Megéri az IT biztonságba fektetni?

Szakértői becslések szerint 2025-ben világszerte 10,5 milliárd dollár kárt okoznak majd a kiberbűnözők. 2023 első negyedéve és 2024 hasonló negyedéve között csaknem megduplázódott a zsarolóvírus-támadások száma. Miközben 2001-ben óránként még csak 6 ember esett a kiberbűnözés áldozatául, 2021-ben ez a szám már 97 volt.

A riasztó adatok még hosszan sorolhatók, de a lényeg egyszerűen megfogalmazható: a kiberbűnözés dinamikusan fejlődő “iparág”, aminek a növekedése a következő években is gyorsulni fog.

Senki sincs biztonságban

Míg korábban leginkább a nagy és fizetőképes cégekre irányult a hackerek figyelme, ma már szinte válogatás nélkül érik a kicsiket és nagyokat is a támadások. A Statista adatai szerint a leginkább veszélyeztetettek a gyártó cégek, de dobogósok a pénzügyi cégek és az egészségügy is. 

A “hőskorral” szemben jellemzően már nem a behatolás ténye, a szakmai bravúr, hanem a pénz a fő motiváló tényező. (Ezért is a zsarolóvírus ma a kiberbűnözők kedvenc eszköze.)

A kár mértéke

Egy kibertámadás okozta kár több tételből adódik össze:

  • az ellopott, elérhetetlenné tett, megsérült információk értéke,
  • a rendszerek sérülése miatt kiesett munkaidő,
  • a helyreállításhoz szükséges idő (átlagosan 35-50 nap),
  • reputációs veszteség.

A cégek többsége nem veri nagydobra, ha feltörik rendszereiket. Félnek tőle – joggal – hogy ezzel romlana a megítélésük. Így viszont nehezen jutunk pontos adatokhoz.

Hogyan térül meg az IT biztonságba fektetett pénz?

Sokan hajlamosak a biztosításhoz hasonlítani az IT biztonságot: ha nem történik semmi baj, “felesleges” volt a költés. Miközben azonban egy baleset, egy tűzkár vagy egy betörés valószínűsége viszonylag alacsony, az erősen automatizált, AI eszközöket is használó kiberbűnözők folyamatosan, aktívan keresik a gyenge, támadható pontokat. A nem védekezés leginkább az orosz ruletthez hasonlítható. Van, aki megússza, de van, aki nem.

Az IT biztonsági költések megtérülése

A biztonságnak ára van. A pénzügyi vezető vagy a CEO pontosan tudja, mennyibe kerül ez a biztonság, de tudni akarja azt is, mekkora ennek az IT biztonságba fektetett pénznek a megtérülése.

Kalmár István
IT architect, CISO

“Amíg nem következik be a baj, nehéz megmondani, mekkora lenne egy IT-biztonsági esemény okozta kár. A saját tapasztalat helyett itt  is érdemes más kárából tanulni.”

Az IT-biztonságra fordított pénz akkor tekinthető megtérülő befektetések (ROI), ha a biztonsági résekből eredő potenciális pénzügyi veszteségek csökkenését eredményezi. Ezt kifejezetten a biztonsági beruházások megtérülése (ROSI) segítségével mérik.

A ROSI kiszámításához a szervezeteknek fel kell mérniük a biztonsági intézkedések bevezetésének költségeihez képest az elkerült biztonsági jogsértések költségeit. Ehhez meg kell becsülni az egyes kiberbiztonsági fenyegetések éves várható veszteségét (Annual Loss Expectancy, ALE), amely az adott fenyegetésből származó, évente várható pénzügyi veszteséget jelenti.

Ha például egy vállalat olyan kiberbiztonsági intézkedésekbe fektet be, amelyek megakadályozzák a biztonsági résből eredő potenciális 100 millió forintos veszteséget, és ezen intézkedések költsége 10 000 forint, akkor a befektetés jó megtérülésnek tekinthető.

A ROSI kiszámítása azonban kihívást jelenthet, hiszen nehéz megjósolni a biztonsági incidensek éves előfordulási arányát, valamint a biztonsági intézkedések különböző iparágakban és régiókban eltérő hatékonyságát.

A szervezeteknek a pénzügyi mérőszámokon túl a biztonsági beruházások szélesebb körű előnyeit is figyelembe kell venniük, mint például a jobb megfelelés, a csökkentett állásidő és a jó hírnév.

Összefoglalás

Alacsony belépési küszöb, mérsékelt rizikó. Kitűnő jövedelmezőség. Ezekkel a jellemzőkkel könnyű megérteni, hogy a kiberbűnözés egyre terjed. Az egyre nagyobb kitettség miatt a védekezés elkerülhetetlen. Az IT-biztonsági költések a legjobb megtérülési befektetések közé tartoznak.

Gyakran ismételt kérdések

Miért válik egyre sürgetőbbé az IT biztonságba történő befektetés a mai üzleti környezetben?

A kiberbűnözés dinamikusan növekszik, a támadások száma és az általuk okozott károk pedig napról napra nőnek. Ezért hatékony a  védelem a súlyos anyagi veszteségek elkerülése érdekében elengedhetetlen.

Hogyan mérhető a kiberbiztonsági beruházások megtérülése, és mi az a ROSI?

A megtérülést az elkerült veszteségek és a biztonsági intézkedések költségeinek arányával számolják, amit a ROSI (Return on Security Investment) képlettel – (Előnyök – Költségek) / Költségek x 100% – mérnek.

Milyen anyagi károkat okozhat egy kibertámadás, és milyen tényezők befolyásolják ezek mértékét?

A károk az ellopott vagy megsérült információk értékéből, a kiesett munkaidőből, a helyreállításra fordított időből (35-50 nap) és a reputációs veszteségből adódnak. Ezek mértékét a támadás típusa és a meglévő védekezési intézkedések hatékonysága befolyásolja.

Miért nem csak a nagyvállalatok, hanem a kisebb cégek is egyre inkább célpontjai a kiberbűnözők támadásainak?

A modern, automatizált és AI eszközöket használó támadók nem válogatnak méret szerint, így a kisebb cégek – gyakran gyengébb védelemmel – könnyebb célpontokká válnak.

Milyen egyéb előnyökkel jár az IT biztonságba való befektetés a pénzügyi megtakarításokon túl (például a jó hírnév és a csökkentett leállási idő)?

Az IT biztonsági beruházások javítják a vállalat hírnevét, növelik a megfelelőséget, csökkentik a leállási időből eredő kiesést, és hozzájárulnak az üzleti folytonosság fenntartásához.