Egyre többe kerül az adatszivárgás

A Ponemon Egyesült Államokban végzett összehasonlító tanulmánya  – amely 15 üzleti szektor 51 vállalatának közreműködésével készült – az adatszivárgással kapcsolatos költségek folyamatos növekedését mutatja. 2010-ben a vállalati adatszivárgás átlagos költsége elérte a 7,2 millió dollárt a korábbi 6,8 millió helyett, illetve 10 dollárral, 214 dollárra drágult az egyes adategységekre vetített költség. A legdrágább adatszivárgási eset 35,3 millió dollárba került, ami 15%-kal magasabb az egy évvel korábbinál, a legalacsonyabb költség pedig elérte a 780 ezer dollárt, ami 4%-os emelkedés a 2009-es adatokhoz képest.

2010-ben először fordult elő, hogy a rosszindulatú támadások okozták az adatvesztés legnagyobb költségét. A tanulmány szerint a rosszindulatú, illetve bűncselekményből adódó támadások, az összes eset 31%-át tették ki. Ez 7%-kal több, mint 2009-ben, illetve kétszer annyi, mint az előző évben. Ezeknek a támadásoknak a költsége az egekbe szökött: 48%-kal, 318 dollárra emelkedett egy rosszindulató támadás során elvesztett adat átlagos költsége.

A leggyakoribb, ugyanakkor szintén egyre költségesebb adatszivárgási ok továbbra is a hanyagság, amely az összes szivárgási eset 41%-át okozza. Egy év alatt harmadával növekedett a hanyagságból eredő károk költsége. Ez az adat azt mutatja, hogy a vállalatoknak továbbra is kihívás a kollégák, illetve a partnerek megfelelőségének megteremtése.

Az adatszivárgás hazai szakértője, a CDSYS, tapasztalatai szerint Magyarországon is a figyelmetlenségből, hanyagságból eredő adatszivárgási esetek a gyakoribbak, de a károk mértékét tekintve a rosszindulatú támadások jelentenek nagyobb veszélyt. Sajnos még komolyabb technikai felkészültség és szakértelem sem szükséges ahhoz, hogy súlyos károkat okozzon pl. egy elégedetlen alkalmazott a vállalatnak, hisz a legtöbb cégnél nincs adatszivárgás elleni védelmi technológia, így akár egy email-ben is kiküldhetőek a bizalmas információk tetszőleges címre. Hanyagságra gyakori példa, hogy a szabadság idejére bekapcsolt automatikus levéltovábbítási funkció hónapokkal a szabadság lejárta után is küldi a privát postafiókba a teljes céges levelezést.

A tanulmány szerint növekvő tendenciát mutat a vállalatok hirtelen, tervszerűtlen reagálása az adatvesztési esetekre, ami jelentős többletköltségekkel és az ügyfelek elvesztésével jár. Adatszivárgás miatt arányosan a legtöbb ügyfelet a gyógyszeripari és az egészségügyi cégek veszítették el. Az adatvesztés a kommunikációs, a gazdasági és a gyógyszeripari szektorban volt a legköltségesebb.

„Ez a viselkedés Magyarországon is jellemző, a legtöbb vállaltnál nincs megfelelően kialakított folyamat, amely végigkísérné az adatszivárgási eseteket a detektálástól a kivizsgáláson keresztül a jogi lépések megfelelő megtételéig. Mivel Magyarországon a nyilvánosságra hozatal és értesítés sem kötelező egyelőre ezért ezen a területen, még jelentős lépéseket kell tennünk, hogy hasonló fejlettségi szintet érjünk el mint a tanulmányban szereplő vállalatok” – hangsúlyozza Egerszegi Krisztián, a CDSYS ügyvezető igazgatója.

A vállalatok továbbra is főleg a munkaerő megfelelő képzésére támaszkodnak az adatszivárgások jövőbeli megakadályozásának érdekében. A legnépszerűbb védekezés az adatszivárgás ellen továbbra is az oktatás és a felvilágosító programok, de a titkosítás és más technikai megoldások is gyorsan terjednek. A képzések valamilyen formáját a válaszadók közel kétharmada, a titkosítási megoldásokat 61% használja.

Pozitív tendencia, hogy a vállalatok egyre proaktívabb módon védik adataikat a támadásoktól. Mivel a vállalatok többet költöttek a megelőzésre és a felderítésre, a harmadik fél által okozott károk, az elveszett, ellopott eszközök miatt bekövetkezett adatvesztések, illetve a rendszer-meghibásodások okozta veszteségek 2010-ben már csökkentek az előző évhez képest.

Az adatszivárgással kapcsolatos költségek megértéshez tudnunk kell, hogy ezek az összegek a tartalmazzák mind a közvetlen és közvetett költségeket is, pl. elvesztett hitelkártyaadatok esetén:

Közvetlen költségek (kb. a költségek 1/3-a):
-    érintettek értesítése
-    kártyák letiltása,
-    új kártyák kiállítása
-    biztonsági kivizsgálási eljárás költségei
-    audit költségek
-    jogi költségek
-    compliance költségek

Közvetett költségek (a költségek 2/3-a):
-    elvesztett ügyfelek,
-    elvesztett üzleti lehetőségek
-    megnövekedett lemorzsolódás
-    ügyfélszerzési költség növekedése
-    image, brand veszteségek
-    PR / kommunikációs költségek