Sextio procent av överträdelserna har resulterat i att företag fått tillbaka kostnaden för böter, sanering och tekniska förbättringar genom att höja priserna, vilket i huvudsak får konsumenterna att betala för överträdelser och företagens bristande beredskap, enligt en årsrapport som publicerades den 27 juli.
Rapporten "Cost of Data Breach Report 2022", baserad på en undersökning av chefer och säkerhetspersonal på 550 företag, säger att den genomsnittliga kostnaden för ett dataintrång fortsatte att öka under 2022 och nådde i genomsnitt 4.4 miljoner USD globalt (en ökning med 13 % sedan 2020) och 9.4 miljoner dollar i USA. I genomsnitt krävde företag 277 dagar för att identifiera och innehålla dataintrång, en minskning från 287 dagar 2021, och 83 % av företagen hade drabbats av mer än ett intrång.
"Det är tydligt att cyberattacker utvecklas till marknadsstressorer som utlöser kedjereaktioner, [och] vi ser att dessa intrång bidrar till dessa inflationstryck", säger John Hendley, strategichef för IBM Securitys X-Force-forskningsteam. "Vi måste tänka på cyberhändelser som faktorer som kan belasta ekonomin, liknande covid, kriget i Ukraina, gaspriser, allt det där."
Smakämnen årlig rapport, baserat på undersökningar gjorda av Ponemon Institute, är inte det första försöket att mäta effekten av överträdelser på företagens balansräkningar. Förra året visade en undersökning från säkerhetsföretaget IronNet att de flesta företag påverkades av attacken mot nätverkshanteringsföretaget SolarWinds, med det genomsnittliga företaget ser en minskning av intäkterna med 11 % på grund av hanteringen av händelsen.
Sammantaget uppskattade experter att incidenten skulle kosta SolarWinds sig ungefär cirka 18 miljoner dollar. När det gäller de 18,000 100 drabbade företagen och myndigheterna (och de cirka XNUMX organisationer som till slut komprometterades) har de stått inför så mycket som 100 miljarder dollar i saneringskostnader, enligt analys.
En "cyberskatt" på konsumenter
Medan cybersäkerhetsexperter alltmer har uppmanat företag att räkna med att deras system äventyras, fortsätter de att ha problem med att stoppa angripare, och de välter över kostnaderna på konsumenterna, konstaterar Hendley. Detta tyder på att dataintrång och cyberattacker skapar en cyberskatt, hävdar han, vilket ökar kostnaderna för nedströmskonsumenter och kunder.
"När man tänker på det faktum att 83 % av företagen har blivit utsatta för intrång minst en gång under sin livstid, tror jag att det blir svårt att säga att vi måste tillämpa straffskadestånd för att förhindra intrång", säger Hendley. "Det kommer alltid att finnas en väg in, så jag tror att den bästa investeringen vi kan ha är att försöka flytta linjen från att skydda omkretsen till att tänka som angriparen."
Förutom märkningen av intrång och böter som en cyberskatt, lyfte rapporten fram olika trender bland branscher som hanterar cyberattacker. Företag som kunde minska den övergripande upptäckten av intrång och svarstiden till mindre än 200 dagar sparade 1.1 miljoner USD, eller 23 % av kostnaden för det genomsnittliga brottet.
Dataintrång kostar sämst inom vården
Kostnaden för ett enstaka dataintrång varierade avsevärt beroende på vilken typ av industri som drabbades. Den hårt reglerade sjukvårdssektorn fortsatte att betala ut det högsta beloppet för datakomprometteringar, och nådde i genomsnitt 10 miljoner USD per intrång 2022, jämfört med finansiella företag som betalade i genomsnitt 6 miljoner USD per intrång, den näst dyraste intrångskostnaden. Läkemedelsföretag och teknikföretag ligger i huvudsak på tredje plats och betalar cirka 5 miljoner dollar för varje intrång.
Ransomware fortsatte att ha en betydande inverkan på verksamheten, trots tecken på att - hittills i år - ransomware-attacker har minskat något. Undersökningen visade att företag som betalar lösensummor spenderar mindre på saneringskostnader, men höga lösensummor förnekar de flesta besparingar. Dessutom attackeras 80% av företagen som betalar lösen igen, enligt rapporten "Ransomware: The True Cost to Business". publicerad av säkerhetsföretaget Cybereason förra året.
Ransomware inte lika kostsamt som nätfiskeattacker
Annan forskning har belyst effekten av ransomware på företag som inte har förberett sig tillräckligt för destruktiva attacker. Två tredjedelar av globala företag som drabbats av ransomware led en betydande intäktsförlust, sa de, liksom 58 % av de tillfrågade specifikt hos amerikanska företag. Attackerna har totalt sett lett till att 31 % av de globala företagen har lagt ner en del av sina verksamheter.
"Det är intressant att se kostnadsskillnaden mellan offer för ransomware som valde att betala och de som valde att inte göra det," Nicole Hoffman, senior cyberhotsunderrättelseanalytiker på Digital Shadows, ett företag för skydd mot digitala risker. "De som betalar blir ofta mål igen inom månader efter den ursprungliga attacken, vilket skulle öka de ekonomiska förlusterna avsevärt. Dessa faktorer är viktiga att tänka på när man fattar det utmanande affärsbeslutet att betala eller inte."
Som sagt, den initiala vektorn för attacken hade också en betydande inverkan på kostnaden. Business email compromise (BEC) och nätfiskeattacker ledde till de högsta genomsnittliga intrångskostnaderna – cirka 4.9 miljoner USD per incident – med sårbarheter från tredje part och komprometterade autentiseringsuppgifter som står för skador på cirka 4.5 miljoner USD per incident.
IBM-Ponemon-rapporten lyfte också fram tekniker som kan ha störst inverkan på kostnaderna för dataintrång. Företag som använder artificiell intelligens och maskininlärning (AI/ML), DevSecOps-processer och bildade ett incident-responsteam sparade cirka 300,000 276,000 $, 253,000 XNUMX $ respektive XNUMX XNUMX $ per incident.
Däremot såg företag som led av säkerhetssystems komplexitet, migrerade verksamheten till molnet och hade brister i efterlevnad de största ökningarna i kostnad per incident.
Rapporten bygger på mer än 3,600 550 intervjuer med individer från 2,200 företag av olika storlek, med fokus på intrång som involverade allt från 102,000 XNUMX till XNUMX XNUMX register. Överträdelser utanför detta intervall inkluderades inte.
