Kolik Vás bude stát únik dat a jak se mu vyhnout?

V dnešním digitálním světě jsou data jedním z nejcennějších aktiv, ale také čím dál častějším cílem útoků. Jen v Evropě bylo v roce 2022 každý pracovní den ohlášeno v průměru 912 incidentů, přičemž od té doby až dodnes jejich počet vzrostl o téměř 80 %. Úniky dat přináší nejen nemalou okamžitou finanční zátěž spojenou s odhalením, reakcí, nápravou a případnými regulatorními sankcemi, ale také dlouhodobé následky v podobě narušení důvěry a poškozené pověsti. Jak se proti tomuto riziku bránit a účinně ochránit (nejen) citlivá data?

Kolik takový únik dat stojí?

Globální průměrné náklady na únik dat dle společnosti IBM dosahují zhruba 4,88 milionu USD (110 000 000,- Kč) a rostou každým rokem – loni byly dle propočtů cca o 10 % vyšší než v roce předchozím (zdroj: zpráva IBM Cost of a Data Breach Report 2024).

Dle zmíněné zprávy IBM jsou pak úniky dat „nejdražší“ v následujících zemích/regionech (z celkem 16 zkoumaných, data z roku 2023 v milionech USD v průměru za jeden incident):

• USA: $9.38
• Střední východ: $8.75
• Benelux: $5.90
• Německo: $5.31
• Japonsko: $4.73

Velkou část nákladů na únik dat tvoři i ty primárně nefinanční, přičemž některé z nich mohou mít z dlouhodobého hlediska závažné dopady na fungování poškozené společnosti.

• Poškození dobrého jména: Únik dat může vážně poškodit důvěru ze strany zákazníků i obchodních partnerů. Studie například odhalila, že významné incidenty jsou spojeny s 5-9% poklesem hodnoty dobrého jména společnosti.
• Narušení provozu: Únik může vážně narušit běžný provoz firmy. Průměrná doba detekce a kompletního vyřešení incidentu včetně obnovy je 229 dní (zdroj: IBM X-Force report). Toto období může vyžadovat značné množství zdrojů a často vede i k prostojům a narušení běžného chodu společnosti.
• Právní a regulační náklady: Nezřídka může únik dat znamenat velmi vysoké pokuty a sankce vyplývající z předpisů o kybernetické bezpečnosti a ochraně osobních údajů. Další náklady mohou plynout i z případných soudních sporů, kterým mohou podniky v důsledku úniku čelit.
• Morálka zaměstnanců: Únik dat může výrazně ovlivnit i postoj zaměstnanců, zejména pokud jsou ohrožena jejich osobní data. To může vést nejen k poklesu produktivity, ale také k odchodům zaměstnanců. Podle průzkumu 64 % dotázaných souhlasilo s tvrzením: „Rozhodl jsem se nespolupracovat s firmou kvůli obavám, zda udrží moje data v bezpečí“.

Faktory, které ovlivňují náklady na únik dat

“Celkové náklady většinou nelze zcela přesně vyčíslit, ale je třeba mít na paměti, že i zdánlivě malé narušení může mít extrémní finanční i nefinanční důsledky,“ říká Jakub Burian, Cybersecurity Expert RSM.

Jaké různé faktory mohou výši nákladů, které souvisí s narušením dat v organizaci, ovlivnit?

Interní postupy

Náklady na únik dat jsou výrazně ovlivněny interními faktory, jako je úroveň povědomí o hrozbách v rámci organizace, způsob jejich vyhodnocování a správa přístupu. Prvním krokem pro každou společnost, která bere kybernetickou bezpečnost vážně, je právě zvýšení povědomí. Lepší znalost kybernetických hrozeb umožňuje efektivněji zavádět bezpečnostní opatření a dodržovat předpisy, čímž se snižuje riziko úniků dat.

Klíčová je také důkladná analýza zranitelností dat – identifikace slabých míst a zavedení pevných kontrol přístupu pomáhají chránit citlivé informace. Pokud tento krok zanedbáváte, nevědomky tím nahráváte potenciálním útočníkům. Mnoho úniků dat navíc pochází z vnitřních útoků, často způsobených slabým řízením identit a přístupu (IAM). Zavedení opatření, kdy k systémům mají přístup pouze oprávněné osoby – například prostřednictvím rychlého přidělování a odebírání oprávnění – výrazně snižuje bezpečnostní rizika. Bez dostatečného povědomí, důsledné analýzy a bezpečného řízení přístupu hrozí vyšší náklady na úniky dat a také závažnější dopady.

