Theo một báo cáo thường niên được công bố vào ngày 27 tháng XNUMX, XNUMX% vi phạm đã khiến các công ty phải bù đắp chi phí phạt, dọn dẹp và cải tiến công nghệ bằng cách tăng giá, về cơ bản khiến người tiêu dùng phải trả giá cho những vi phạm và sự thiếu chuẩn bị của các công ty.
Báo cáo “Báo cáo chi phí vi phạm dữ liệu năm 2022”, dựa trên khảo sát các giám đốc điều hành và chuyên gia bảo mật tại 550 công ty, cho biết chi phí trung bình của một vụ vi phạm dữ liệu tiếp tục tăng vào năm 2022, đạt mức trung bình 4.4 triệu USD trên toàn cầu (tăng 13% kể từ đó). 2020) và 9.4 triệu USD tại Hoa Kỳ. Trung bình, các công ty cần 277 ngày để xác định và ngăn chặn các hành vi vi phạm dữ liệu, giảm so với 287 ngày vào năm 2021 và 83% công ty đã phải chịu nhiều hơn một lần vi phạm.
John Hendley, người đứng đầu chiến lược của nhóm nghiên cứu X-Force của IBM Security, cho biết: “Rõ ràng là các cuộc tấn công mạng đang phát triển thành các yếu tố gây căng thẳng cho thị trường, gây ra các phản ứng dây chuyền, [và] chúng tôi thấy rằng những vi phạm này đang góp phần gây ra áp lực lạm phát đó”. “Chúng ta phải coi các sự kiện mạng là những yếu tố có khả năng gây căng thẳng cho nền kinh tế, tương tự như COVID, cuộc chiến ở Ukraine, giá xăng, tất cả những điều đó.”
Sản phẩm báo cáo hàng năm, dựa trên các cuộc khảo sát do Viện Ponemon thực hiện, không phải là nỗ lực đầu tiên nhằm đánh giá tác động của các vi phạm đối với bảng cân đối kế toán của doanh nghiệp. Năm ngoái, một cuộc khảo sát của công ty vận hành bảo mật IronNet cho thấy hầu hết các công ty đều bị ảnh hưởng bởi cuộc tấn công chuỗi cung ứng vào công ty quản lý mạng SolarWinds, với công ty trung bình doanh thu giảm 11% do xử lý sự cố.
Nhìn chung, các chuyên gia ước tính rằng sự cố sẽ khiến SolarWinds phải trả giá khoảng $ 18 triệu. Đối với 18,000 doanh nghiệp và cơ quan chính phủ bị ảnh hưởng (và khoảng 100 tổ chức cuối cùng bị xâm phạm), họ đã phải đối mặt với 100 tỷ đô la chi phí dọn dẹp, theo phân tích.
“Thuế mạng” đánh vào người tiêu dùng
Trong khi các chuyên gia an ninh mạng ngày càng thúc giục các công ty tin tưởng vào việc hệ thống của họ bị xâm phạm, họ vẫn tiếp tục gặp vấn đề trong việc ngăn chặn những kẻ tấn công và họ đang chuyển chi phí cho người tiêu dùng, Hendley lưu ý. Điều này cho thấy rằng vi phạm dữ liệu và tấn công mạng đang tạo ra một loại thuế mạng, ông lập luận, làm tăng chi phí cho người tiêu dùng và khách hàng hạ nguồn.
Hendley nói: “Khi bạn nghĩ về thực tế là 83% doanh nghiệp đã bị vi phạm ít nhất một lần trong đời, tôi nghĩ thật khó để nói rằng chúng ta cần áp dụng các biện pháp trừng phạt bồi thường để giúp ngăn chặn các hành vi vi phạm”. “Sẽ luôn có một lối vào, vì vậy tôi nghĩ khoản đầu tư tốt nhất mà chúng ta có thể có là cố gắng chuyển đường lối từ bảo vệ vành đai sang suy nghĩ như kẻ tấn công.”
Ngoài việc dán nhãn vi phạm và tiền phạt như một loại thuế mạng, báo cáo nêu bật các xu hướng khác nhau giữa các ngành đối phó với các cuộc tấn công mạng. Các công ty có thể giảm thời gian phát hiện và phản hồi vi phạm tổng thể xuống dưới 200 ngày đã tiết kiệm được 1.1 triệu đô la, hoặc 23% chi phí của vi phạm trung bình.
