Enam puluh persen pelanggaran telah mengakibatkan perusahaan mengganti biaya denda, pembersihan, dan peningkatan teknologi dengan menaikkan harga, pada dasarnya membuat konsumen membayar pelanggaran dan kurangnya kesiapan perusahaan, menurut laporan tahunan yang diterbitkan pada 27 Juli.
Laporan “Cost of Data Breach Report 2022”, berdasarkan survei eksekutif dan profesional keamanan di 550 perusahaan, mengatakan biaya rata-rata pelanggaran data terus meningkat pada tahun 2022, mencapai rata-rata $4.4 juta secara global (naik 13% sejak 2020) dan $9.4 juta di Amerika Serikat. Rata-rata, perusahaan membutuhkan 277 hari untuk mengidentifikasi dan mengatasi pelanggaran data, turun dari 287 hari pada tahun 2021, dan 83% perusahaan telah mengalami lebih dari satu pelanggaran.
“Jelas bahwa serangan siber berkembang menjadi pemicu tekanan pasar yang memicu reaksi berantai, [dan] kami melihat bahwa pelanggaran ini berkontribusi pada tekanan inflasi tersebut,” kata John Hendley, kepala strategi tim peneliti X-Force IBM Security. “Kita harus memikirkan peristiwa siber sebagai faktor yang mampu membebani perekonomian, mirip dengan COVID, perang di Ukraina, harga gas, semuanya.”
Grafik laporan Tahunan, berdasarkan survei yang dilakukan oleh Ponemon Institute, bukanlah upaya pertama untuk mengukur dampak pelanggaran terhadap neraca bisnis. Tahun lalu, sebuah survei oleh perusahaan operasi keamanan IronNet menemukan bahwa sebagian besar perusahaan terpengaruh oleh serangan rantai pasokan terhadap perusahaan manajemen jaringan SolarWinds, dengan rata-rata perusahaan melihat penurunan pendapatan sebesar 11% karena menangani kejadian tersebut.
Secara keseluruhan, para ahli memperkirakan bahwa insiden itu akan merugikan SolarWinds sendiri sekitar sekitar $ 18 juta. Adapun 18,000 bisnis dan lembaga pemerintah yang terkena dampak (dan sekitar 100 organisasi yang akhirnya dikompromikan), mereka telah menghadapi sebanyak $100 miliar dalam biaya pembersihan, menurut analisis.
“Pajak Cyber” untuk Konsumen
Sementara pakar keamanan siber semakin mendesak perusahaan untuk mengandalkan sistem mereka disusupi, mereka terus mengalami masalah dalam menghentikan penyerang, dan mereka membebankan biaya kepada konsumen, catat Hendley. Ini menunjukkan bahwa pelanggaran data dan serangan siber menciptakan pajak siber, menurutnya, meningkatkan biaya bagi konsumen dan klien hilir.
“Ketika Anda memikirkan fakta bahwa 83% bisnis telah dilanggar setidaknya sekali dalam seumur hidup mereka, saya pikir menjadi sulit untuk mengatakan bahwa kita perlu menerapkan ganti rugi untuk membantu mencegah pelanggaran,” kata Hendley. “Akan selalu ada jalan masuk, jadi saya pikir investasi terbaik yang bisa kita miliki adalah mencoba mengubah garis dari melindungi perimeter menjadi berpikir seperti penyerang.”
Selain pelabelan pelanggaran dan denda sebagai pajak dunia maya, laporan tersebut menyoroti berbagai tren di antara industri yang berurusan dengan serangan dunia maya. Perusahaan yang dapat mengurangi deteksi pelanggaran dan waktu respons secara keseluruhan menjadi kurang dari 200 hari menghemat $1.1 juta, atau 23% dari biaya rata-rata pelanggaran.
Biaya Pelanggaran Data Terburuk dalam Perawatan Kesehatan
Biaya pelanggaran data tunggal bervariasi secara signifikan berdasarkan jenis industri yang terpengaruh. Sektor perawatan kesehatan yang diatur dengan ketat terus membayar jumlah tertinggi untuk kompromi data, mencapai rata-rata $10 juta per pelanggaran pada tahun 2022, dibandingkan dengan perusahaan keuangan yang membayar rata-rata $6 juta per pelanggaran, biaya pelanggaran termahal kedua. Perusahaan farmasi dan perusahaan teknologi pada dasarnya terikat untuk tempat ketiga, membayar sekitar $ 5 juta untuk setiap pelanggaran.
Ransomware terus memberikan dampak signifikan pada bisnis, meskipun ada tanda-tanda bahwa — sejauh tahun ini — serangan ransomware agak menurun. Survei menemukan bahwa perusahaan yang membayar uang tebusan menghabiskan lebih sedikit untuk biaya pembersihan, tetapi jumlah uang tebusan yang tinggi meniadakan sebagian besar penghematan. Selain itu, 80% perusahaan yang membayar uang tebusan diserang lagi, menurut laporan “Ransomware: The True Cost to Business” diterbitkan oleh perusahaan keamanan Cybereason tahun lalu.
Ransomware Tidak Semahal Serangan Phishing
Penelitian lain telah menyoroti dampak ransomware pada perusahaan yang belum cukup siap untuk serangan destruktif. Dua pertiga perusahaan global yang terkena ransomware mengalami kerugian pendapatan yang signifikan, kata mereka, seperti halnya 58% dari mereka yang disurvei di perusahaan AS secara khusus. Serangan secara keseluruhan telah menyebabkan 31% perusahaan global menutup beberapa bagian dari bisnis mereka.
“Sangat menarik untuk melihat perbedaan biaya antara korban ransomware yang memilih untuk membayar dan mereka yang memilih untuk tidak membayar,” Nicole Hoffman, analis intelijen ancaman siber senior di Digital Shadows, sebuah perusahaan perlindungan risiko digital. “Mereka yang membayar sering menjadi sasaran lagi dalam beberapa bulan setelah serangan awal, yang akan meningkatkan kerugian finansial secara signifikan. Faktor-faktor ini penting untuk dipertimbangkan ketika membuat keputusan bisnis yang menantang apakah akan membayar atau tidak.”
Konon, vektor awal serangan juga memiliki dampak signifikan pada biaya. Kompromi email bisnis (BEC) dan serangan phishing menyebabkan biaya pelanggaran rata-rata tertinggi — sekitar $4.9 juta per insiden — dengan kerentanan pihak ketiga dan kredensial yang disusupi menyebabkan kerugian sekitar $4.5 juta per insiden.
Laporan IBM-Ponemon juga menyoroti teknologi yang dapat memiliki dampak terbesar pada biaya pelanggaran data. Perusahaan yang menggunakan teknologi kecerdasan buatan dan pembelajaran mesin (AI/ML), proses DevSecOps, dan membentuk tim respons insiden masing-masing menghemat sekitar $300,000, $276,000, dan $253,000 per insiden.
Sebaliknya, perusahaan yang mengalami kerumitan sistem keamanan, memigrasikan bisnis ke cloud, dan mengalami kegagalan kepatuhan mengalami peningkatan biaya per insiden terbesar.
Laporan ini didasarkan pada lebih dari 3,600 wawancara dengan individu dari 550 perusahaan dengan berbagai ukuran, dengan fokus pada pelanggaran yang melibatkan 2,200 hingga 102,000 catatan. Pelanggaran di luar kisaran itu tidak termasuk.
