Menu dostępności

Jakie są koszty cyberwłamania

Ile kosztuje cyberwłamanie?

To trochę jak pytanie „Ile kosztuje samochód?” – wszystko zależy jaki. Właściwie powinno ono brzmieć: „Jakie straty generuje cyberwłamanie?”. I oczywiście odpowiedź będzie uzależniona od wielkości organizacji i rodzaju zdarzenia, a także od tego, jak oprócz strat bezpośrednich wyliczamy straty pośrednie, w tym wizerunkowe. Trudne do całkowitego oszacowania.

Niemniej w Stanach Zjednoczonych musieli wycenić straty – i wycenili… Dlatego w dzisiejszym poście zajmiemy się finansowymi skutkami włamań, ale też zwyczajnych błędów ludzkich.

SolarWinds

Właśnie podano do publicznej wiadomości, że SolarWinds, firma IT z siedzibą w Teksasie, zgodziła się zapłacić 26 milionów dolarów. Jest to wynik pozwu akcjonariuszy w związku z naruszeniem danych ujawnionym w 2020 roku.

Krótko przypomnijmy. Mowa o jednym z największych cyberataków w historii, prekursorze ataków „na łańcuch dostaw”. Powiązani z Rosją cyberprzestępcy włamali się do systemów SolarWinds w 2019 r., a być może nawet wcześniej. Hakerzy naruszyli zautomatyzowane środowisko kompilacji oprogramowania monitorującego Orion, a wiosną 2020 r. wypchnęli złośliwe aktualizacje Orion do tysięcy klientów SolarWinds. W drugiej fazie ataku przestępcy skoncentrowali się na około stu organizacjach, które otrzymały dodatkowe złośliwe oprogramowanie. Dotyczyło to organizacji zarówno prywatnych, jak i rządowych. Szczegółowo pisaliśmy o tym tutaj.

Naruszenie wyszło na jaw w grudniu 2020 r., a w styczniu 2021 r. inwestorzy SolarWinds złożyli pozew zbiorowy przeciwko spółce, niezadowoleni z wpływu ujawnienia włamania na wartość ich akcji. SolarWinds twierdzi, że osiągnął porozumienie z akcjonariuszami i jest gotowy zapłacić 26 milionów dolarów, w tym opłaty prawne. Jednak ugoda, która została autoryzowana i zaakceptowana przez ubezpieczycieli, nadal wymaga zatwierdzenia przez sąd.

„Proponowana ugoda rozwiązuje wszystkie roszczenia przeciwko Spółce i innym wymienionym pozwanym w związku z pozwem zbiorowym i będzie zawierać postanowienia, że nie stanowi przyznania się lub stwierdzenia jakiejkolwiek winy, odpowiedzialności lub wykroczenia jakiegokolwiek rodzaju przez Spółkę lub jakiegokolwiek pozwanego” – zadeklarował SolarWinds w oświadczeniu.

Nie są to oczywiście jedyne skutki finansowe włamania. Najnowszy raport finansowy spółki pokazuje, że wspomniany incydent kosztował ją do tej pory dziesiątki milionów dolarów, a spodziewa się ona dalszych znacznych wydatków związanych z naruszeniem. Wszystko to pomimo faktu, że niektóre z tych kosztów objęte były ubezpieczeniem. Firma przewiduje, że w 2022 r. jej łączne przychody wyniosą około 700 milionów dolarów.

Przypadek Facebooka, a właściwie Mety

Przy okazji omawiania newsów z amerykańskiej wokandy warto przypomnieć o ugodzie, na którą zgodził się Facebook.

W lutym tego roku obecnie przemianowany na Meta Platforms gigant social mediów zgodził się zapłacić 90 milionów dolarów, aby rozstrzygnąć wreszcie dziesięcioletni spór prawny. Oskarżenie dotyczyło oczywiście śledzenia użytkowników online nawet po wylogowaniu się z sieci społecznościowej.

Jest to ten przypadek, gdzie nie włamanie czy inne działanie osób trzecich, ale wadliwie zaprojektowana funkcjonalność spowodowała problemy z prywatnością i w konsekwencji pojawienie się roszczeń.

W lutym rzecznik Mety Drew Pusateri mówił: „Osiągnięcie porozumienia w tej sprawie, która ma ponad dziesięć lat, leży w najlepszym interesie naszej społeczności i naszych akcjonariuszy i cieszymy się, że możemy rozwiązać ten problem”.

W pozwie twierdzono, że gigant mediów społecznościowych naruszył wytyczne dotyczące prywatności, śledząc wizyty użytkowników na zewnętrznych stronach internetowych zawierających przyciski „Lubię to” Facebooka, aby lepiej targetować reklamy. Według dokumentów sądowych śledzenie było w tamtym czasie sprzeczne z zapewnieniami portalu. Kwestia podniesiona w pozwie została już technicznie rozwiązana i według sieci społecznościowej nie ma wpływu na użytkowników. Ugoda obligowała firmę Meta do wpłacenia 90 milionów dolarów na fundusz roszczeń i usunięcia wszystkich danych, które, jak twierdził pozew, zostały niesłusznie zebrane.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...