Volgens een jaarverslag dat op 27 juli is gepubliceerd, heeft zestig procent van de inbreuken ertoe geleid dat bedrijven de kosten van boetes, opruiming en technologische verbeteringen hebben terugverdiend door de prijzen te verhogen, waardoor consumenten in wezen betalen voor inbreuken en het gebrek aan paraatheid van bedrijven.
Het rapport "Cost of Data Breach Report 2022", gebaseerd op een onderzoek onder leidinggevenden en beveiligingsprofessionals bij 550 bedrijven, zegt dat de gemiddelde kosten van een datalek in 2022 bleven stijgen, tot een gemiddelde van $ 4.4 miljoen wereldwijd (een stijging van 13% sinds 2020) en $ 9.4 miljoen in de Verenigde Staten. Gemiddeld hadden bedrijven 277 dagen nodig om datalekken te identificeren en in te dammen, tegen 287 dagen in 2021, en 83% van de bedrijven had meer dan รฉรฉn datalek gehad.
"Het is duidelijk dat cyberaanvallen evolueren naar marktstressoren die kettingreacties veroorzaken, [en] we zien dat deze inbreuken bijdragen aan die inflatiedruk", zegt John Hendley, hoofd strategie voor het X-Force-onderzoeksteam van IBM Security. โWe moeten cybergebeurtenissen beschouwen als factoren die de economie kunnen belasten, vergelijkbaar met COVID, de oorlog in Oekraรฏne, gasprijzen, dat alles.โ
De jaarverslag, op basis van onderzoeken uitgevoerd door het Ponemon Institute, is niet de eerste poging om de impact van inbreuken op de balansen van bedrijven te meten. Vorig jaar bleek uit een onderzoek van beveiligingsbedrijf IronNet dat de meeste bedrijven werden getroffen door de supply chain-aanval op netwerkbeheerbedrijf SolarWinds, waarbij het gemiddelde bedrijf een omzetdaling van 11% zien vanwege de afhandeling van het incident.
Over het algemeen schatten experts dat het incident SolarWinds zichzelf ongeveer zou kosten: ongeveer $ 18 miljoen. Wat betreft de 18,000 getroffen bedrijven en overheidsinstanties (en de ongeveer 100 organisaties die uiteindelijk werden gecompromitteerd), hebben ze te maken gehad met maar liefst $ 100 miljard aan opruimkosten, volgens analyse.
Een "cyberbelasting" op consumenten
Hoewel cyberbeveiligingsexperts bedrijven er steeds meer op hebben aangedrongen erop te rekenen dat hun systemen worden gecompromitteerd, hebben ze nog steeds problemen om aanvallers tegen te houden en rekenen ze de kosten door aan de consument, merkt Hendley op. Dit suggereert dat datalekken en cyberaanvallen een cyberbelasting creรซren, stelt hij, waardoor de kosten voor downstreamconsumenten en klanten stijgen.
"Als je bedenkt dat 83% van de bedrijven minstens รฉรฉn keer in hun leven is geschonden, denk ik dat het moeilijk wordt om te zeggen dat we punitieve schadevergoedingen moeten toepassen om inbreuken te voorkomen", zegt Hendley. "Er zal altijd een manier zijn om binnen te komen, dus ik denk dat de beste investering die we kunnen hebben is om te proberen de grens te verleggen van het beschermen van de perimeter naar denken als de aanvaller."
Naast het labelen van inbreuken en boetes als cyberbelasting, benadrukte het rapport verschillende trends in sectoren die te maken hebben met cyberaanvallen. Bedrijven die de totale detectie- en reactietijd van inbreuken konden terugbrengen tot minder dan 200 dagen, bespaarden $ 1.1 miljoen, ofwel 23% van de kosten van de gemiddelde inbreuk.
Kosten van datalekken het ergst in de gezondheidszorg
De kosten van een enkel datalek varieerden aanzienlijk, afhankelijk van het type industrie dat werd getroffen. De zwaar gereguleerde zorgsector bleef het hoogste bedrag uitkeren voor inbreuken op gegevens, met een gemiddelde van $ 10 miljoen per inbreuk in 2022, vergeleken met financiรซle bedrijven die gemiddeld $ 6 miljoen per inbreuk betaalden, de op รฉรฉn na duurste inbreukkosten. Farmaceutische bedrijven en technologiebedrijven stonden in wezen op de derde plaats en betaalden ongeveer $ 5 miljoen voor elke inbreuk.
Ransomware bleef een aanzienlijke impact hebben op het bedrijfsleven, ondanks tekenen dat ransomware-aanvallen tot nu toe dit jaar enigszins zijn afgenomen. Uit het onderzoek bleek dat bedrijven die losgeld betalen minder uitgeven aan opruimkosten, maar dat hoge losgeldbedragen de meeste besparingen tenietdoen. Bovendien wordt 80% van de bedrijven die losgeld betalen opnieuw aangevallen, volgens het rapport โRansomware: The True Cost to Businessโ gepubliceerd door beveiligingsbedrijf Cybereason vorig jaar.
Ransomware niet zo duur als phishing-aanvallen
Ander onderzoek heeft de impact van ransomware aangetoond op bedrijven die zich niet voldoende hebben voorbereid op destructieve aanvallen. Twee derde van de wereldwijde bedrijven die door ransomware werden getroffen, leden een aanzienlijk omzetverlies, net als 58% van de ondervraagden specifiek bij Amerikaanse bedrijven. De aanvallen hebben er in het algemeen toe geleid dat 31% van de wereldwijde bedrijven een deel van hun bedrijf heeft stopgezet.
"Het is interessant om het kostenverschil te zien tussen slachtoffers van ransomware die ervoor kozen om te betalen en degenen die ervoor kozen om dat niet te doen", zegt Nicole Hoffman, senior cyberthreat intelligence-analist bij Digital Shadows, een bedrijf dat digitale risico's beschermt. โDegenen die betalen, worden vaak binnen enkele maanden na de oorspronkelijke aanval opnieuw het doelwit, wat de financiรซle verliezen aanzienlijk zou vergroten. Deze factoren zijn belangrijk om te overwegen bij het nemen van de uitdagende zakelijke beslissing om al dan niet te betalen.โ
Dat gezegd hebbende, had de initiรซle vector van de aanval ook een aanzienlijke impact op de kosten. Zakelijke e-mailcompromissen (BEC) en phishing-aanvallen leidden tot de hoogste gemiddelde kosten van een inbreuk โ โโongeveer $ 4.9 miljoen per incident โ waarbij kwetsbaarheden van derden en gecompromitteerde inloggegevens goed waren voor een schade van ongeveer $ 4.5 miljoen per incident.
Het IBM-Ponemon-rapport benadrukte ook technologieรซn die de grootste impact kunnen hebben op de kosten van datalekken. Bedrijven die gebruikmaken van kunstmatige intelligentie en machine learning (AI/ML)-technologieรซn, DevSecOps-processen en een incidentresponsteam vormden, bespaarden respectievelijk ongeveer $ 300,000, $ 276,000 en $ 253,000 per incident.
Daarentegen zagen bedrijven die last hadden van de complexiteit van het beveiligingssysteem, hun bedrijf migreerden naar de cloud en te maken hadden met compliance-fouten, de grootste stijging van de kosten per incident.
Het rapport is gebaseerd op meer dan 3,600 interviews met personen van 550 bedrijven van verschillende groottes, waarbij de nadruk lag op inbreuken waarbij tussen de 2,200 en 102,000 records betrokken waren. Overtredingen buiten dat bereik werden niet meegerekend.
