FIC 2015 оцінює вартість кібератаки, неможлива місія CESIN

FIC 2015: оцінка вартості кібератаки, місія неможлива ?

вартість

Безпека: Під час конференції, проведеної на FIC 2015, кілька експертів повернулися до тернистого питання оцінки вартості кібератак. Між маркетингом страху та прихованими витратами операція складна, а то й неможлива.

Від нашого спеціального кореспондента у Ліллі - Напад, подібний до нападу Sony Pictures, наскільки ми можемо оцінити його наслідки? Нам важко навести цифру або навіть простого представника збитку, який зазнала компанія після піратства монстра, яке зазнало протягом листопада. "Прямі витрати на перезапуск системи після атаки досить легко оцінити, - пояснює Янн Леборньє з Cisco Security, - але допоміжні та похідні витрати, з точки зору зображень чи іншим чином, неможливо оцінити".

Дійсно, важко оцінити реальну вартість кібератак. MacAfee опублікував спільно з CSIS дослідження, яке оцінює фінансову вагу цього виду атак у 350 мільярдів євро на рік. Але, не ставлячи під сумнів цифри та оцінки видавця, деякі експерти гартують ці висновки: "Очевидно, є ефект, пов'язаний із маркетингом страху, який вигідний деяким компаніям", пояснює Алексіс Каретт, менеджер з розвитку компанії Atos Big Data and Security. "В даний час бракує надійних статистичних даних, на яких би базувалася наша оцінка такої загрози в глобальному масштабі. І це, незважаючи на нові французькі ініціативи щодо повідомлення про напади".

Це серйозне руйнування?

Незважаючи на те, що кількість і частота атак важко знайти, не всі атаки створюються рівними. І не всі погоджуються з цінністю, яку їм слід надавати. Нещодавня хвиля атак на сайти, яка вразила Францію, сприймається як вторинна для Домініка Лоазеле із «Блакитного пальто». «Пошкодження незначні, але дуже помітні. Але ми бачимо, що реальна вартість нападу обернено пропорційна його видимості». Думка, яка часто зустрічається у світі кібербезпеки, який частіше турбується складними атаками і триває з часом, ніж псування сайтів, вважається менш серйозною.

Крім Ален Бульє, президент Сесіна, це сприйняття не цілком обґрунтоване "Тег на вашому сайті, це іноді тег, який побачать тисячі або навіть мільйони людей. Насправді вплив мінімальний, але він впливає на імідж і може спричинити втрату довіри з боку клієнтів або відвідувачів сайту. І це має реальний вплив ".

З огляду на безліч параметрів та різних змінних, що вступають у гру, питання, зрештою, видається упередженим. Деякі аспекти легко оцінити: вартість реконструкції у разі пошкодження, фінансовий вплив, спричинений відмовою в обслуговуванні. Але багато аспектів залишаються незліченними. Однак одне можна сказати точно: потенційний збиток, заподіяний атакою, завжди більший, ніж інвестиції в кібербезпеку. "Коли ми дивимося на цифри бюджету безпеки в умовах витрат, спричинених реальною масштабною атакою, ми завжди перемогти ", - пояснює Ален Бульє.

Більше, ніж питання грошей

Але все ще залишається пояснити це страховикам. Дійсно, у цьому секторі розвивається страхування, яке все більше враховує ризики, пов'язані з кіберзагрозами. І цьому спеціалісту потрібно точно і кількісно оцінити вартість нападу. "Є ініціативи, які розвиваються в цьому напрямку, зокрема, страхові компанії, які прагнуть в США визначити точну вартість викрадених персональних даних, спираючись на американську законодавчу базу. Це дає можливість дати оцінку в основному крадіжка даних », - пояснює Ален Бульє. Але логіка страхування досягає своїх меж: у випадку крадіжки комерційної таємниці або обвалу курсу акцій після нападу, усіх страховок у світі буде недостатньо, щоб врятувати вас.

Тому спроби кількісно визначити справжню вартість кібератак рідко є репрезентативними. На додаток до культу таємниці, який панує, як тільки ми розглядаємо тему, навіть кількісна оцінка шкоди здається неможливою. Безперечно одне: інвестиції в кібербезпеку завжди будуть дешевшими, ніж стати новими Sony Pictures.