نتج عن ستين في المائة من الانتهاكات للشركات استرداد تكلفة الغرامات والتنظيف والتحسينات التكنولوجية عن طريق زيادة الأسعار ، مما دفع المستهلكين أساسًا لدفع ثمن الانتهاكات وعدم استعداد الشركات ، وفقًا لتقرير سنوي نُشر في 27 يوليو.
يقول تقرير "تقرير تكلفة خرق البيانات لعام 2022" ، استنادًا إلى دراسة استقصائية للمديرين التنفيذيين والمتخصصين في مجال الأمن في 550 شركة ، إن متوسط تكلفة خرق البيانات استمر في الارتفاع في عام 2022 ، حيث وصل إلى 4.4 مليون دولار أمريكي في المتوسط على مستوى العالم (بزيادة 13٪ منذ ذلك الحين) 2020) و 9.4 مليون دولار في الولايات المتحدة. في المتوسط ، تطلبت الشركات 277 يومًا لتحديد خروقات البيانات واحتوائها ، انخفاضًا من 287 يومًا في عام 2021 ، وعانت 83 ٪ من الشركات أكثر من انتهاك واحد.
يقول جون هندلي ، رئيس الإستراتيجية لفريق أبحاث X-Force التابع لشركة IBM Security: "من الواضح أن الهجمات الإلكترونية تتطور إلى ضغوطات في السوق تؤدي إلى ردود فعل متسلسلة ، [و] نرى أن هذه الانتهاكات تساهم في تلك الضغوط التضخمية". "علينا أن نفكر في الأحداث السيبرانية باعتبارها عوامل قادرة على إجهاد الاقتصاد ، على غرار COVID ، والحرب في أوكرانيا ، وأسعار الغاز ، كل ذلك."
• تقرير سنوياستنادًا إلى الدراسات الاستقصائية التي أجراها معهد بونيمون ، ليست المحاولة الأولى لقياس تأثير الانتهاكات على الميزانيات العمومية للشركات. في العام الماضي ، وجدت دراسة استقصائية أجرتها شركة IronNet للعمليات الأمنية أن معظم الشركات تأثرت بهجوم سلسلة التوريد على شركة إدارة الشبكات SolarWinds ، مع متوسط الشركة رؤية انخفاض بنسبة 11٪ في الإيرادات بسبب التعامل مع الحادث.
بشكل عام ، قدر الخبراء أن الحادث سيكلف SolarWinds نفسها حوالي 18 مليون دولار. بالنسبة للشركات والوكالات الحكومية المتأثرة البالغ عددها 18,000 (وما يقرب من 100 منظمة التي تعرضت للخطر في نهاية المطاف) ، فقد واجهوا ما يصل إلى 100 مليار دولار تكاليف التنظيفحسب التحليل.
"ضريبة الإنترنت" على المستهلكين
في حين حث خبراء الأمن السيبراني الشركات بشكل متزايد على الاعتماد على تعرض أنظمتهم للاختراق ، إلا أنهم ما زالوا يواجهون مشاكل في إيقاف المهاجمين ، وهم ينقلون التكاليف إلى المستهلكين ، كما يشير هندلي. ويشير هذا إلى أن انتهاكات البيانات والهجمات الإلكترونية تؤدي إلى فرض ضريبة على الإنترنت ، كما يجادل ، مما يزيد من التكاليف للمستهلكين والعملاء في المراحل النهائية.
يقول هندلي: "عندما تفكر في حقيقة أن 83٪ من الشركات قد تم اختراقها مرة واحدة على الأقل في حياتها ، أعتقد أنه من الصعب القول إننا بحاجة إلى تطبيق تعويضات عقابية للمساعدة في منع الانتهاكات". "ستكون هناك دائمًا طريقة للدخول ، لذلك أعتقد أن أفضل استثمار يمكن أن نحصل عليه هو محاولة تحويل الخط من حماية المحيط إلى التفكير مثل المهاجم."
بالإضافة إلى تصنيف الانتهاكات والغرامات كضريبة إلكترونية ، سلط التقرير الضوء على الاتجاهات المختلفة بين الصناعات التي تتعامل مع الهجمات الإلكترونية. الشركات التي يمكن أن تقلل الوقت الإجمالي لاكتشاف الخرق والاستجابة لأقل من 200 يوم وفرت 1.1 مليون دولار ، أو 23٪ من تكلفة متوسط الخرق.
