Tres procent af overtrædelserne har resulteret i, at virksomheder har fået dækket omkostningerne til bøder, oprydning og teknologiske forbedringer ved at øge priserne, hvilket i det væsentlige får forbrugerne til at betale for overtrædelser og virksomhedernes manglende beredskab, ifølge en årsrapport offentliggjort den 27. juli.
Rapporten "Cost of Data Breach Report 2022", baseret på en undersøgelse blandt ledere og sikkerhedsprofessionelle hos 550 virksomheder, siger, at de gennemsnitlige omkostninger ved et databrud fortsatte med at stige i 2022 og nåede et gennemsnit på 4.4 millioner USD globalt (en stigning på 13 % siden 2020) og $9.4 millioner i USA. I gennemsnit krævede virksomheder 277 dage for at identificere og indeholde databrud, ned fra 287 dage i 2021, og 83 % af virksomhederne havde lidt mere end ét brud.
"Det er klart, at cyberangreb udvikler sig til markedsstressorer, der udløser kædereaktioner, [og] vi ser, at disse brud bidrager til dette inflationspres," siger John Hendley, strategichef for IBM Securitys X-Force-forskningsteam. "Vi er nødt til at tænke på cyberbegivenheder som faktorer, der er i stand til at belaste økonomien, i lighed med COVID, krigen i Ukraine, gaspriser, alt det."
årsrapport, baseret på undersøgelser udført af Ponemon Institute, er ikke det første forsøg på at måle virkningen af brud på virksomhedernes balancer. Sidste år fandt en undersøgelse foretaget af sikkerhedsoperationsfirmaet IronNet, at de fleste virksomheder var berørt af forsyningskædeangrebet på netværksadministrationsfirmaet SolarWinds, med den gennemsnitlige virksomhed med et fald på 11 % i omsætning på grund af håndteringen af hændelsen.
Samlet set vurderede eksperter, at hændelsen ville koste SolarWinds sig selv ca omkring 18 millioner dollars. Hvad angår de 18,000 berørte virksomheder og offentlige myndigheder (og de omkring 100 organisationer, der i sidste ende blev kompromitteret), har de stået over for så meget som 100 milliarder dollars i oprydningsomkostninger, ifølge analysen.
En "cyberskat" på forbrugere
Mens cybersikkerhedseksperter i stigende grad har opfordret virksomheder til at regne med at få deres systemer kompromitteret, har de fortsat problemer med at stoppe angribere, og de vælter omkostningerne over på forbrugerne, bemærker Hendley. Dette tyder på, at databrud og cyberangreb skaber en cyberskat, hævder han, hvilket øger omkostningerne for downstream-forbrugere og kunder.
"Når man tænker på det faktum, at 83 % af virksomhederne er blevet overtrådt mindst én gang i deres levetid, tror jeg, det bliver svært at sige, at vi er nødt til at anvende strafferetlige skader for at hjælpe med at forhindre overtrædelser," siger Hendley. "Der vil altid være en vej ind, så jeg tror, at den bedste investering, vi kan have, er at forsøge at flytte grænsen fra at beskytte perimeteren til at tænke som angriberen."
Ud over mærkningen af brud og bøder som en cyberskat fremhævede rapporten forskellige tendenser blandt industrier, der beskæftiger sig med cyberangreb. Virksomheder, der kunne reducere den samlede registrering af brud og responstid til mindre end 200 dage, sparede 1.1 millioner dollars, eller 23 % af omkostningerne ved det gennemsnitlige brud.
Databrud koster værst i sundhedsvæsenet
Omkostningerne ved et enkelt databrud varierede betydeligt afhængigt af den type industri, der er berørt. Den stærkt regulerede sundhedssektor fortsatte med at udbetale det højeste beløb for kompromittering af data og nåede et gennemsnit på 10 millioner USD pr. brud i 2022 sammenlignet med finansielle virksomheder, der i gennemsnit betalte 6 millioner USD pr. brud, den næstdyreste brudomkostning. Farmaceutiske virksomheder og teknologivirksomheder ligger i det væsentlige på tredjepladsen og betaler omkring $5 millioner for hvert brud.
Ransomware fortsatte med at have en betydelig indvirkning på forretningen, på trods af tegn på, at - indtil videre i år - ransomware-angreb er faldet noget. Undersøgelsen viste, at virksomheder, der betaler løsesummer, bruger mindre på oprydningsomkostninger, men høje løsesum modvirker de fleste besparelser. Derudover bliver 80 % af de virksomheder, der betaler løsesum, angrebet igen, iflg rapporten "Ransomware: The True Cost to Business". udgivet af sikkerhedsfirmaet Cybereason sidste år.
Ransomware ikke så dyrt som phishing-angreb
Anden forskning har fremhævet virkningen af ransomware på virksomheder, der ikke har forberedt sig tilstrækkeligt på destruktive angreb. To tredjedele af globale virksomheder, der blev ramt af ransomware, led et betydeligt indtægtstab, sagde de, og det samme gjorde 58 % af de adspurgte specifikt hos amerikanske virksomheder. Angrebene har samlet set ført til, at 31 % af globale virksomheder har lukket en del af deres forretninger.
"Det er interessant at se omkostningsforskellen mellem ransomware-ofre, der valgte at betale, og dem, der valgte ikke at betale," Nicole Hoffman, senior efterretningsanalytiker for cybertrusler hos Digital Shadows, et firma til beskyttelse af digitale risici. "De, der betaler, bliver ofte målrettet igen inden for måneder efter det oprindelige angreb, hvilket ville øge de økonomiske tab betydeligt. Disse faktorer er vigtige at overveje, når man træffer den udfordrende forretningsbeslutning om, hvorvidt man skal betale eller ej."
Når det er sagt, havde den indledende vektor af angrebet også en betydelig indvirkning på omkostningerne. Business e-mail-kompromis (BEC) og phishing-angreb førte til de højeste gennemsnitlige brudomkostninger - omkring $4.9 millioner pr. hændelse — med tredjepartssårbarheder og kompromitterede legitimationsoplysninger, der tegner sig for skader på omkring $4.5 millioner pr. hændelse.
IBM-Ponemon-rapporten fremhævede også teknologier, der kunne have den største indvirkning på omkostningerne ved databrud. Virksomheder, der bruger kunstig intelligens og maskinlæringsteknologier (AI/ML), DevSecOps-processer og dannede et hændelsesresponsteam, sparede henholdsvis omkring $300,000, $276,000 og $253,000 pr. hændelse.
I modsætning hertil oplevede virksomheder, der led af kompleksitet i sikkerhedssystemet, migrerede virksomheden til skyen og havde overholdelsesfejl, de største stigninger i omkostninger pr. hændelse.
Rapporten er baseret på mere end 3,600 interviews med personer fra 550 virksomheder af forskellig størrelse, med fokus på brud, der involverede alt fra 2,200 til 102,000 poster. Overtrædelser uden for dette interval var ikke inkluderet.
