ต้นทุนการละเมิดข้อมูลโดยเฉลี่ยพุ่งสูงถึง 4.4 ล้านดอลลาร์ในปี 2022

หกสิบเปอร์เซ็นต์ของการละเมิดส่งผลให้บริษัทต่าง ๆ ต้องชดใช้ค่าปรับ การทำความสะอาด และการปรับปรุงเทคโนโลยีโดยการเพิ่มราคา ซึ่งโดยหลักแล้วทำให้ผู้บริโภคต้องจ่ายเงินสำหรับการละเมิดและการขาดความพร้อมของบริษัท ตามรายงานประจำปีที่เผยแพร่เมื่อวันที่ 27 กรกฎาคม

รายงาน “ต้นทุนของรายงานการละเมิดข้อมูลปี 2022” จากการสำรวจผู้บริหารและผู้เชี่ยวชาญด้านความปลอดภัยในบริษัท 550 แห่ง ระบุว่าค่าใช้จ่ายเฉลี่ยของการละเมิดข้อมูลเพิ่มขึ้นอย่างต่อเนื่องในปี 2022 ซึ่งสูงถึง 4.4 ล้านดอลลาร์ทั่วโลกโดยเฉลี่ย (เพิ่มขึ้น 13% นับตั้งแต่ 2020) และ 9.4 ล้านเหรียญสหรัฐฯ โดยเฉลี่ยแล้ว บริษัทต่างๆ ต้องใช้เวลา 277 วันในการระบุและยับยั้งการรั่วไหลของข้อมูล ลดลงจาก 287 วันในปี 2021 และ 83% ของบริษัทประสบปัญหาการรั่วไหลมากกว่า XNUMX ครั้ง

“เป็นที่แน่ชัดว่าการโจมตีทางไซเบอร์กำลังพัฒนาไปสู่ตัวกระตุ้นตลาดที่ก่อให้เกิดปฏิกิริยาลูกโซ่ [และ] เราเห็นว่าการละเมิดเหล่านี้มีส่วนทำให้เกิดแรงกดดันด้านเงินเฟ้อ” จอห์น เฮนดลีย์ หัวหน้าฝ่ายกลยุทธ์ของทีมวิจัย X-Force ของ IBM Security กล่าว “เราต้องคิดถึงเหตุการณ์ทางไซเบอร์ว่าเป็นปัจจัยที่กดดันเศรษฐกิจได้ เช่นเดียวกับโควิด สงครามในยูเครน ราคาน้ำมัน ทั้งหมดนี้”

พื้นที่ รายงานประจำปีจากการสำรวจที่จัดทำโดย Ponemon Institute ไม่ใช่ความพยายามครั้งแรกในการวัดผลกระทบของการละเมิดต่องบดุลของธุรกิจ ปีที่แล้ว การสำรวจโดยบริษัทรักษาความปลอดภัย IronNet พบว่าบริษัทส่วนใหญ่ได้รับผลกระทบจากการโจมตีห่วงโซ่อุปทานของบริษัทจัดการเครือข่าย SolarWinds โดยที่บริษัทโดยเฉลี่ย เห็นรายได้ลดลง 11% เนื่องจากการจัดการกับเหตุการณ์ 

โดยรวมแล้วผู้เชี่ยวชาญประเมินว่าเหตุการณ์นี้จะทำให้ SolarWinds เสียค่าใช้จ่าย ประมาณ $ 18 ล้าน. สำหรับธุรกิจและหน่วยงานของรัฐที่ได้รับผลกระทบ 18,000 แห่ง (และองค์กรอีกประมาณ 100 แห่งที่ถูกบุกรุกในที่สุด) พวกเขาต้องเผชิญมากพอๆ ค่าทำความสะอาด 100 แสนล้านดอลลาร์ตามการวิเคราะห์

