Nyt IBM-studie afslører skjulte omkostninger ved databrud

Nyt IBM-studie afslører skjulte omkostninger ved databrud

IBM’s nyeste studie af omkostningerne ved databrud er verdens første til også at belyse omkostningerne ved de såkaldte ”mega breaches”, hvor over én million personfølsomme filer kompromitteres

IBM Security har netop annonceret resultaterne af deres årlige globale studie af databruds samlede effekt på virksomhedernes bundlinje. Normalt tager denne rapport kun udgangspunkt i databrud, hvor mellem 2.500 og 100.000 personfølsomme filer kompromitteres, da langt størstedelen ligger i det spænd. Men som noget nyt indeholder studiet også beregninger af omkostningerne ved de såkaldte mega breaches, som defineres ved, at over en million personfølsomme filer kompromitteres.

I studiet, som er sponsoreret af IBM Security og udført af Ponemon Institute, medtages indirekte omkostninger for at udregne den samlede effekt på bundlinjen. Resultaterne viser f.eks., at tabt forretning tegner sig for over 1/3 af omkostningerne ved mega breaches. Tabt forretning dækker bl.a. over tabt omsætning grundet systemnedbrud, image-skade, mistede kunder og manglende tilgang af nye kunder. Hvad angår den anden ende af databruds-skalaen så ligger de samlede omkostninger for et normalt databrud i gennemsnit på 3,86 million dollars, hvilket er en stigning på 6,4 procent i forhold til 2017 og en stigning på 10% set over en femårig periode.

Den del af studiet, der omhandler databrud i normal størrelsesorden, er baseret på interviews med over 2.200 it-professionelle fra 477 organisationer fordelt på 15 forskellige lande og regioner. Fælles for alle interviewpersonerne var, at de alle havde oplevet et databrud i deres respektive virksomhed inden for 12 måneder. Mega breaches er undersøgt ved at studere yderligere 11 virksomheder, som havde oplevet et mega beach inden for de sidste to år.

"Selvom de meget omtalte databrud ofte rapporterer tab i millionklassen, så er disse tal i høj grad variable, og ofte har man kun fokuseret på nogle få specifikke omkostninger, der er lette at kvantificere.Sandheden er, at der er mange skjulte omkostninger, der skal tages i betragtning, såsom image-skade, tabt omsætning og kapacitetsomkostninger. At vide, hvor omkostningerne ligger, og hvordan man kan reducere dem, kan hjælpe virksomhederne med at investere deres ressourcer mere strategisk og reducere de store finansielle risici, der på spil.” - siger Wendi Whitmore, Global Lead for IBM X-Force Incident Response and Intelligence Services (IRIS).

Antallet af mega breaches er næsten fordoblet 

Inden for de seneste fem år er antallet af mega breaches næsten fordoblet – fra kun 9 i 2013 til 16 i 2018. Og det er netop grundet det lave antal, at disse ikke før har været inkluderet i IBM’s årlige studie. Baseret på analyser af de 11 virksomheder, der havde været udsat for et mega breach inden for to år, anvender studiet statistisk modellering til at beregne omkostningerne ved mega breaches.

Udpluk af nøglefund:

  • De gennemsnitlige omkostninger ved databrud, hvor 1 million personfølsomme filer kompromitteres, er 40 millioner dollars.
  • Ved 50 millioner kompromitterede personfølsomme filer ligger de estimerede totale omkostninger på 350 millioner dollars.
  • Langt størstedelen af disse brud (10 ud af 11) stammer fra ondsindede og kriminelle angreb (i modsætning til systemfejl eller menneskelige fejl)
  • Den gennemsnitlige tid til at opdage og isolere et mega breach var 365 dage – næsten 100 dage længere end databrud i den mindre skala (266 dage)

Den største omkostningskategori for mega breaches var omkostninger relateret til tabt forretning, som var estimeret til næsten 118 millioner dollars for brud med 50 millioner kompromitterede personlige filer, hvilket næsten udgør en tredjedel af de samlede omkostninger ved et brud i den størrelse. IBM analyserede de offentliggjorte omkostninger fra flere af de meget omtalte databrud og fandt ud af, at de rapporterede omkostninger ofte var lavere end de gennemsnitlige omkostninger, som studiet fandt frem til. Dette skyldes formegentlig, at det ofte kun er de direkte omkostninger, der bliver offentliggjort, såsom udgifter til udgifter til ekstern juridisk hjælp og reparation af teknologi og services.

