מתקפת סייבר | צילום: גטי אימג'ס
פרשנות
חברות חוסכות בהגנת סייבר - ומגלגלות את עלות הנזק ללקוח
מחקר של מכון פנימון ו-IBM מצביע על כך ש-60% מהחברות או הארגונים שנפגעו מתקיפות סייבר גלגלו את העלויות ללקוחות והעלו מחירים. המחקר עשוי להצביע גם על הפתרון לבעיה - חברות שהיו דואגות לאבטח את עצמן היו יכולות לחסוך בממוצע עד כ-50% מעלות הנזק שנגרם להן
מחקר של מכון פנימון ו-IBM שפורסם הבוקר (ד') מצביע על תופעה מדאיגה - 60% מהחברות או הארגונים שנפגעו מתקיפות סייבר גלגלו את העלויות ללקוחות והעלו מחירים.
המחקר, שנערך בקרב כ-550 חברות וארגונים בעולם, מצא כי הנזק הגלובלי הממוצע כתוצאה מתקיפות סייבר עמד ב-2022 על כ-4.35 מיליון דולר לאירוע. לצורך ההשוואה, בשנה שעברה הנזק היה נמוך בכ-2.6% ועמד על כ-4.24 מיליון דולר.
הבעיה של החברות היא שפעמים רבות הן מתקצבות בחסר את ההגנות הנדרשות להגנת התשתיות והעסקים שלהם. התוצאה היא שגם אם חברה נפגעה מאירוע סייבר פעם אחת, ב-83% מהמקרים התברר שהיא נחשפה לאירוע נוסף במקביל. אין זה מפתיע - האקרים פועלים ביריבות, ואם מישהו מצליח להיכנס לאנשהו ומתרברב על כך בפורומים בדארקנט, רבים ינסו לחקות אותו כדי להראות שגם הם מסוגלים וכך לגזור מהאירוע הכרה "מקצועית".
אם פעם רק חברות קטנות או בעלות תשתיות הגנה לא מספיקות סבלו מפגיעות רציניות, השנתיים האחרונות הוכיחו שזה ממש לא המצב. רק לאחרונה דווח שגם ספקית הסלולר הגדולה בארה"ב טי-מובייל והרשת החברתית טוויטר ספגו פריצות סייבר משמעותיות. במקרה של טוויטר, למשל, ההאקר פרסם את המאגר שגנב למכירה בדארקנט עבור כ-30 אלף דולר. המאגר כולל כ-5.4 מיליון חשבונות טוויטר פעילים, כולל של סלבריטאים, חברות ומשפיענים.
המקרה של טי-מובייל גרוע אף יותר - החברה חויבה לשלם ללקוחות שפרטיהם נגנבו סכום כולל של כ-350 מיליון דולר, כך על פי החלטת בית המשפט האמריקאי שדן בתביעה. הפריצה, אגב, היתה חמורה יותר מזו של טוויטר ופגעה בעשרות מיליוני לקוחות. מעבר לסכום הפיצויים, הספקית חויבה גם לשדרג את תשתיות הגנת הסייבר שלה בכ-150 מיליון דולר. כלומר, ביחד מדובר בהוצאה של כחצי מיליארד דולר מתקציבה, משהו שלא יעבור בשקט בדו"ח הרבעוני הקרוב שלה.
התוצאה היא שהחברות לא מהססות להעלות את המחירים בהתאם. זו בעיה שפוגעת בלקוחות לא רק אם החברה ממנה הם מקבלים שירות נפגעה - יכול להיות שהאשמה היתה על ספק שירות כלשהו שלא אבטח מספיק את מערכותיו ושדרכו חדרו האקרים.
תקיפות שרשרת אספקה אלה הצליחו לגרום לנזקים גם לתשתיות קריטיות. למשל, במקרה של תקיפת חברת הולכת האנרגיה סולארווינדס, הן השביתו בבת אחת חלק ניכר מתשתית הולכת הדלק בחוף המזרחי של ארה"ב למשך מספר ימים. הנזק הגיע למאות מיליוני דולרים, ובמצטבר כנראה שלהרבה יותר.
לא ברור אם הפריצה הזו היתה יכולה להימנע, אבל במקרים אחרים ידוע שטיפול במערכות מיושנות או הוספה של כוח אדם מאפשר בהחלט למנוע או לפחות לצמצם את הנזק. אגב, 62% מהמשיבים למחקר אמרו שהם מעריכים שאין להם מספיק כוח אדם כדי להתמודד עם איומי סייבר.
דוגמה מצוינת לכך אפשר למצוא באירוע הסייבר שהשבית את בית החולים הלל יפה בשנה שעברה. מעבר לעובדה שבית חולים היה מאויש בחוסר בכל הנוגע לאנשי סייבר שיגנו עליו, גם הרשת הפנימית שלו היתה מיושנת ולא עמדה בדרישות אבטחת המידע המודרניות. התוצאה? בהלל יפה נאלצו להוציא מעל ל-30 מיליון שקל כדי להתקין ציוד חדש במקום זה שנפגע בתקיפה. המדינה, בעלת הבית של המוסד הזה, ככל הנראה תכניס את העלויות לתוך חישובי התקציב השנתי הבא, וכך יצא שאזרחי המדינה ישלמו גם הם על הנזק שנגרם.
המחקר של מכון פנימון ו-IBM עשוי להצביע על הפתרון לבעיה - חברות או ארגונים שהיו דואגים לאבטח את עצמם היו יכולים לחסוך בממוצע עד כ-50% מעלות הנזק שנגרם להם - בבחינת עדיף למנוע מאשר לרפא.