Сегодня подразделение IBM Security представило результаты глобального исследования, посвященного финансовой оценке ущерба от утечек данных. В среднем каждый такой инцидент обходится компаниям в $3,86 млн, а самые высокие расходы связаны с компрометацией учетных записей сотрудников. Глубинный анализ утечек данных в более чем 500 организациях во всем мире показал, что в 80% случаев раскрываются идентифицирующие персональные данные (PII) клиентов. Утечка этого типа данных обходится бизнесу дороже всего.
Удаленная работа и растущий масштаб бизнес-операций в облаке увеличивают риски при доступе к чувствительной информации. Данный отчет проливает свет на финансовые потери, с которыми могут столкнуться организации в случае компрометации этих данных. Отдельное исследование IBM показало, что более половины сотрудников, которым из-за пандемии пришлось осваивать работу из дома, не получали новых указаний по обращению с идентифицирующими персональными данными клиентов, несмотря на связанные с этим нововведением риски.
Исследование «2020 Cost of a Data Breach Report», проведенное Ponemon Institute при поддержке IBM Security, основано на глубинных интервью с более чем 3200 специалистами по информационной безопасности компаний, которые пострадали от утечек данных за последний год. Вот ключевые выводы исследования этого года:
- Интеллектуальные технологии позволяют вдвое сократить убытки от утечек данных. Компании, полностью развернувшие технологии автоматизации киберзащиты (в которых для выявления угроз и реагирования на них используются искусственный интеллект (ИИ), анализ данных и автоматизированные механизмы управления), понесли в два раза меньше убытков от утечки данных, чем компании, которые не внедрили такие инструменты, — в среднем $2,45 млн вместо $6,03 млн.
- Скомпрометированные учетные данные дорого обходятся. В тех случаях, когда злоумышленники получали доступ к корпоративным сетям с помощью украденных или скомпрометированных учетных данных, расходы компаний, связанные с утечкой данных, были на $1 млн выше, чем средний показатель по миру, и достигали $4,77 млн за одну утечку. Использование уязвимостей третьих сторон занимает вторую строчку в списке причин расходов, вызванных нарушением безопасности данных ($4,5 млн).
- Расходы из-за крупных утечек данных увеличились на миллионы долларов. Расходы из-за утечек, при которых были скомпрометированы более 50 млн записей данных, в прошлом году увеличились с $388 млн до $392 млн. Утечки, при которых были скомпрометированы 40–50 млн учетных записей, обошлись компаниям в среднем в $364 млн. Это на $19 млн больше, чем в 2019 году.
- Атаки, финансируемые государствами-нациями, наносят самый большой ущерб. По сравнению с другими источниками угроз безопасности данных, рассматриваемыми в исследовании, наиболее дорогостоящим стали утечки данных, которые, как считается, являются следствием действий со стороны государств-наций. В среднем атаки, спонсируемые государствами, приводят к расходам в размере $4,43 млн на одну утечку данных, что значительно превышает ущерб от финансово заинтересованных киберпреступников и хакеров-активистов.
«Мы заметили, что компании, которые инвестировали в автоматизированные технологии, могут более эффективно нивелировать негативное влияние утечек данных, — заявила Венди Уитмор, вице-президент IBM X-Force Threat Intelligence. — Сейчас, когда компании расширяют свои цифровые возможности ускоренными темпами, а в сфере информационной безопасности сохраняется дефицит кадров, для защиты растущего количества устройств, систем и данных требуется все больше усилий. Автоматизация киберзащиты позволяет решить эту проблему. Она способствует не только более оперативному реагированию на утечки данных, но и значительному снижению сопутствующих расходов».
Учетные данные сотрудников и неправильно сконфигурированные облачные среды — уязвимые места, которые выбирают злоумышленники
Украденные или скомпрометированные учетные данные и неправильно настроенные облачные среды являются самыми распространенными причинами взломов. На них приходится около 40% всех случаев. В 2019 году целью злоумышленников стали более 8,5 млрд записей данных. В каждом пятом случае преступники использовали ранее взломанные электронные почты и пароли. Компании переосмысливают свои стратегии киберзащиты, применяя подход «нулевого доверия», и пересматривают порядок аутентификации пользователей, а также уровни предоставляемых им прав доступа.
Компании также сталкиваются со сложностью киберзащиты. Из-за этого растут связанные с утечками расходы, а ошибки в облачных конфигурациях становятся все более сложной проблемой. Исследование 2020 года показало, что злоумышленники использовали ошибки в облачных конфигурациях для взлома сетей приблизительно в 20% случаев, из-за чего сопутствующие расходы увеличились в среднем на полмиллиона — до $4,41 млн. Это третий самый дорогой по потерям первоначальный вектор атаки, рассматриваемый в исследовании.