تكلفة خرق البيانات هي الأسوأ في مجال الرعاية الصحية
تختلف تكلفة خرق البيانات الفردي بشكل كبير بناءً على نوع الصناعة المتأثرة. واصل قطاع الرعاية الصحية شديد التنظيم دفع أكبر مبلغ مقابل تنازلات البيانات ، حيث وصل في المتوسط إلى 10 ملايين دولار لكل خرق في عام 2022 ، مقارنة بالشركات المالية التي دفعت في المتوسط 6 ملايين دولار لكل خرق ، وهي ثاني أغلى تكلفة خرق. ترتبط شركات الأدوية وشركات التكنولوجيا بشكل أساسي بالمركز الثالث ، حيث تدفع حوالي 5 ملايين دولار لكل خرق.
استمرت برامج الفدية في التأثير بشكل كبير على الأعمال التجارية ، على الرغم من الدلائل التي تشير - حتى الآن هذا العام - إلى تراجع هجمات برامج الفدية إلى حد ما. وجد الاستطلاع أن الشركات التي تدفع فدية تنفق أقل على تكاليف التنظيف ، لكن الفدية المرتفعة تلغي معظم المدخرات. بالإضافة إلى ذلك ، فإن 80٪ من الشركات التي تدفع فديات تتعرض للهجوم مرة أخرى ، بحسب تقرير "Ransomware: التكلفة الحقيقية للأعمال" نشرته شركة الأمن Cybereason العام الماضي.
برامج الفدية ليست مكلفة مثل هجمات التصيد الاحتيالي
سلط بحث آخر الضوء على تأثير برامج الفدية على الشركات التي لم تستعد بشكل كاف للهجمات المدمرة. قالوا إن ثلثي الشركات العالمية التي تعرضت لبرامج الفدية عانت من خسارة كبيرة في الإيرادات ، كما فعل 58٪ من الشركات الأمريكية التي شملها الاستطلاع على وجه التحديد. أدت الهجمات بشكل عام إلى إغلاق 31٪ من الشركات العالمية لجزء من أعمالها.
"من المثير للاهتمام أن نرى فرق التكلفة بين ضحايا برامج الفدية الذين اختاروا الدفع وأولئك الذين اختاروا عدم القيام بذلك" ، هذا ما قالته نيكول هوفمان ، كبير محللي استخبارات التهديدات الإلكترونية في شركة Digital Shadows ، وهي شركة لحماية المخاطر الرقمية. غالبًا ما يتم استهداف أولئك الذين يدفعون مرة أخرى في غضون أشهر من الهجوم الأصلي ، مما سيزيد الخسائر المالية بشكل كبير. هذه العوامل مهمة في الاعتبار عند اتخاذ قرار العمل الصعب بشأن الدفع من عدمه ".
ومع ذلك ، كان للهجوم الأولي أيضًا تأثير كبير على التكلفة. أدى اختراق البريد الإلكتروني للأعمال (BEC) وهجمات التصيد الاحتيالي إلى أعلى متوسط تكاليف خرق - حوالي 4.9 مليون دولار لكل حادثة - مع وجود نقاط ضعف تابعة لجهات خارجية وبيانات اعتماد مخترقة تمثل أضرارًا تبلغ حوالي 4.5 مليون دولار لكل حادث.
سلط تقرير IBM-Ponemon الضوء أيضًا على التقنيات التي يمكن أن يكون لها أكبر تأثير على تكاليف خرق البيانات. الشركات التي تستخدم تقنيات الذكاء الاصطناعي والتعلم الآلي (AI / ML) وعمليات DevSecOps وشكلت فريقًا للاستجابة للحوادث وفرت حوالي 300,000 دولار و 276,000 دولار و 253,000 دولار لكل حادث على التوالي.
في المقابل ، كانت الشركات التي عانت من تعقيد نظام الأمان ، تقوم بترحيل الأعمال إلى السحابة ، وكان لديها إخفاقات في الامتثال شهدت أكبر الزيادات في التكلفة لكل حادث.
يستند التقرير إلى أكثر من 3,600 مقابلة مع أفراد من 550 شركة من مختلف الأحجام ، مع التركيز على الانتهاكات التي شملت في أي مكان من 2,200 إلى 102,000 سجل. لم يتم تضمين الخروقات خارج هذا النطاق.