“ภาษีไซเบอร์” ต่อผู้บริโภค

ในขณะที่ผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์ได้เรียกร้องให้บริษัทต่างๆ พึ่งพาการถูกโจมตีจากระบบมากขึ้น แต่พวกเขายังคงมีปัญหาในการหยุดยั้งผู้โจมตี และพวกเขากำลังส่งต่อต้นทุนไปยังผู้บริโภค Hendley กล่าว สิ่งนี้ชี้ให้เห็นว่าการละเมิดข้อมูลและการโจมตีทางไซเบอร์กำลังสร้างภาษีทางไซเบอร์ ซึ่งเป็นการเพิ่มต้นทุนสำหรับผู้บริโภคและลูกค้าปลายน้ำ

“เมื่อคุณนึกถึงข้อเท็จจริงที่ว่า 83% ของธุรกิจถูกละเมิดอย่างน้อยหนึ่งครั้งในชีวิต ผมคิดว่าคงเป็นเรื่องยากที่จะพูดว่าเราจำเป็นต้องใช้ค่าเสียหายเชิงลงโทษเพื่อช่วยป้องกันการละเมิด” เฮนดลีย์กล่าว “มันย่อมมีทางออกเสมอ ดังนั้นฉันคิดว่าการลงทุนที่ดีที่สุดที่เราสามารถทำได้คือพยายามเปลี่ยนแนวทางจากการปกป้องปริมณฑลไปสู่การคิดแบบผู้โจมตี”

นอกเหนือจากการระบุการละเมิดและค่าปรับเป็นภาษีไซเบอร์แล้ว รายงานยังเน้นย้ำถึงแนวโน้มต่างๆ ในอุตสาหกรรมที่เกี่ยวข้องกับการโจมตีทางไซเบอร์ บริษัทที่สามารถลดเวลาตรวจจับและตอบสนองการเจาะระบบโดยรวมให้น้อยกว่า 200 วัน สามารถประหยัดเงินได้ 1.1 ล้านดอลลาร์ หรือ 23% ของต้นทุนการเจาะระบบโดยเฉลี่ย

ค่าใช้จ่ายในการละเมิดข้อมูลเลวร้ายที่สุดในด้านการรักษาพยาบาล 

ต้นทุนของการละเมิดข้อมูลครั้งเดียวนั้นแตกต่างกันอย่างมากตามประเภทของอุตสาหกรรมที่ได้รับผลกระทบ ภาคส่วนการดูแลสุขภาพที่มีการควบคุมอย่างเข้มงวดยังคงจ่ายเงินสูงสุดสำหรับการประนีประนอมข้อมูล โดยสูงถึง 10 ล้านดอลลาร์ต่อการละเมิดในปี 2022 เมื่อเทียบกับบริษัทการเงินที่จ่ายเฉลี่ย 6 ล้านดอลลาร์ต่อการละเมิด ซึ่งเป็นต้นทุนการละเมิดที่แพงที่สุดเป็นอันดับสอง บริษัทยาและบริษัทเทคโนโลยีโดยพื้นฐานแล้วเสมอกันในอันดับที่สาม โดยจ่ายประมาณ 5 ล้านดอลลาร์สำหรับการละเมิดแต่ละครั้ง

แรนซัมแวร์ยังคงส่งผลกระทบอย่างมีนัยสำคัญต่อธุรกิจ แม้จะมีสัญญาณว่าจนถึงปีนี้ การโจมตีของแรนซัมแวร์ได้ลดลงบ้างแล้ว การสำรวจพบว่าบริษัทที่จ่ายค่าไถ่ใช้ค่าใช้จ่ายในการทำความสะอาดน้อยลง แต่ค่าไถ่ทั้งหมดสูงทำให้เงินออมส่วนใหญ่ลดลง นอกจากนี้ 80% ของบริษัทที่จ่ายค่าไถ่ถูกโจมตีอีกครั้ง รายงาน “แรนซัมแวร์: ต้นทุนที่แท้จริงต่อธุรกิจ” เผยแพร่โดยบริษัทรักษาความปลอดภัย Cybereason เมื่อปีที่แล้ว

