מול איומים, ארגונים מתמודדים גם עם ההתנגדות הפנימית של העובדים לקיומם של נהלי אבטחה.

הדו"ח אף כולל שורה של המלצות לארגונים להתמודד עם בעיות אבטחת המידע בקרבם, ביניהן: מעורבות עמוקה יותר של דרג ההנהלה בהיבטי אבטחת המידע בארגון, יצירת צוותי ניהול סיכונים קיברנטי, פיתוח תכניות ניהול אבטחה שיהיו חוצות את כלל הארגון, והקצאת משאבים נוספים לנושא.