根据 27 月 XNUMX 日发布的年度报告,XNUMX% 的违规行为导致公司通过提高价格来收回罚款、清理和技术改进的成本,实质上是让消费者为违规和公司缺乏准备付出代价。
“2022 年数据泄露成本报告”报告基于对 550 家公司的高管和安全专业人员的调查,称 2022 年数据泄露的平均成本继续上升,全球平均达到 4.4 万美元(自13) 和 2020 万美元在美国。 平均而言,公司需要 9.4 天来识别和遏制数据泄露,低于 277 年的 287 天,2021% 的公司遭受了不止一次泄露。
“很明显,网络攻击正在演变为引发连锁反应的市场压力因素,[并且]我们看到这些违规行为正在加剧这些通胀压力,”IBM Security 的 X-Force 研究团队战略负责人 John Hendley 说。 “我们必须将网络事件视为能够使经济紧张的因素,例如 COVID、乌克兰战争、天然气价格等等。”
年度报告根据 Ponemon Institute 进行的调查,这并不是衡量违规对企业资产负债表影响的第一次尝试。 去年,安全运营公司 IronNet 的一项调查发现,大多数公司都受到了网络管理公司 SolarWinds 供应链攻击的影响,平均公司 收入下降 11% 由于处理事件。
总体而言,专家估计该事件将使 SolarWinds 自身损失大约 约18亿美元. 至于受影响的 18,000 家企业和政府机构(以及最终受到影响的大约 100 家组织),他们面临的 100亿美元的清理费用,据分析。
对消费者征收“网络税”
Hendley 指出,虽然网络安全专家越来越多地敦促公司指望他们的系统受到攻击,但他们仍然在阻止攻击者方面遇到问题,而且他们正在将成本转嫁给消费者。 他认为,这表明数据泄露和网络攻击正在产生网络税,从而增加了下游消费者和客户的成本。
“当你想到 83% 的企业在其一生中至少遭到一次违规的事实时,我认为很难说我们需要施加惩罚性赔偿来帮助防止违规行为,”亨德利说。 “总有办法进入,所以我认为我们可以拥有的最佳投资是尝试将防线从保护外围转变为像攻击者一样思考。”
除了将违规和罚款标记为网络税外,该报告还强调了处理网络攻击的行业中的各种趋势。 可以将整体违规检测和响应时间减少到不到 200 天的公司节省了 1.1 万美元,即平均违规成本的 23%。
医疗保健领域的数据泄露成本最高
根据受影响的行业类型,单个数据泄露的成本差异很大。 受到严格监管的医疗保健部门继续为数据泄露支付最高金额,到 10 年,每次泄露平均达到 2022 万美元,而金融公司每次泄露平均支付 6 万美元,这是第二高的泄露成本。 制药公司和科技公司基本上并列第三,每次违规支付约 5 万美元。
勒索软件继续对业务产生重大影响,尽管有迹象表明——今年到目前为止——勒索软件攻击有所下降。 调查发现,支付赎金的公司在清理成本上的花费较少,但高额赎金抵消了大部分节省。 此外,据报道,支付赎金的公司中有 80% 再次受到攻击。 “勒索软件:企业的真实成本”报告 去年由安全公司 Cybereason 发布。
勒索软件不像网络钓鱼攻击那样昂贵
其他研究强调了勒索软件对没有为破坏性攻击做好充分准备的公司的影响。 他们说,在遭受勒索软件攻击的全球公司中,三分之二的公司遭受了重大的收入损失,在美国公司接受调查的公司中有 58% 的公司也遭受了重大损失。 总体而言,这些攻击已导致 31% 的全球公司关闭了部分业务。
数字风险保护公司 Digital Shadows 的高级网络威胁情报分析师 Nicole Hoffman 表示:“有趣的是,选择付费的勒索软件受害者与选择不付费的勒索软件受害者之间的成本差异。” “那些支付费用的人通常会在最初的攻击后的几个月内再次成为目标,这将大大增加经济损失。 在做出是否付款的具有挑战性的商业决策时,这些因素非常重要。”
也就是说,攻击的初始向量也对成本产生了重大影响。 商业电子邮件泄露 (BEC) 和网络钓鱼攻击导致的平均泄露成本最高——每次事件约为 4.9 万美元——第三方漏洞和被泄露的凭据造成的损失约为每次事件 4.5 万美元。
IBM-Ponemon 报告还强调了可能对数据泄露成本影响最大的技术。 使用人工智能和机器学习 (AI/ML) 技术、DevSecOps 流程并组建事件响应团队的公司每次事件分别节省了约 300,000 美元、276,000 美元和 253,000 美元。
相比之下,遭受安全系统复杂性困扰、正在将业务迁移到云端以及合规性失败的公司,每次事件的成本增幅最大。
该报告基于对来自 3,600 家不同规模公司的个人的 550 多次采访,重点关注涉及 2,200 到 102,000 条记录的违规行为。 超出该范围的违规不包括在内。
