IBM Study avslöjar kostnader för datasäkerhetsbrott

Det här inlägget kommer ursprungligen från IBM News Rum, men har tyvärr sedan tagits bort.

Mega Brott kan kosta företag så mycket som $ 350 miljoner

IBM (NYSE: IBM) Security tillkännagav resultaten av en global studie som undersökte den fulla ekonomiska effekten av ett dataintrång på företagets resultat. Sammantaget fann studien att dolda kostnader vid dataintrång – som förlorade affärer, negativ inverkan på anseende och anställdas tid på återhämtning – är svåra och dyra att hantera. Studien visade till exempel att en tredjedel av kostnaden för “megaöverträdelser” (över 1 miljon förlorade poster) härrör från förlorade affärer.

Kostnaden för en dataintrångsstudie1 sponsrad av IBM Security och genomförd av Ponemon Institute, fann att den genomsnittliga kostnaden för ett dataintrång globalt är 3,86 miljoner dollar, 2 en ökning med 6,4 procent från 2017 års rapport. Baserat på djupintervjuer med nästan 500 företag som har upplevt ett dataintrång analyserar studien hundratals kostnadsfaktorer kring ett intrång, från tekniska undersökningar och återhämtning, till anmälningar, juridiska och reglerande aktiviteter och kostnader för förlorade affärer och anseende.

I år beräknade studien också för första gången kostnaderna för “mega-överträdelser” från 1 miljon till 50 miljoner förlorade poster, och beräknade att dessa överträdelser kostade företag mellan 40 respektive 350 miljoner dollar.

“Medan mycket publicerade dataintrång ofta rapporterar förluster i miljoner, är dessa siffror mycket varierande och fokuserar ofta på några specifika kostnader som lätt kan kvantifieras”, säger Wendi Whitmore, Global Lead för IBM X-Force Incident Response and Intelligence Services (IRIS) ). ”Sanningen är att det finns många dolda utgifter som måste tas i beaktande, till exempel anseende, kundomsättning och driftskostnader. Att veta var kostnaderna ligger och hur man kan minska dem kan hjälpa företag att investera sina resurser mer strategiskt och sänka de enorma ekonomiska riskerna som står på spel. ”

Dolda siffror – Beräkning av kostnaden för ett megabrott

Under de senaste fem åren har mängden megaöverträdelser (överträdelser av mer än en miljon poster) nästan fördubblats – från bara nio megaöverträdelser 2013 till 16 megaintrång under 2017.3 På grund av den lilla mängden megaöverträdelser tidigare Kostnaden för en dataintrångsstudie analyserade historiskt dataintrång med cirka 2500 till 100 000 förlorade poster.

Baserat på analys av 11 företag som har upplevt en stor överträdelse under de senaste två åren använder årets rapport statistisk modellering för att projicera kostnaden för överträdelser från 1 miljon till 50 miljoner komprometterade poster. Viktiga resultat är:

  • Den genomsnittliga kostnaden för ett dataintrång på 1 miljon komprometterade poster är nästan 40 miljoner dollar
  • Vid 50 miljoner poster uppskattas den totala kostnaden för ett intrång 350 miljoner dollar
  • De allra flesta av dessa överträdelser (10 av 11) härstammar från skadliga och kriminella attacker (i motsats till systemfel eller mänskliga fel)
  • Den genomsnittliga tiden för att upptäcka och innehålla ett mega-intrång var 365 dagar – nästan 100 dagar längre än ett mindre intrång (266 dagar)

För megaöverträdelser var den största utgiftskategorin kostnader för förlorade affärer, som uppskattades till nästan 118 miljoner dollar för överträdelser av 50 miljoner poster – nästan en tredjedel av den totala kostnaden för en överträdelse av denna storlek. IBM analyserade de offentligt rapporterade kostnaderna för flera högprofilerade megaöverträdelser och fann att de rapporterade siffrorna ofta är lägre än den genomsnittliga kostnaden i studien.4 Detta beror troligen på att offentligt rapporterade kostnader ofta är begränsade till direkta kostnader, såsom teknik och tjänster för att återhämta sig från överträdelsen, juridiska avgifter och ersättningar till kunder.

Vad påverkar den genomsnittliga kostnaden för ett dataintrång?

Under de senaste 13 åren har Ponemon Institute undersökt kostnaderna för dataintrång på mindre än 100 000 poster och upptäckt att kostnaderna stadigt har stigit under studiens gång. Den genomsnittliga kostnaden för ett dataintrång var 3,86 miljoner dollar i studien 2018, jämfört med 3,50 miljoner dollar 2014 – vilket motsvarar nästan 10 procent nettoökning under de senaste 5 åren av studien.