Ransomware ไม่แพงเท่าการโจมตีแบบฟิชชิ่ง

การวิจัยอื่น ๆ ได้เน้นย้ำถึงผลกระทบของแรนซัมแวร์ต่อบริษัทที่ไม่ได้เตรียมการอย่างเพียงพอสำหรับการโจมตีแบบทำลายล้าง สองในสามของบริษัททั่วโลกที่โดนแรนซัมแวร์ประสบกับการสูญเสียรายได้จำนวนมาก พวกเขากล่าว เช่นเดียวกับ 58% ของบริษัทที่ทำการสำรวจโดยเฉพาะที่บริษัทในสหรัฐฯ การโจมตีโดยรวมทำให้บริษัททั่วโลก 31% ปิดกิจการบางส่วน

“เป็นเรื่องน่าสนใจที่จะเห็นความแตกต่างของค่าใช้จ่ายระหว่างเหยื่อแรนซัมแวร์ที่เลือกจ่ายเงินกับผู้ที่เลือกที่จะไม่จ่าย” Nicole Hoffman นักวิเคราะห์ข่าวกรองด้านภัยคุกคามทางไซเบอร์อาวุโสของ Digital Shadows ซึ่งเป็นบริษัทป้องกันความเสี่ยงทางดิจิทัล “ผู้ที่จ่ายเงินมักจะตกเป็นเป้าหมายอีกครั้งภายในไม่กี่เดือนหลังจากการโจมตีครั้งแรก ซึ่งจะเพิ่มการสูญเสียทางการเงินอย่างมาก ปัจจัยเหล่านี้มีความสำคัญที่ต้องพิจารณาเมื่อตัดสินใจทางธุรกิจที่ท้าทายว่าจะจ่ายหรือไม่”

ที่กล่าวว่าเวกเตอร์เริ่มต้นของการโจมตีมีผลกระทบอย่างมากต่อต้นทุน การประนีประนอมทางอีเมลธุรกิจ (BEC) และการโจมตีแบบฟิชชิงทำให้ต้นทุนการเจาะข้อมูลโดยเฉลี่ยสูงสุดประมาณ 4.9 ล้านดอลลาร์ต่อเหตุการณ์ โดยช่องโหว่ของบุคคลที่สามและข้อมูลประจำตัวที่ถูกบุกรุกคิดเป็นความเสียหายประมาณ 4.5 ล้านดอลลาร์ต่อเหตุการณ์

รายงาน IBM-Ponemon ยังเน้นถึงเทคโนโลยีที่อาจส่งผลกระทบมากที่สุดต่อต้นทุนการละเมิดข้อมูล บริษัทที่ใช้เทคโนโลยีปัญญาประดิษฐ์และแมชชีนเลิร์นนิง (AI/ML) กระบวนการ DevSecOps และจัดตั้งทีมตอบสนองต่อเหตุการณ์สามารถประหยัดเงินได้ประมาณ 300,000 ดอลลาร์ 276,000 ดอลลาร์ และ 253,000 ดอลลาร์ต่อเหตุการณ์ตามลำดับ 

ในทางตรงกันข้าม บริษัทที่ได้รับความเดือดร้อนจากความซับซ้อนของระบบรักษาความปลอดภัย กำลังย้ายธุรกิจไปยังระบบคลาวด์ และความล้มเหลวในการปฏิบัติตามกฎระเบียบทำให้ต้นทุนต่อเหตุการณ์เพิ่มขึ้นมากที่สุด

รายงานนี้อ้างอิงจากการสัมภาษณ์บุคคลมากกว่า 3,600 คนจาก 550 บริษัทขนาดต่างๆ โดยเน้นที่การละเมิดข้อมูลที่เกี่ยวข้องตั้งแต่ 2,200 ถึง 102,000 รายการ ไม่รวมการละเมิดนอกช่วงดังกล่าว