Dlaczego koszt jest trudny do oszacowania — i dlaczego to nie jest wymówka
Koszt incydentu bezpieczeństwa jest trudny do zmierzenia precyzyjnie — bo wiele składowych pojawia się z opóźnieniem, jest niewidocznych w bilansie lub niemierzalnych w kategoriach finansowych. Firmy które doświadczyły poważnych incydentów rzadko publikują pełne rachunki.
Ale dane są dostępne — z raportów branżowych, z postępowań regulacyjnych, z przypadków które weszły do sfery publicznej. I nawet jeśli Twoja sytuacja będzie wyglądać inaczej niż mediana z raportu IBM, skala ryzyka jest na tyle duża że kalkulacja “koszt incydentu vs koszt zabezpieczenia” rzadko przemawia za brakiem działania.
Dane z raportów branżowych — co mówią liczby
IBM Cost of Data Breach Report 2024 podaje że średni globalny koszt naruszenia danych to 4,88 miliona dolarów — wzrost o 10% rok do roku i najwyższy poziom w historii badania. Dla sektora finansowego (typowy klient CyberForge) średnia wynosi ponad 6 milionów dolarów.
Verizon Data Breach Investigations Report 2024 wskazuje że ponad 68% naruszeń danych wiąże się z błędem ludzkim lub nadużyciem uprawnień — nie z zaawansowanymi atakami zewnętrznymi. Błędna konfiguracja, zbyt szerokie uprawnienia, niezrotowany token — to dominujące przyczyny, nie wyrafinowany exploit zero-day.
GitGuardian w raporcie za 2024 rok wykrył ponad 12,8 miliona sekretów wycieczonych do publicznych repozytoriów GitHub. Mediana czasu między opublikowaniem sekretu a jego pierwszym użyciem przez nieuprawnioną osobę: poniżej 5 minut. Zautomatyzowane skanery działają nieustannie.
Składniki kosztu — co faktycznie się sumuje
Koszty bezpośrednie i natychmiastowe to najmniejsza część rachunku. Obejmują czas inżynierów na identyfikację, izolację i naprawę incydentu (incydent średniej wielkości to 200-400 godzin pracy technicznej), koszt zewnętrznej pomocy forensics i incident response, rotacja wszystkich potencjalnie skompromitowanych sekretów i kluczy (często kilkadziesiąt systemów).
Koszty regulacyjne i prawne rosną wraz z wejściem w życie DORA i NIS2. Naruszenie które nie zostało zgłoszone w wymaganym terminie, lub dla którego organizacja nie ma dokumentacji kontroli — to potencjalne kary administracyjne. DORA przewiduje kary do 1% globalnego obrotu rocznego dla podmiotów finansowych. NIS2 — do 10 milionów euro lub 2% globalnego obrotu.
Koszt przerwy operacyjnej jest często większy niż koszty naprawy. Downtime spowodowany incydentem lub wstrzymaniem deploymentów podczas dochodzenia. Dla firm SaaS z modelem subskrypcyjnym — każda godzina niedostępności to bezpośredni koszt retencji klientów.
Koszty reputacyjne i sprzedażowe są najtrudniej mierzalne i najdłużej trwają. Klient Enterprise który dowie się o incydencie bezpieczeństwa u dostawcy może zawiesić lub zakończyć współpracę. Nowe kontrakty w toku negocjacji mogą wymagać dodatkowego due diligence. Informacja o incydencie pojawia się w wynikach wyszukiwania przy badaniu dostawcy przez nowych klientów — przez lata.
Koszt szczególny: wyciek sekretów CI/CD
Wyciek długowiecznego tokenu AWS z pipeline’u to szczególny typ incydentu — bo zakres kompromitacji jest często niejasny przez długi czas. Token który istniał przez 18 miesięcy mógł wyciec w dowolnym momencie w tym oknie. Przez 18 miesięcy ktoś mógł mieć dostęp do środowiska produkcyjnego.
Dochodzenie forensics musi odpowiedzieć na pytanie: co token mógł zrobić i czy to zrobił? Dla szerokich uprawnień IAM — to tygodnie analizy logów. Dla starszych środowisk bez dobrego monitoringu cloudtrail — odpowiedź może być “nie wiemy”.
“Nie wiemy” jest szczególnie kosztowne regulacyjnie. DORA i NIS2 wymagają że organizacja wie co się stało i może to udowodnić. Brak audytowalności to oddzielny problem compliance niezależnie od tego czy incydent miał rzeczywisty wpływ.
Koszt dla firm sprzedających do Enterprise
Dla software house’u lub firmy SaaS sprzedającej do klientów Enterprise incydent bezpieczeństwa ma dodatkowy wymiar — wpływ na kontrakt. Klauzule security w umowach Enterprise coraz częściej zawierają wymóg powiadomienia o incydentach, prawo do audytu po incydencie i prawo do rozwiązania umowy przy naruszeniu standardów bezpieczeństwa.
Kontrakty które są w toku negocjacji w momencie publicznego incydentu — zamrażają się lub upadają. Klient który właśnie prowadził vendor risk assessment i dowiedział się o incydencie u dostawcy — zatrzymuje proces. Odblokowanie go wymaga wyjaśnień, nowej dokumentacji i często nowego cyklu oceny.
Firmy które mają wdrożone kontrole i dokumentację — są w stanie szybciej odpowiedzieć na pytania klienta po incydencie: “Co się stało, jakie kontrole zawiodły, co zostało naprawione i jakie mamy dowody że to działa.” Firmy które nie mają dokumentacji — nie są w stanie tej odpowiedzi udzielić.
Po której stronie kalkulacji chcesz stać
Hardening CI/CD to koszt jednorazowy w przedziale kilkunastu–kilkudziesięciu tysięcy złotych. Retainer utrzymaniowy to koszt miesięczny porównywalny z jedną pensją juniora.
Po drugiej stronie: incydent z wyciekiem sekretów CI/CD, według danych IBM, kosztuje przeciętnie kilka milionów złotych bezpośrednio — zanim doliczymy koszty regulacyjne, utratę kontraktów i czas przywracania operacyjności. Firmy które nie mają dokumentacji nie są w stanie odpowiedzieć na pytania klientów ani regulatorów po incydencie, co przedłuża i pogłębia koszt.
Pytanie “czy warto” jest zwykle pytaniem “kiedy zacząć”. Organizacje które zaczynają po incydencie płacą dwukrotnie: raz za incydent, raz za zabezpieczenia które powinny być wcześniej. Organizacje które zaczynają wcześniej — mają dokumentację, krótszy czas odpowiedzi i wyższy próg negocjacyjny z klientem który pyta o bezpieczeństwo.
Czytaj również: