Nigdy nie mamy 100% pewności, że nie dojdzie do zdarzenia powodującego odstawienie dostępu do usługi świadczonej przez Infrastrukturę Krytyczną. Przyczyn incydentów mogą być dziesiątki, a jedną z najczęstszych jest człowiek. Promowana na niniejszym portalu IDEA zapewnienia funkcjonalności infrastruktury technicznej o znaczeniu krytycznym polega na zminimalizowaniu tego ryzyka. Warto ocenić możliwe koszty wynikające z braku ciągłość dostępu do usług infrastruktury krytycznej na wypadek wystąpienia niespodziewanej sytuacji kryzysowej rozpatrywanych w kontekście kosztów ponoszonych na przygotowanie infrastruktury technicznej o znaczeniu krytycznym oraz przygotowanie organizacyjno merytoryczne służb utrzymania ruchu tej infrastruktury.
Należy przeprowadzić kalkulację ryzyk związanych z zatrzymaniem dostępu do usług zanim jeszcze do niej dojdzie. Podstawą jest założenie, że w każdej chwili może dojść do awarii, o trudnym do oszacowania zasięgu, co w konsekwencji wpłynie na działanie całości lub części dostępu do usług świadczonych przez Infrastrukturę Krytyczną.
Model kosztu awarii skład się 11 grup kosztowych, które można zidentyfikować w pełnym (lub częściowym) udziale w trakcie wystąpienia i usuwania zdarzenia mającego charakter awarii:
• 9 podstawowych kategorii kosztowych jest związanych bezpośrednio i pośrednio z reakcją na brak dostępu do usługi świadczonej przez infrastrukturę krytyczną,
• 2 kategorie kosztów są związane z utraconymi korzyściami, a więc , reprezentujące koszty niezwiązane bezpośrednio z usuwaniem awarii
Koszty pośrednie i bezpośrednie:
• Koszt wykrycia - działania związane z początkowym wykryciem i badaniem całkowitej lub częściowej przerwy w działaniu.
• Koszt ograniczenia - działania i koszty, które pozwalają zapobiec rozprzestrzenianiu się awarii.
• Koszt naprawy - działania i koszty, które odnoszą się do przywrócenia głównych systemów do stanu gotowości.
• Koszty „ex-post” reakcji – wszystkie koszty nadzwyczajne, powstałe po wystąpieniu i usunięciu awarii.
• Koszt sprzętu - koszt wyposażenia nowych zakupów i remontów uszkodzonego sprzętu.
• Koszty personelu - stracony czas personelu świadczącego bezpośrednio usługę biznesową, do której ustał dostęp w wyniku awarii i związane z nim wydatki.
• Koszty utraty produktywności użytkownika końcowego - stracony czas Użytkownika Końcowego i związane z tym koszty.
• Koszt zleceniobiorców - koszt wykonawców, konsultantów, biegłych i innych specjalistów, zaangażowanych w celu wyjścia z nieplanowanych przestojów.
Koszty utraconych korzyści:
• Koszt utraconych przychodów - całkowita utrata potencjalnych i rzeczywistych przychodów (wynikających z umów) z powodu niezdolności do uzyskania dostępu do usług w okresie trwania awarii.
• Koszt przerwania działalności (konsekwencje przerwy) - łączna strata gospodarcza z tytułu przerwy w działaniu, wliczając w to: utratę reputacji, rezygnację klientów, utratę szans biznesowych itp.
Przytoczone poniżej dane pochodzą ze źródeł:
1. Ponemon Institute - instytucja, która prowadzi niezależne badania dotyczące prywatności, ochrony danych i polityki bezpieczeństwa informacji. Ponemon Institute jest organizacją macierzystą Amerykańskiej Rady Odpowiedzialnego Zarządzania Informacją (RIM).
2. Emerson Network Power - spółka z grupy Emerson zajmująca się infrastrukturą techniczną o znaczeniu krytycznym w serwerowniach, sieciach łączności, opiece zdrowotnej i obiektach o znaczeniu krytycznym. Firma dostarcza oprogramowanie, sprzęt i usługi, które zwiększają dostępność, potencjał i wydajność przedsiębiorstw.
Dane pochodzą z ankiet przeprowadzonych w latach 2010-2013 i dotyczą 41 obiektów o wielkości minimalnej powyżej 230 m2 na terenie USA, w których wystąpiła minimum 1 awaria w ciągu 12 miesięcy poprzedzających badanie. Dane można pobrać z poniższego linku.
| Kategoria kosztu | Razem ($) | Średnia ($) | Mediana ($) | Min. ($) | Max. ($) |
| Wykrycie | 916 245 | 22 347 | 16 138 | 519 | 48 178 |
| Przywrócenie | 856 226 | 20 884 | 15 899 | - | 48 178 |
| Działania "ex-post" | 391 015 | 9 537 | 10 261 | - | 26 332 |
| Sprzęt | 371 586 | 9 063 | 6 369 | 357 | 52 136 |
| Czas personelu IT | 1 743 738 | 42 530 | 23 861 | - | 24 509 |
| Użytkownik końcowy | 3 945 269 | 96 226 | 67 904 | 1 251 | 599 |
| Zleceniobiorcy | 287 331 | 7 008 | 6 097 | - | 21 634 |
| Utracony przychód | 4 841 270 | 118 080 | - | - | 755 077 |
| Przerwa w prowadzeniu biznesu | 7 372 922 | 179 827 | 98 065 | - | 912 263 |
| KOSZT ŁĄCZNIE | 20 725 602 | 505 502 | 507 052 | 38 969 | 1 017 746 |
W kontekście tych kosztów, warto zauważyć, że:
- koszty bezpośrednie awarii to tylko 38% kosztów całkowitych,
- średni koszt minuty przestoju to $5600,
- przy średnim czasie trwania 90 minut, awaria powoduje koszty na poziomie $500 000,
- najdroższe awarie dotykają sektor telekomunikacyjny i bankowy (około $1 000 000)
- najmniej kosztowne awarie dotykają sektor hotelarstwo i turystykę (około $85 000),
- porównując ogólne koszty badanych incydentów infrastruktury krytyczne według topologii TIER 3 i TIER 4, można zauważyć, że przy różnuicy w braku dostępności pomiędzy TIER 3 i TIER 4 wynoszącej około 72 minuty, koszty całkowite awarii mogą być niższe o około $403 000 rocznie.
- najczęstszy powód awarii to usterki UPS i błędy niestandardowe (związane z codzienną obsługą),
- paradoksalnie, do najrzadszych przyczyn należą awarie sprzętu IT,
- mimo, że sprzęt IT ulega awariom najrzadziej, jego łączne średnie koszty są najwyższe!
- błąd ludzki lub niestandardowy, mimo, że niemal najczęstszy, sumarycznie powoduje najniższe koszty awarii.
