27 אחוז מהפרות הביאו לכך שחברות החזירו את עלות הקנסות, הניקיון והשיפורים הטכנולוגיים על ידי העלאת מחירים, ובעצם גורמת לצרכנים לשלם על הפרות וחוסר מוכנות של חברות, על פי דו"ח שנתי שפורסם ב-XNUMX ביולי.
דו"ח "עלות דוח פרצת נתונים 2022", המבוסס על סקר של מנהלים ואנשי אבטחה ב-550 חברות, אומר שהעלות הממוצעת של פרצת מידע המשיכה לעלות ב-2022, והגיעה לממוצע של 4.4 מיליון דולר ברחבי העולם (עלייה של 13% מאז 2020) ו-9.4 מיליון דולר בארצות הברית. בממוצע, חברות נדרשו ל-277 ימים כדי לזהות ולהכיל פרצות מידע, ירידה מ-287 ימים ב-2021, ו-83% מהחברות סבלו יותר מפרצה אחת.
"ברור שהתקפות סייבר מתפתחות לגורמי לחץ בשוק שמעוררים תגובות שרשרת, [ו]אנו רואים שהפרצות אלו תורמות ללחצים אינפלציוניים אלה", אומר ג'ון הנדלי, ראש אסטרטגיה של צוות המחקר X-Force של IBM Security. "עלינו לחשוב על אירועי סייבר כעל גורמים שמסוגלים להלחיץ את הכלכלה, בדומה ל-COVID, המלחמה באוקראינה, מחירי הדלק, כל זה".
השמיים דוח שנתי, המבוסס על סקרים שערך מכון פונמון, אינו הניסיון הראשון לאמוד את ההשפעה של הפרות על מאזני העסקים. בשנה שעברה, סקר של חברת האבטחה IronNet מצא כי רוב החברות הושפעו מהתקפת שרשרת האספקה על חברת ניהול הרשת SolarWinds, עם החברה הממוצעת רואים ירידה של 11% בהכנסות עקב טיפול באירוע.
בסך הכל, מומחים העריכו שהתקרית תעלה ל-SolarWinds עצמה בערך כ $ 18 מיליון דולר. באשר ל-18,000 העסקים והסוכנויות הממשלתיות שנפגעו (וכ-100 הארגונים שנפגעו בסופו של דבר), הם התמודדו עם 100 מיליארד דולר בעלויות ניקוי, על פי ניתוח.
"מס סייבר" על צרכנים
בעוד שמומחי אבטחת סייבר דחקו יותר ויותר בחברות לסמוך על פגיעה במערכות שלהן, הן ממשיכות להיתקל בבעיות לעצור תוקפים, והן מגלגלות עלויות על הצרכנים, מציין הנדלי. זה מרמז שפצות נתונים ומתקפות סייבר יוצרות מס סייבר, הוא טוען, ומגדילות עלויות עבור צרכנים ולקוחות במורד הזרם.
"כשחושבים על העובדה ש-83% מהעסקים הופרו לפחות פעם אחת בחייהם, אני חושב שקשה לומר שאנחנו צריכים להחיל פיצויים עונשיים כדי לסייע במניעת הפרות", אומר הנדלי. "תמיד תהיה דרך להיכנס, אז אני חושב שההשקעה הכי טובה שיכולה להיות לנו היא לנסות להעביר את הקו מהגנה על ההיקף לחשיבה כמו התוקף".
בנוסף לתיוג הפרות וקנסות כמס סייבר, הדוח הדגיש מגמות שונות בקרב תעשיות העוסקות במתקפות סייבר. חברות שיכלו לצמצם את זיהוי הפרצות הכולל ואת זמן התגובה לפחות מ-200 ימים חסכו 1.1 מיליון דולר, או 23% מעלות הפרצה הממוצעת.
הפרת נתונים עולה הכי גרוע בתחום הבריאות
העלות של פרצת נתונים בודדת השתנתה באופן משמעותי בהתאם לסוג התעשייה המושפעת. מגזר הבריאות המפוקח בכבדות המשיך לשלם את הסכום הגבוה ביותר עבור פשרות של נתונים, והגיע לממוצע של 10 מיליון דולר לפרצה בשנת 2022, בהשוואה לחברות פיננסיות ששילמו בממוצע 6 מיליון דולר לפרצה, עלות הפרצה השנייה ביקרה. חברות תרופות וחברות טכנולוגיה שותפות למעשה במקום השלישי, ומשלמים כ-5 מיליון דולר עבור כל הפרה.
תוכנות הכופר המשיכו להשפיע באופן משמעותי על העסק, למרות סימנים לכך שעד כה השנה - התקפות כופר ירדו במקצת. הסקר מצא שחברות שמשלמות כופר מוציאות פחות על עלויות ניקוי, אבל סכומי כופר גבוהים שוללים את רוב החיסכון. בנוסף, 80% מהחברות שמשלמות כופר מותקפות שוב, לפי דוח "תוכנת כופר: העלות האמיתית לעסקים". פורסם על ידי חברת האבטחה Cybereason בשנה שעברה.
תוכנת כופר לא יקרה כמו התקפות דיוג
מחקרים אחרים הדגישו את ההשפעה של תוכנות כופר על חברות שלא התכוננו כראוי להתקפות הרסניות. שני שלישים מהחברות העולמיות שנפגעו בתוכנת כופר סבלו מהפסד משמעותי בהכנסות, לדבריהם, וכך גם 58% מהנסקרים בחברות אמריקאיות במיוחד. ההתקפות בסך הכל הביאו לכך ש-31% מהחברות העולמיות סגרו חלק מהעסקים שלהן.
"מעניין לראות את ההבדל בעלויות בין נפגעי תוכנות כופר שבחרו לשלם לבין אלו שבחרו שלא", ניקול הופמן, אנליסטית בכירה למודיעין איומי סייבר בחברת Digital Shadows, חברה להגנה על סיכונים דיגיטליים. "אלו שמשלמים לעתים קרובות ממוקדים שוב בתוך חודשים מהמתקפה המקורית, מה שיגדיל את ההפסדים הכספיים באופן משמעותי. גורמים אלו חשובים לקחת בחשבון בעת קבלת ההחלטה העסקית המאתגרת האם לשלם או לא".
עם זאת, גם לוקטור הראשוני של המתקפה הייתה השפעה משמעותית על העלות. פגיעות דוא"ל עסקיות (BEC) והתקפות דיוג הובילו לעלויות הפרצות הממוצעות הגבוהות ביותר - כ-4.9 מיליון דולר לאירוע - כאשר נקודות תורפה של צד שלישי ואישורים נפגעים מהווים נזקים של כ-4.5 מיליון דולר לאירוע.
הדו"ח של IBM-Ponemon הדגיש גם טכנולוגיות שיכולות להיות להן את ההשפעה הגדולה ביותר על עלויות פריצת מידע. חברות שמשתמשות בטכנולוגיות בינה מלאכותית ולמידת מכונה (AI/ML), תהליכי DevSecOps, והקימו צוות תגובה לאירועים חסכו כ-300,000 דולר, 276,000 דולר ו-253,000 דולר לאירוע, בהתאמה.
לעומת זאת, חברות שסבלו ממורכבות מערכת האבטחה, העבירו את העסק לענן, והיו להם כשלים בציות, ראו את העליות הגדולות ביותר בעלות לאירוע.
הדו"ח מבוסס על יותר מ-3,600 ראיונות עם אנשים מ-550 חברות בגדלים שונים, תוך התמקדות בהפרות שכללו בין 2,200 ל-102,000 רשומות. הפרות מחוץ לטווח זה לא נכללו.
