• Non hai l'alternativa di avere solo (cioè solo) un piano di ripristino e un processo nel caso in cui l'attacco in questione si verifichi - un backup, per così dire?
Detto questo ... da dalla tua formulazione sembra che tu possa subire un attacco di questo tipo senza nemmeno saperlo, a meno che non spendi soldi solo per poterlo rilevare. ... Quindi forse quanto sopra è un concetto vuoto.
• Più soggettivamente, sembra che questo abbia quella caratteristica standard (e incredibilmente fastidiosa) delle decisioni difficili, essendo che coinvolge incognite. Se sapessi X (in questo caso, che un attacco potrebbe / non accadrebbe), faresti sicuramente Y (in questo caso, spendere un sacco di soldi per un contatore o no). A volte può essere utile riconoscere che davvero non si hanno le informazioni necessarie per indicare da che parte si salta; poi, lanci una moneta e salti ... invece di spendere enormi quantità di energia torcendoti le mani. (In situazioni estreme, gli esseri umani tendono a comportarsi sulla base del fatto che l'eventualità sarà ciò in cui spererebbero, per quanto improbabile possa essere.)
C'è valore, per il tuo personale, nell'avere solo un persona che si assume la responsabilità dell'oscuro sconosciuto.
Vorrei fare un cenno alla risposta di Will Barnwell (e al citato Nassim Taleb). Non significa assolutamente insulto a "ampi argomenti filosofici //" ... tali non sono necessariamente corretti. Il problema per me è che è facile immaginare che potrebbero esserci da due a tre di queste bestie entro pochi anni, il che significa che il costo delle contromisure aumenta da significativo a paralizzante. Indipendentemente ... se ci si può ragionevolmente aspettare che il rischio aumenti, ciò cambia i parametri (dati) della decisione.
Da un lato abbiamo il costo dell'attacco. Come ha osservato Philipp, esiste un limite massimo fissato dal valore dell'azienda; sarebbe fuorviante spendere 10 milioni di dollari per ricostruire un'azienda che vale solo 1 milione di dollari. Sfortunatamente, questo ignora il costo combinato per i clienti dell'azienda. Sebbene non sia sensato per un'azienda da 1 milione di dollari valutare un potenziale problema più del proprio valore, resta vero che il significato del problema potrebbe facilmente essere (diciamo) 50 milioni di dollari.
Dall'altro lato, c'è la dimensione del rischio. Anche in questo caso, un contabile (per così dire) potrebbe semplicemente scoprire quante aziende sono vulnerabili al tipo di attacco in questione e quante di queste sono state colpite in ciascuno degli ultimi anni, e derivare direttamente una probabilità di qualsiasi azienda colpita in un dato anno. Una versione leggermente più sofisticata includerebbe una stima di quanti sono stati colpiti e riusciti a mantenerla segreta, se questo è ragionevolmente possibile. Una versione ancora più sofisticata determinerebbe quante di queste aziende vale la pena attaccare ... il che può includere o meno la questione se hanno preso individualmente contromisure ... tranne che sarebbe un segreto ... ed è, con una certa probabilità, noto a un aggressore.
Poi c'è la possibilità che, da un lato, possa diventare disponibile una difesa intelligente ed economica e, dall'altro, che gli attaccanti possano essere più o meno motivati o numerosi in cinque anni, oppure potrebbe trovare una vulnerabilità in un sottoinsieme dei possibili obiettivi e così via. Inoltre, potrebbe venire alla luce che alcune aziende sono state attaccate in questo o in un modo simile, e non lo sanno (e alcune potrebbero scoprirlo dopo l'evento, se mai).
Inoltre, c'è il rischio cumulativo. Va benissimo calcolare il rischio come dato annuale, se il rischio è ragionevolmente alto e la domanda è quanto spendere per prevenirlo e mitigarlo. Se, viceversa, l'effetto sarebbe tale da estromettere l'intera azienda, allora un dato annualizzato è meno significativo.
L'OP ha detto che questo tipo di attacco è raro, ma accade. L'intera ragione per cui OP ha posto una domanda su questo sito è che non è vero che il rischio è incredibilmente piccolo, e non è vero che il rischio è abbastanza alto da dare per scontato.
Immaginiamo che l'azienda decida di non fare nulla. Supponiamo inoltre che ciò sia oggettivamente ragionevole (per un osservatore ideale). Se viene colpito in pochi anni, il costo sarà devastante non solo per l'azienda, ma anche per molti dei suoi clienti (immagino). C'è il rischio che questo non sia irrilevante, e forse non banalmente piccolo.
Immaginiamo, al contrario, che l'azienda decida di spendere notevoli somme di denaro per prevenire e mitigare questo attacco e, ancora una volta, che ciò sia ragionevole. Se non viene colpito, mai, il costo (della prevenzione) è da significativo a molto significativo. C'era il rischio di essere attaccati, ma era molto piccolo e il denaro assomiglia molto a una perdita significativa.
Infine, c'è la possibile quasi-cattura-22 che gli aggressori vedranno e guarderanno altrove, se ha contromisure, e viceversa.
Potrei anche notare che ricevere un rimborso assicurativo che è (diciamo) uguale al valore (contabile) dell'attività non è idoneo a risolvere il problema se la linfa vitale dell'attività - i dati - viene persa o altrimenti compromessa.