Hvad påvirker de gennemsnitlige omkostninger ved et databrud?

Studiet undersøger faktorer, der hhv. øger og reducerer omkostningerne ved et data brud, og resultaterne viser bl.a., at omkostningerne er stærkt påvirket af mængden af tid, der bruges på at isolere et data brud, samt investeringer i teknologier, som fremskynder responstiden.

  • Den gennemsnitlige tid, det tog at identificere et databrud, var 197 dage, og den gennemsnitlige tid til at isolere et databrud, efter det var identificeret, var 69 dage.
  • Virksomheder, der isolerede et data brud på under 30 dage, sparede over 1 million dollars sammenlignet med dem, hvor det tog mere end 30 dage (3.09 million vs. 4.25 million i gennemsnitlige omkostninger).

Antallet af tabte eller stjålne følsomme personlige filer påvirker også omkostningerne ved et brud – hver stjålet eller tabt fil koster i gennemsnit 148 dollars. Studiet undersøgte flere faktorer, som øger og reducere omkostningen:

  • At have et incident response team var den mest besparende faktor og reducerede omkostningen med 14 dollars pr. fil.
  • Brugen af en kunstig intelligens-platform for cybersikkerhed reducerede omkostningerne med 8 dollars pr. fil.
  • Virksomheder, der indikerede en “rush to notify” tilgang, hvor virksomheden skynder sig at underrette ofrer, før omfanget af bruddet var kendt, havde en højere omkostning på 5 dollars pr. fil.

For første gang indeholder dette års studie også undersøgelser af effekten af automatiske sikkerhedsværktøjer, der bruger kunstig intelligens, machine learning og analyser til at understøtte eller helt erstatte menneskelig indgriben i forhold til at identificere og isolere et brud. Resultaterne viser, at de organisationer, der i høj grad havde implementeret automatiske sikkerhedsværktøjer, sparede over 1,5 million dollars af de totale omkostninger (2,88 million sammenlignet med 4,43 million for dem, der ikke havde implementeret det).

Regionale og branchemæssige forskelle

Studiet sammenlignede også omkostningerne ved databrud i forskellige brancher og regioner og fandt frem til, at databrud i USA og Mellemøsten er mest omkostningsfulde, mens de var mindst omkostningsfulde i Brasilien og Indien.

  • Virksomheder i USA oplevede de højeste gennemsnitlige omkostninger ved et databrud med et gennemsnit på 7.91 million dollars efterfulgt af Mellemøsten med et gennemsnit på 5.31 million.
  • Det laveste gennemsnit var $1.24 million dollars i Brasilien efterfulgt af et gennemsnit på 1.77 million i Indien.

En faktor, der har en kæmpe indflydelse på omkostningerne ved et databrud i USA er tabt forretning som i gennemsnit var 4.2 millioner dollars, hvilket overgår de samlede globale gennemsnitlige omkostninger ved et databrud og mere end det dobbelte af, hvad tabt forretning udgør i noget andet land. Et kæmpe element inden for kategorien tabt forretning er manglende tilgang af nye kunder i tiden efter data bruddet; en ny IBM / Harris poll rapport viser faktisk, at 75 procent af forbrugerne i USA siger ikke vil handle med virksomheder, som de ikke stoler på kan beskytte deres data.

For 8. år i træk havde sundhedsorganisationer de højeste omkostninger ved databrud med en gennemsnitlig omkostning på 408 dollars pr. stjålet eller mistet personfølsom fil – næsten tre gange højere end gennemsnittet på tværs af brancher ($148).

”Målet med vores studie er at demonstrere værdien af en god praksis for databeskyttelse og de faktorer, der gør en kæmpe forskel for, hvor meget virksomheder ender med at betale for at afhjælpe et databrud” – udtaler Dr. Larry Ponemon, formand og stifter af Ponemon Institute. ”Mens omkostningerne ved et databrud er steget stødt i vores årlige studie, så ser vi positive tegn i forhold til omkostningsreducering ved at bruge nye teknologier og bedre planlægning af incident response, hvilket kan reducere disse omkostninger signifikant”

 

- lb