¿Por qué tres millones de euros? Porque, como veremos a lo largo del post, los costes de un ataque informático están en torno a esa cifra. Prevenirnos frente a este tipo de pérdidas es, más que una opción, una necesidad.
Cuantificar qué cantidad de tiempo y dinero debe dedicar una empresa u organismo a impedir los ataques a su infraestructura IT es siempre una cuestión complicada. Por un lado hay que tener en cuenta el apetito por el riesgo que tenga la organización en cuestión y por otro hay que calcular qué precio va a tener la reparación de los daños que provoque un posible ataque informático. A este último tema va dedicado este post: ¿qué coste tiene un compromiso en los sistemas de IT? ¿Cuánto nos va a suponer en robo y fraude directo, multas, pagos a terceros perjudicados, y costes de nuestra IT interna? Vamos a arrojar un poco de luz sobre este tema recordando algunos casos.
Los compromisos de datos en el pasado se ocultaban hasta que eran descubiertos por un tercero, los clientes, los partners, auditores… con lo que tener información sobre los costes de unos compromisos en la mayor parte de los casos no conocidos era tarea difícil. Poco a poco se ha extendido la conciencia de que dar luz a estos hechos es una buena práctica para evitarlos y un derecho de los posibles perjudicados cuyos datos están en manos de terceros no autorizados. Más aún, en ciertos países, sobre todo anglosajones, la ley obliga a informar de las brechas en la seguridad. De esta forma hay diferentes casos publicados (ver por ejemplo http://datalossdb.org).
Vamos a ver algunos ejemplos, y para aquellos interesados al final del post he dejado unos cuantos en
- TJX 250M$ (Computerworld, Tampabay): Uno de los primeros casos de robos masivos de información fue el de TJX; unos grandes almacenes con presencia en U.S., Canadá, Puerto Rico, U.K. e Irlanda. En 2007 la compañía reconoció que había perdido datos de tarjetas bancarias y datos personales de sus clientes durante un periodo de 18 meses, en los que sus sistemas habían sido atacados a través de WiFi inseguras y se había instalado sniffers en los sistemas de pago. Se robaron más de 94 millones de tarjetas de crédito y débito. La multa impuesta por las autoridades ascendió a 9.75M$ para pagar la investigación de los fiscales y establecer medidas de control.
Adicionalmente la propia TJX reconoció gastos de 250M$ incluyendo multas, indemnizaciones y compensaciones a clientes, y gastos de la definición e implantación de los nuevos procedimientos y sistemas de seguridad. Contrariamente a lo que pudiera parecer, TJX no sufrió demasiado en bolsa, perdió un 12% de su valor, y en 12 meses recuperó el precio original.
- Heartland 140M$ (Computerworld, Bloomberg): El sexto procesador de pagos con tarjeta bancaria de EE.UU. Heartland Payment Systems Inc. fue comprometido en 2009 y le robaron aproximadamente 130 millones de tarjetas de crédito. Heartland declaró que había llegado a un acuerdo para establecer la indemnización a VISA en 60M$ y a American Express en 3.5M$ y provisionó en sus cuentas de 2010 unos gastos de 140M$ relacionados con la brecha de seguridad, que incluían indemnizaciones adicionales a otros afectados y gastos legales. Uno de los responsables del ataque fue identificado y condenado a 20 años de cárcel. En este caso el efecto en la imagen de la empresa y en su valor en bolsa fue demoledor, ¡las acciones llegaron a caer un 80%! A día de hoy el gráfico de la cotización en bolsa muestra claramente el momento del ataque informático.
La lista de ataques a entidades financieras ha sido bastante prolija y uno de los últimos casos destapados fue el de la banda Carbanak en febrero de 2015. Hay investigadores que mantienen que es el mismo grupo es el denominado Anunak detectado en diciembre de 2014 y que mantiene una infraestructura localizada en Rusia, Ucrania y China. Se sospecha que han podido robar unos 1.000M$ a diferentes entidades financieras manipulando los cajeros automáticos a lo largo de varios años.
Por supuesto, fuera del entorno bancario ha habido también casos bastante conocidos.
- SONY: Sony ha sufrido diferentes ataques a lo largo de su historia. El primero conocido data de 2011, cuando recibió un ataque ente el 17 y el 19 de abril, siendo forzados a cerrar la PlayStation Netowork el 20 de Abril. El servicio estuvo caído durante 23 días y los costes del incidente se valoraron en 1.500M$.
El último caso bastante sonado en el que SONY se ha visto involucrada ha sido a raíz de la película “La entrevista”, una película cuyo coste fue de 44 M$. Su estreno fue boicoteado a través de ataques a sus páginas web e incluso el presidente de los EEUU intervino para apoyar a SONY en el estreno. El FBI acusó formalmente a Corea del Norte de estos incidentes, aunque todo apunta a que hay mucha más información que no conocemos, y que la película es solo la punta del iceberg.
- Adobe Systems: En la página de Adobe podemos leer “El 3 de octubre de 2013, informamos en un blog público que descubrimos ataques sofisticados a nuestra red que involucraban el acceso ilegal a información de clientes, así como al código fuente de varios productos de Adobe (…) También creemos que los atacantes accedieron a datos de tarjetas de crédito o débito cifrados de 3.1 millones de clientes de Adobe”.
No hay información sobre los costes totales que este problema de seguridad tuvo en Adobe, pero algunas fuentes hablan de la pérdida de 150 millones de cuentas de usuario y de que los costes podrían ascender a 1.5000 millones de dólares.
Aparte de los costes reputacionales y operativos, éstos también pueden venir a través de multas de los reguladores por incumplimientos principalmente de la LOPD, de la LSSI o la nueva ley de cookies. Por ejemplo, Google recibió una sanción de 900.000 euros por tres infracciones de la LOPD a finales de 2013. En un ámbito más cercano, Zeppelin Televisión, la productora de Gran Hermano, recibió una sanción de 1,08 Millones de euros de la agencia de protección de datos en 2007 después de que su base de datos de candidatos a concursantes fuese primero robada y luego publicada en un foro general por unos delincuentes informáticos.
Y esto es sólo es una pequeñísima parte. Nos dejamos los 40 millones de tarjetas de crédito robadas en Target, Home Depot y otros muchos. Si tienen curiosidad, Forbes tiene una interesante lista de los 20 mayores robos de tarjetas de crédito en 2014. Y esos son sólo los que se han hecho públicos.
Por último, volviendo al título de esta entrada y a un enfoque más general (no todas las empresas son entidades financieras ni grandes multinacionales), los datos más generales sobre costes de brechas de seguridad publicados por el Instituto Ponemon y por BDNA, que cita a Gartner [PDF], concluyen que los costes están en el entorno de los 3 a 5 millones de euros.
A la vista de estos datos, ¿dirían que las inversiones en seguridad están justificadas, o no?
Gracias Javier
Interesante reflexión.