Studien undersöker också faktorer som ökar eller minskar kostnaderna för intrånget, och finner att kostnaderna påverkas kraftigt av den tid som spenderas på att innehålla ett dataintrång, samt investeringar i tekniker som påskyndar svarstiden.

  • Den genomsnittliga tiden för att identifiera ett dataintrång i studien var 197 dagar och den genomsnittliga tiden för att innehålla ett dataintrång när de identifierats var 69 dagar.
  • Företag som innehöll ett brott på mindre än 30 dagar sparade över 1 miljon dollar jämfört med de som tog mer än 30 dagar (3,09 miljoner dollar jämfört med totalt 4,25 miljoner dollar)

Mängden förlorade eller stulna poster påverkar också kostnaden för en överträdelse och kostar i genomsnitt 148 USD per förlorad eller stulen post. Studien undersökte flera faktorer som ökar eller minskar denna kostnad:

  • Att ha ett team för insatsåtgärder var den bästa kostnadsbesparingsfaktorn, vilket minskade kostnaden med $ 14 per komprometterat rekord
  • Användningen av en AI-plattform för cybersäkerhet minskade kostnaden med $ 8 per förlorad eller stulen post
  • Företag som angav ett “brådskande meddelande” hade en högre kostnad på 5 USD per förlorad eller stulen post

I år undersökte rapporten för första gången effekten av säkerhetsautomatiseringsverktyg som använder artificiell intelligens, maskininlärning, analys och orkestrering för att förstärka eller ersätta mänskligt ingripande i identifieringen och inneslutningen av ett brott. Analysen visade att organisationer som i stor utsträckning hade använt automatiserade säkerhetsteknologier sparade mer än 1,5 miljoner dollar på den totala kostnaden för ett brott (2,88 miljoner dollar, jämfört med 4,43 miljoner dollar för dem som inte hade använt säkerhetsautomatisering.)

Regional och industri Skillnader

Studien jämförde också kostnaderna för dataintrång i olika branscher och regioner och fann att dataintrång är de dyraste i USA och Mellanöstern och minst kostsamma i Brasilien och Indien.

  • Amerikanska företag upplevde den högsta genomsnittliga kostnaden för ett intrång på 7,91 miljoner dollar, följt av Mellanöstern på 5,31 miljoner dollar.
  • Den lägsta totala kostnaden för ett brott var 1,24 miljoner dollar i Brasilien, följt av 1,77 miljoner dollar i Indien.

En viktig faktor som påverkade kostnaden för ett dataintrång i USA var den rapporterade kostnaden för förlorade affärer, som var 4,2 miljoner dollar – mer än den totala genomsnittliga kostnaden för ett intrång globalt och mer än dubbelt så mycket som “förlorade affärskostnader” jämfört till någon annan undersökt region. En viktig faktor som påverkar förlorade företagskostnader är kundomsättningen efter en överträdelse. faktiskt en ny IBM / Harris omröstningsrapport fann att 75 procent av konsumenterna i USA säger att de inte kommer att göra affärer med företag som de inte litar på för att skydda sina uppgifter.

För åttonde året i rad hade hälso- och sjukvårdsorganisationer de högsta kostnaderna för dataintrång – vilket kostade dem 408 dollar per förlorat eller stulet rekord – nästan tre gånger högre än genomsnittet över branschen (148 dollar).

“Målet med vår forskning är att visa värdet av god dataskyddspraxis och de faktorer som gör en konkret skillnad i vad ett företag betalar för att lösa ett dataintrång”, säger Dr. Larry Ponemon, ordförande och grundare av Ponemon Institute. “Även om dataintrångskostnaderna har ökat stadigt under studiens historia, ser vi positiva tecken på kostnadsbesparingar genom användning av nyare teknik samt korrekt planering för incidentrespons, vilket kan minska dessa kostnader avsevärt.”

1 Datainsamlingen började i februari 2017 och intervjuerna slutfördes i april 2018

2 Genomsnittlig kostnad för dataintrång på 2 500-100 000 förlorade eller stulna poster

3 Källa: IBM-analys av Privacy Rights Clearinghouse’s Chronology of Data Breaks

4 Equifax dataintrång rapporterad att kosta företaget 275 miljoner dollar; Mål 2016 finansiell rapport beräknad förlust på 292 miljoner dollar till följd av 2013 års dataintrång; Ruby Corp (moderbolaget till Ashley Madison) enligt uppgift betalade 11,2 miljoner dollar för avvecklingen av överträdelsen 2015.