27 月 XNUMX 日に発行された年次報告書によると、違反の XNUMX% は、企業が罰金、クリーンアップ、および技術改善のコストを値上げによって回収する結果となり、基本的に、消費者は違反と企業の準備不足の代償を払わされています。
「Cost of Data Breach Report 2022」レポートは、550 社の企業の幹部とセキュリティ専門家の調査に基づいており、データ侵害の平均コストは 2022 年も上昇し続け、全世界で平均 4.4 万ドルに達したと述べています (13 年以来 2020% 増加)。 9.4)、米国では 277 万ドル。 企業がデータ侵害を特定して封じ込めるために要した平均日数は、287 年の 2021 日から 83 日で、企業の XNUMX% が XNUMX 回以上の侵害を受けていました。
IBM Security の X-Force 調査チームの戦略責任者である John Hendley は、次のように述べています。 「COVID、ウクライナでの戦争、ガソリン価格などと同様に、経済に負担をかける可能性のある要因としてサイバーイベントを考える必要があります。」
年次報告Ponemon Institute が実施した調査に基づいた . 昨年、セキュリティ オペレーション会社の IronNet が実施した調査によると、ほとんどの企業がネットワーク管理会社 SolarWinds に対するサプライ チェーン攻撃の影響を受けており、平均的な企業は 収益が 11% 減少 事件処理のため。
全体として、専門家は、このインシデントにより SolarWinds 自体に約 約18ミリオン. 影響を受けた 18,000 の企業と政府機関 (および最終的に侵害された約 100 の組織) については、 100 億ドルの除染費用、分析によると。
消費者への「サイバー税」
サイバーセキュリティの専門家は企業に対し、自社のシステムが危険にさらされることを期待するよう強く求めていますが、依然として攻撃者を阻止するのに問題を抱えており、コストを消費者に転嫁している、と Hendley は指摘します。 これは、データ侵害とサイバー攻撃がサイバー税を生み出し、下流の消費者とクライアントのコストを増加させていることを示唆しています.
「ビジネスの 83% が生涯に XNUMX 回以上侵害されているという事実を考えると、侵害を防ぐために懲罰的損害賠償を適用する必要があるとは言い難いと思います」と Hendley 氏は言います。 「侵入経路は常に存在するため、私たちができる最善の投資は、境界線を保護することから、攻撃者のように考えることに線を移すことだと思います。」
サイバー税としての違反と罰金のラベル付けに加えて、レポートは、サイバー攻撃を扱う業界のさまざまな傾向を強調しました。 全体的な侵害の検出と対応の時間を 200 日未満に短縮できた企業は、1.1 万ドル、つまり平均的な侵害のコストの 23% を節約できました。
データ侵害のコストは医療業界で最悪
10 回のデータ侵害のコストは、影響を受ける業界の種類によって大きく異なります。 規制の厳しいヘルスケア セクターは、データ侵害に対して引き続き最高額を支払い、2022 年には 6 回の侵害につき平均 5 万ドルに達し、XNUMX 番目に高額な侵害コストである XNUMX 回の侵害につき平均 XNUMX 万ドルを支払った金融会社と比較しました。 製薬会社とテクノロジー企業は基本的に同数で XNUMX 位を占めており、侵害ごとに約 XNUMX 万ドルを支払っています。
ランサムウェアは、今年これまでのところ、ランサムウェア攻撃がやや減少している兆候にもかかわらず、ビジネスに大きな影響を与え続けています。 この調査によると、身代金を支払う企業はクリーンアップ コストに費やす金額が少なくなりますが、身代金の総額が高いとほとんどの節約が打ち消されます。 さらに、身代金を支払った企業の 80% が再び攻撃を受けています。 「ランサムウェア: ビジネスの真のコスト」レポート セキュリティ会社のサイバーリーズンが昨年発表した。
ランサムウェアはフィッシング攻撃ほどコストがかからない
他の調査では、破壊的な攻撃に十分に備えていない企業に対するランサムウェアの影響が強調されています。 ランサムウェアに攻撃されたグローバル企業の 58 分の 31 が、大幅な収益の損失を被ったと彼らは述べています。 全体的な攻撃により、グローバル企業の XNUMX% が事業の一部を閉鎖しました。
デジタル リスク保護会社である Digital Shadows のシニア サイバー脅威インテリジェンス アナリストである Nicole Hoffman 氏は、次のように述べています。 「支払いをした人は、最初の攻撃から数か月以内に再び標的にされることが多く、これにより経済的損失が大幅に増加します。 これらの要因は、支払うかどうかという困難なビジネス上の決定を下す際に考慮することが重要です。」
とはいえ、攻撃の初期ベクトルもコストに大きな影響を与えました。 ビジネス メール侵害 (BEC) とフィッシング攻撃は、インシデントあたり約 4.9 万ドルの平均侵害コストをもたらしました。サードパーティの脆弱性と侵害された資格情報は、インシデントあたり約 4.5 万ドルの損害を説明しています。
IBM-Ponemon のレポートでは、データ侵害のコストに最大の影響を与える可能性があるテクノロジーも強調されています。 人工知能と機械学習 (AI/ML) テクノロジ、DevSecOps プロセスを使用し、インシデント対応チームを編成した企業は、インシデントごとにそれぞれ約 300,000 ドル、276,000 ドル、253,000 ドルを節約しました。
対照的に、セキュリティ システムの複雑さに悩まされ、ビジネスをクラウドに移行し、コンプライアンスに失敗した企業では、インシデントあたりのコストが最大に増加しました。
このレポートは、さまざまな規模の 3,600 社の個人への 550 件を超えるインタビューに基づいており、2,200 から 102,000 件の記録に関係する侵害に焦点を当てています。 その範囲外の違反は含まれていません。
