Відповідно до річного звіту, опублікованого 27 липня, шістдесят відсотків порушень призвели до того, що компанії компенсували витрати на штрафи, очищення та технологічні вдосконалення шляхом підвищення цін, що фактично змусило споживачів платити за порушення та неготовність компаній.
У звіті «Cost of Data Breach Report 2022», заснованому на опитуванні керівників і спеціалістів із безпеки в 550 компаніях, зазначено, що середня вартість витоку даних продовжувала зростати в 2022 році, досягнувши в середньому 4.4 мільйона доларів США (на 13% більше, ніж 2020) і 9.4 мільйона доларів США. У середньому компаніям потрібно було 277 днів, щоб виявити та зупинити витоки даних, порівняно з 287 днями у 2021 році, і 83% компаній зазнали більше ніж одного порушення.
«Очевидно, що кібератаки перетворюються на ринкові стресори, які викликають ланцюгові реакції, [і] ми бачимо, що ці зломи сприяють цьому інфляційному тиску», каже Джон Хендлі, керівник стратегії дослідницької групи X-Force IBM Security. «Ми повинні думати про кіберподії як про чинники, які здатні напружити економіку, подібно до COVID, війни в Україні, цін на газ тощо».
Команда річний звіт, засноване на опитуваннях, проведених Ponemon Institute, не є першою спробою оцінити вплив порушень на баланси компаній. Минулого року опитування компанії IronNet, що займається охороною, показало, що більшість компаній постраждали від атаки на ланцюг поставок на компанію з управління мережею SolarWinds, середня фірма спостерігаючи падіння доходу на 11%. у зв’язку з розв’язанням інциденту.
Загалом, за оцінками експертів, інцидент обійдеться компанії SolarWinds близько близько 18 мільйонів доларів. Що стосується 18,000 100 постраждалих підприємств і державних установ (і приблизно XNUMX організацій, які врешті були скомпрометовані), вони зіткнулися з 100 мільярдів доларів на очищення, згідно з аналізом.
«Кіберподаток» на споживачів
Незважаючи на те, що експерти з кібербезпеки все частіше закликають компанії розраховувати на те, що їхні системи будуть зламані, вони продовжують мати проблеми із зупинкою зловмисників, і вони перекладають витрати на споживачів, зазначає Хендлі. Це свідчить про те, що витоки даних і кібератаки створюють кіберподаток, стверджує він, збільшуючи витрати для споживачів і клієнтів.
«Якщо ви думаєте про те, що 83% компаній були порушені принаймні один раз у своєму житті, я думаю, що стає важко сказати, що нам потрібно застосувати штрафні збитки, щоб допомогти запобігти порушенням», — говорить Хендлі. «Завжди знайдеться вихід, тому я вважаю, що найкраща інвестиція, яку ми можемо мати, — це спробувати змінити лінію захисту периметра на мислення як зловмисник».
Окрім позначення порушень і штрафів як кіберподатку, звіт висвітлив різні тенденції в галузях, які мають справу з кібератаками. Компанії, які змогли скоротити загальний час виявлення порушень і реагування до менш ніж 200 днів, заощадили 1.1 мільйона доларів, або 23% вартості середнього порушення.
Порушення даних обходиться найгірше в охороні здоров’я
Ціна одного витоку даних суттєво різнилася в залежності від типу галузі. Суворо регульований сектор охорони здоров’я продовжував виплачувати найвищу суму за компрометацію даних, досягнувши в середньому 10 мільйонів доларів США за порушення у 2022 році, порівняно з фінансовими компаніями, які платили в середньому 6 мільйонів доларів США за порушення, що є другою найдорожчою вартістю порушення. Фармацевтичні компанії та технологічні фірми фактично посідають третє місце, сплачуючи близько 5 мільйонів доларів за кожне порушення.
Програми-вимагачі продовжували справляти значний вплив на бізнес, незважаючи на ознаки того, що цього року кількість атак програм-вимагачів дещо зменшилася. Опитування показало, що компанії, які платять викуп, витрачають менше на витрати на прибирання, але висока сума викупу зводить нанівець більшість заощаджень. Крім того, згідно з даними, 80% компаній, які платять викупи, знову піддаються атакам звіт «Програми-вимагачі: справжня вартість для бізнесу». опублікована охоронною фірмою Cybereason минулого року.
Програми-вимагачі не такі дорогі, як фішингові атаки
Інші дослідження підкреслили вплив програм-вимагачів на компанії, які не підготувалися належним чином до руйнівних атак. За їхніми словами, дві третини глобальних компаній, постраждалих від програм-вимагачів, зазнали значної втрати доходу, як і 58% опитаних у компаніях США. Загалом атаки призвели до того, що 31% глобальних компаній закрили певну частину свого бізнесу.
«Цікаво побачити різницю у вартості між жертвами програм-вимагачів, які вирішили платити, і тими, хто вирішив не платити», — Ніколь Хоффман, старший аналітик із аналізу кіберзагроз у фірмі Digital Shadows, що займається захистом цифрових ризиків. «Ті, хто платить, часто знову стають ціллю протягом кількох місяців після початкової атаки, що значно збільшить фінансові втрати. Ці фактори важливо враховувати під час прийняття складного бізнес-рішення щодо того, платити чи ні».
Тим не менш, початковий вектор атаки також мав значний вплив на вартість. Компрометація бізнес-електронної пошти (BEC) і фішингові атаки призвели до найвищих середніх витрат на порушення — приблизно 4.9 мільйона доларів США за інцидент — при цьому вразливі місця третіх сторін і зламані облікові дані спричинили збитки приблизно в 4.5 мільйона доларів США за інцидент.
У звіті IBM-Ponemon також виділено технології, які можуть найбільше вплинути на витрати на порушення даних. Компанії, які використовують технології штучного інтелекту та машинного навчання (AI/ML), процеси DevSecOps і сформували команду реагування на інциденти, заощадили близько 300,000 276,000 доларів США, 253,000 XNUMX доларів США та XNUMX XNUMX доларів США на інцидент відповідно.
На відміну від цього, компанії, які страждали від складної системи безпеки, переносили бізнес у хмару та мали збої в дотриманні вимог, спостерігали найбільше збільшення витрат на інцидент.
Звіт ґрунтується на більш ніж 3,600 інтерв’ю з особами з 550 компаній різного розміру, зосереджуючись на порушеннях, які стосуються від 2,200 до 102,000 XNUMX записів. Порушення за межами цього діапазону не були включені.