Спонсируемые государством атаки наносят самый большой ущерб
Хотя на такие атаки приходится всего 13% утечек, злоумышленники, финансируемые государством, наносили самый большой ущерб, согласно исследованию 2020 года. Предположительно, это связано с тем, что атаки с целью финансового обогащения (53%) не ведут к бóльшим убыткам для компаний. Качественная подготовка, продолжительность и замаскированность финансируемых государствами атак, а также высокая ценность данных, на которые они нацелены, часто приводят к более высокой степени компрометации сред пострадавших. Из-за этого расходы, связанные с утечками данных возрастают в среднем до $4,43 млн.
На Ближнем Востоке, где исторически кибератаки, финансируемые государствами, происходят чаще, чем в других частях света, расходы на устранение утечек данных в среднем за год увеличились более чем на 9%, до $6,52 млн, что вывело этот регион на второе место в списке из 17 регионов, рассматриваемых в исследовании. Одной из наиболее популярных целей кибератак со стороны государств становятся компании энергетического сектора. В годовом выражении их расходы из-за взломов увеличились на 14% — до $6,39 млн.
Передовые технологии киберзащиты помогают бизнесу
В исследовании подчеркивается увеличивающийся разрыв в расходах на устранение последствий кибератак между компаниями, которые внедрили передовые технологии киберзащиты, и остальными: предприятия, полностью развернувшие автоматизацию, экономят на $3,58 млн больше. Таким образом, разрыв увеличился до $2 млн в 2019 году по сравнению с $1,55 млн в 2018.
Внедрение технологий автоматизации киберзащиты способствует не только снижению соответствующих расходов, но и значительному сокращению времени реагирования на утечки данных. Исследование показало, что благодаря ИИ, машинному обучению, анализу данных и прочим формам автоматизации киберзащиты компании, внедрившие эти технологии, реагируют на утечки данных на 27% быстрее, чем те, которым еще предстоит их внедрить. Это значит, что в среднем им требуется на 74 дня меньше, чтобы выявить и остановить утечку.
Готовность к реагированию на инциденты также продолжает влиять на финансовые последствия утечки. В среднем компании, не имеющие команд реагирования и не проводящие тестирования планов реагирования, тратят на устранение последствий взлома $5,29 млн. А в компаниях, где есть отделы реагирования на инциденты и проводятся регулярные практические тренинги или эксперименты для проверки планов реагирования, эти расходы на $2 млн ниже. Это еще раз доказывает, что готовность к реагированию на инциденты значительно повышает окупаемость инвестиций в кибербезопасность.
Некоторые дополнительные выводы исследования этого года:
- За риски удаленной работы придется платить. Гибридные модели работы приводят к снижению количества контролируемых сред; по данным исследования, 70% компаний, позволивших сотрудникам работать удаленно во время пандемии, ожидают увеличения расходов из-за утечек данных.
- В утечках данных винят руководителей по информационной безопасности, несмотря на их ограниченные полномочия в принятии решений. 46% респондентов отметили, что руководители по информационной безопасности/руководители службы безопасности несут ответственность за утечки данных, при этом только 27% респондентов считают, что эти руководители принимают решения в сфере политик безопасности и технологий. По данным исследования, назначение руководителя по информационной безопасности позволяет сократить средние расходы из-за утечек данных на $145 тыс.
- Большинство застрахованных от киберугроз компаний обращаются за компенсацией расходов на услуги сторонних фирм. По данным исследования, утечки данных в компаниях со страховкой от киберугроз стоят примерно на $200 тыс. меньше среднего показателя ($3,86 млн). Фактически 51% застрахованных компаний используют покрытие для компенсации расходов на консультационные и юридические услуги, при этом 36% организаций используют страховку для компенсации убытков пострадавшим лицам. Только 10% компаний обращались за компенсацией расходов на программы-вымогатели или шантаж.
- Региональные и отраслевые данные. США по-прежнему занимают первое место в мире по расходам из-за утечек данных. В среднем этот показатель по стране составляет $8,64 млн. Однако лидерами по темпу роста расходов стали скандинавские страны: за год расходы из-за утечек данных увеличились там почти на 13%. Ведущей отраслью в этом отношении остается здравоохранение, где расходы из-за утечек данных достигают $7,13 млн. Увеличение по сравнению с 2019 годом составило 10%.
Информация об исследовании
Ежегодное исследование стоимости утечек данных «Cost of a Data Breach Report» основано на глубинном анализе информации о реальных утечках данных, произошедших в период с августа 2019 по апрель 2020 года. В исследовании учитываются сотни факторов, влияющих на расходы: правовые, нормативные и технические аспекты, а также ущерб от негативного влияния на имидж бренда, потери клиентов и снижения продуктивности сотрудников.
Скачать копию отчета «2020 Cost of a Data Breach Report» можно по адресу: ibm.com/databreach.
Зарегистрируйтесь на вебинар 2020 Cost of a Data Breach Report, который состоится в среду, 12 августа 2020 года, в 18:00 по Москве, по ссылке: https://ibm.biz/BdqhMf.