Regulatorní prostředí

Kromě přímých finančních ztrát, které mohou útočníci napadené firmě způsobit, mohou hrozit i dodatečné sankce, a to především v regionech s přísnějšími zákony na ochranu dat. V roce 2023 například společnost Meta, vlastník Facebooku a Instagramu, obdržela rekordní pokutu ve výši 1,2 miliardy eur za nesprávné nakládání s datovými přenosy, a to podle Obecného nařízení o ochraně osobních údajů (GDPR), které vstoupilo v platnost v roce 2018.

Odvětví

Náklady na únik dat se mohou lišit i podle odvětví, ve kterém napadená organizace působí. Společnosti pracující s citlivými daty, jako jsou zdravotnictví a finance, obvykle čelí vyšším finančním dopadům. Vzhledem k tomu, že se v těchto sektorech zpracovává více citlivých informací, mohou útočníci lépe využít ransomware a donutit své oběti k platbě pod hrozbou zveřejnění dat. Zdravotnický sektor obecně čelí výrazně vyšším průměrným ztrátám na jeden kybernetický útok než jakékoli jiné odvětví – průměrné náklady 10,9 milionů USD za porušení představují téměř dvojnásobek oproti finančnímu sektoru (6,1 milionu USD).

Doba detekce a omezení hrozby

Průměrná doba detekce incidentu je 63 dní, ale průměrný čas nasazení ransomwaru útočníky jsou necelé 4 dny od průniku do prostředí (zdroj: IBM X-Force). Během kybernetického útoku může rychlá reakce výrazně omezit množství kompromitovaných dat a tím i celkové náklady na únik. Čím méně dat se ztratí, tím menší je potenciální dopad na třetí strany i reputaci společnosti. Menší objem kompromitovaných dat také znamená méně materiálu, který mohou útočníci využít k vydírání.

Zpráva IBM X-Force však ukazuje, že zatímco počet ransomwarových útoků na podniky klesl o 11,5 %, incidenty spojené s krádeží a únikem dat vzrostly o 32 %. Přesto platí, že čím méně dat se dostane do rukou útočníků, tím méně mohou prodat, což může ovlivnit jejich motivaci k útoku. Zavedení nepřetržitého monitorovacího systému s využitím nástrojů pro analýzu a prevenci kybernetických rizik pomáhá dříve odhalit a zastavit hrozby, což vám umožní efektivnější kontrolu nad bezpečností.

Jak tedy minimalizovat rizika úniku dat?

Se správnými bezpečnostními opatřeními, robustní strategií kybernetické bezpečnosti a důkladným plánováním můžete riziko úniku dat výrazně snížit a v případě incidentu minimalizovat jeho dopady. Klíčové je investovat do kybernetické bezpečnosti a zaměřit se na následující opatření:

• Vytvoření a zavedení silné řídicí struktury s jasně definovanými odpovědnostmi za reportování.
• Začlenění kybernetické bezpečnosti do diskusí na úrovni vedení společnosti.
• Zavedení efektivního řízení dat (data governance).
• Posilování bezpečnostní kultury napříč organizací.
• Implementace pokročilých opatření na ochranu dat, jako je šifrování.
• Pravidelné bezpečnostní audity a hodnocení rizik.
• Vypracování komplexních plánů reakce na incidenty a jejich testování prostřednictvím simulací.
• Školení zaměstnanců v oblasti kybernetické bezpečnosti a pravidelné osvětové kampaně ke zlepšení kybernetické hygieny.
• Pravidelná aktualizace systémů a aplikací včetně implementace bezpečnostních záplat.
• V případě potřeby spolupráce s příslušnými agenturami pro monitoring temného webu kvůli možným hrozbám vůči organizaci.
• Testování plánů obnovy po havárii a zajištění kontinuity podnikání pro případ neočekávaného narušení provozu.
• Důsledná kontrola bezpečnostních opatření u aplikací třetích stran a spolupráce s dodavateli.
• Udržování kybernetického pojištění pokrývajícího ztrátu dat, výpadky provozu, poškození reputace a incidenty třetích stran.
• Zavedení řízeného přístupu k aplikacím na základě rolí a hierarchie.
• Implementace nástrojů na ochranu proti zero-day útokům na aplikace a databáze.

S neustále se vyvíjejícím prostředím kybernetických hrozeb je navíc naprosto zásadní veškerá opatření a kontroly pravidelně aktualizovat a vylepšovat. Pouze při správném stanovení priorit v oblasti investic do kybernetické bezpečnosti vám umožní efektivní řízení rizik. V případě zájmu o revizi vašich stávajících opatření, hloubkovou analýzu či návrh a implementaci nové bezpečností strategie, nás neváhejte kontaktovat.