Seksti prosent av bruddene har resultert i at selskaper har hentet inn kostnadene for bøter, opprydding og teknologiske forbedringer ved å øke prisene, noe som i hovedsak får forbrukerne til å betale for brudd og selskapers manglende beredskap, ifølge en årlig rapport publisert 27. juli.
Rapporten «Cost of Data Breach Report 2022», basert på en undersøkelse blant ledere og sikkerhetseksperter ved 550 selskaper, sier at gjennomsnittskostnaden for et datainnbrudd fortsatte å stige i 2022, og nådde et gjennomsnitt på 4.4 millioner dollar globalt (opp 13 % siden 2020) og 9.4 millioner dollar i USA. I gjennomsnitt krevde selskaper 277 dager for å identifisere og inneholde datainnbrudd, ned fra 287 dager i 2021, og 83 % av selskapene hadde vært utsatt for mer enn ett brudd.
"Det er tydelig at nettangrep utvikler seg til markedsstressorer som utløser kjedereaksjoner, [og] vi ser at disse bruddene bidrar til dette inflasjonspresset," sier John Hendley, strategisjef for IBM Securitys X-Force-forskningsteam. "Vi må tenke på cyberhendelser som faktorer som er i stand til å belaste økonomien, i likhet med COVID, krigen i Ukraina, gasspriser, alt dette."
De årlig rapport, basert på undersøkelser utført av Ponemon Institute, er ikke det første forsøket på å måle virkningen av brudd på virksomheters balanser. I fjor fant en undersøkelse fra sikkerhetsoperasjonsfirmaet IronNet at de fleste selskaper ble berørt av forsyningskjedeangrepet på nettverksadministrasjonsfirmaet SolarWinds, med gjennomsnittsfirmaet ser en nedgang på 11 % i omsetning på grunn av håndteringen av hendelsen.
Totalt sett anslo eksperter at hendelsen ville koste SolarWinds seg selv ca rundt 18 millioner dollar. Når det gjelder de 18,000 100 berørte virksomhetene og offentlige etater (og de rundt XNUMX organisasjonene som til slutt ble kompromittert), har de møtt så mye som 100 milliarder dollar i oppryddingskostnader, ifølge analyse.
En "cyberskatt" på forbrukere
Mens cybersikkerhetseksperter i økende grad har oppfordret bedrifter til å regne med at systemene deres blir kompromittert, fortsetter de å ha problemer med å stoppe angripere, og de overfører kostnadene til forbrukerne, bemerker Hendley. Dette antyder at datainnbrudd og cyberangrep skaper en cyberskatt, hevder han, og øker kostnadene for nedstrømsforbrukere og klienter.
«Når du tenker på det faktum at 83 % av virksomhetene har blitt brutt minst én gang i løpet av livet, tror jeg det blir vanskelig å si at vi må bruke strafferstatning for å forhindre brudd», sier Hendley. "Det vil alltid være en vei inn, så jeg tror den beste investeringen vi kan ha er å prøve å flytte linjen fra å beskytte omkretsen til å tenke som angriperen."
I tillegg til merkingen av brudd og bøter som en cyberskatt, fremhevet rapporten ulike trender blant bransjer som håndterer cyberangrep. Bedrifter som kunne redusere den totale brudddeteksjonen og responstiden til mindre enn 200 dager, sparte 1.1 millioner dollar, eller 23 % av kostnadene for det gjennomsnittlige bruddet.
Datainnbrudd koster verst i helsevesenet
Kostnaden for et enkelt datainnbrudd varierte betydelig basert på hvilken type industri som ble berørt. Den sterkt regulerte helsesektoren fortsatte å betale ut det høyeste beløpet for kompromittering av data, og nådde et gjennomsnitt på 10 millioner dollar per brudd i 2022, sammenlignet med finansfirmaer som i gjennomsnitt betalte 6 millioner dollar per brudd, den nest dyreste bruddkostnaden. Farmasøytiske selskaper og teknologifirmaer ligger i hovedsak på tredjeplass, og betaler rundt 5 millioner dollar for hvert brudd.
Ransomware fortsatte å ha en betydelig innvirkning på virksomheten, til tross for tegn på at - så langt i år - ransomware-angrep har avtatt noe. Undersøkelsen fant at selskaper som betaler løsepenger, bruker mindre på oppryddingskostnader, men høye løsepenger opphever de fleste besparelser. I tillegg blir 80 % av selskapene som betaler løsepenger angrepet igjen, ifølge "Ransomware: The True Cost to Business"-rapporten utgitt av sikkerhetsfirmaet Cybereason i fjor.
Ransomware Ikke så kostbart som phishing-angrep
Annen forskning har fremhevet virkningen av løsepengevare på selskaper som ikke har forberedt seg tilstrekkelig på destruktive angrep. To tredjedeler av globale firmaer som ble rammet av løsepengevare led et betydelig inntektstap, sa de, og det samme gjorde 58 % av de spurte spesifikt hos amerikanske selskaper. Angrepene har samlet sett ført til at 31 % av globale selskaper har stengt deler av virksomheten deres.
"Det er interessant å se kostnadsforskjellen mellom løsepengevareofre som valgte å betale og de som valgte å ikke gjøre det," Nicole Hoffman, senior etterretningsanalytiker for cybertrusler i Digital Shadows, et firma for beskyttelse av digital risiko. "De som betaler blir ofte målrettet igjen innen måneder etter det opprinnelige angrepet, noe som ville øke økonomiske tap betydelig. Disse faktorene er viktige å vurdere når du tar den utfordrende forretningsbeslutningen om å betale eller ikke."
Når det er sagt, hadde den første vektoren for angrepet også en betydelig innvirkning på kostnadene. Business e-postkompromiss (BEC) og phishing-angrep førte til de høyeste gjennomsnittlige bruddkostnadene – rundt $4.9 millioner per hendelse – med tredjepartssårbarheter og kompromitterte legitimasjoner som står for skader på omtrent $4.5 millioner per hendelse.
IBM-Ponemon-rapporten fremhevet også teknologier som kan ha størst innvirkning på kostnadene for datainnbrudd. Selskaper som bruker kunstig intelligens og maskinlæring (AI/ML) teknologier, DevSecOps-prosesser og dannet et hendelsesresponsteam sparte henholdsvis rundt $300,000 276,000, $253,000 XNUMX og $XNUMX XNUMX per hendelse.
I motsetning til dette, så selskaper som led av kompleksitet i sikkerhetssystemet, migrerte virksomheten til skyen og hadde samsvarssvikt de største økningene i kostnad per hendelse.
Rapporten er basert på mer enn 3,600 550 intervjuer med personer fra 2,200 selskaper av ulike størrelser, med fokus på brudd som involverte alt fra 102,000 XNUMX til XNUMX XNUMX poster. Brudd utenfor dette området ble ikke inkludert.