Chi phí vi phạm dữ liệu tồi tệ nhất trong chăm sóc sức khỏe
Chi phí cho một lần vi phạm dữ liệu thay đổi đáng kể tùy theo loại ngành bị ảnh hưởng. Lĩnh vực chăm sóc sức khỏe được quản lý chặt chẽ tiếp tục trả số tiền cao nhất cho các vi phạm dữ liệu, đạt mức trung bình 10 triệu đô la cho mỗi vi phạm vào năm 2022, so với các công ty tài chính trả trung bình 6 triệu đô la cho mỗi vi phạm, chi phí vi phạm đắt thứ hai. Các công ty dược phẩm và công ty công nghệ về cơ bản đứng ở vị trí thứ ba, trả khoảng 5 triệu đô la cho mỗi vụ vi phạm.
Ransomware tiếp tục có tác động đáng kể đến hoạt động kinh doanh, mặc dù các dấu hiệu cho thấy - cho đến nay trong năm nay - các cuộc tấn công ransomware đã giảm đi phần nào. Cuộc khảo sát cho thấy các công ty trả tiền chuộc chi ít hơn cho chi phí dọn dẹp, nhưng tổng số tiền chuộc cao phủ nhận hầu hết các khoản tiết kiệm. Ngoài ra, 80% các công ty trả tiền chuộc lại bị tấn công, theo báo cáo “Ransomware: Chi phí thực sự cho doanh nghiệp” được công bố bởi công ty bảo mật Cybereason vào năm ngoái.
Ransomware không tốn kém như các cuộc tấn công lừa đảo
Nghiên cứu khác đã chỉ ra tác động của ransomware đối với các công ty chưa chuẩn bị đầy đủ cho các cuộc tấn công phá hoại. Họ cho biết, 58/31 các công ty toàn cầu bị tấn công bằng ransomware đã bị thiệt hại về doanh thu đáng kể, XNUMX% những người được khảo sát tại các công ty Hoa Kỳ cũng cho biết. Các cuộc tấn công nói chung đã dẫn đến XNUMX% công ty toàn cầu phải đóng cửa một số hoạt động kinh doanh của họ.
Nicole Hoffman, nhà phân tích tình báo mối đe dọa mạng cấp cao tại Digital Shadows, một công ty bảo vệ rủi ro kỹ thuật số, cho biết: “Thật thú vị khi thấy sự khác biệt về chi phí giữa những nạn nhân của ransomware đã chọn trả tiền và những người chọn không trả tiền”. “Những người trả tiền thường lại bị nhắm mục tiêu trong vòng vài tháng kể từ cuộc tấn công ban đầu, điều này sẽ làm tăng tổn thất tài chính đáng kể. Những yếu tố này rất quan trọng cần được xem xét khi đưa ra quyết định kinh doanh đầy thách thức về việc có nên thanh toán hay không.”
Điều đó cho thấy, véc tơ ban đầu của cuộc tấn công cũng có tác động đáng kể đến chi phí. Xâm nhập email doanh nghiệp (BEC) và các cuộc tấn công lừa đảo đã dẫn đến chi phí vi phạm trung bình cao nhất - khoảng 4.9 triệu đô la cho mỗi sự cố - với các lỗ hổng của bên thứ ba và thông tin xác thực bị xâm phạm gây thiệt hại khoảng 4.5 triệu đô la cho mỗi sự cố.
Báo cáo của IBM-Ponemon cũng nhấn mạnh các công nghệ có thể có tác động lớn nhất đến chi phí vi phạm dữ liệu. Các công ty sử dụng công nghệ trí tuệ nhân tạo và máy học (AI / ML), quy trình DevSecOps và thành lập nhóm ứng phó sự cố đã tiết kiệm được khoảng 300,000 đô la, 276,000 đô la và 253,000 đô la cho mỗi sự cố, tương ứng.
Ngược lại, các công ty gặp phải sự phức tạp của hệ thống bảo mật, đang chuyển doanh nghiệp sang đám mây và gặp lỗi trong việc tuân thủ đã chứng kiến sự gia tăng lớn nhất về chi phí cho mỗi sự cố.
Báo cáo dựa trên hơn 3,600 cuộc phỏng vấn với các cá nhân từ 550 công ty thuộc nhiều quy mô khác nhau, tập trung vào các vi phạm liên quan đến bất kỳ nơi nào từ 2,200 đến 102,000 hồ sơ. Các vi phạm ngoài phạm vi đó không được bao gồm.
