Какова цена утечки данных?
20.12.2021

Нарушения данных и нарушения безопасности становятся все более дорогостоящими, пишет издание CSO. Канадский кредитор Desjardins Group недавно сообщил, что потратил 70 миллионов канадских долларов (53 миллиона долларов) после взлома в начале 2020 года, в результате которого была раскрыта личная информация 2,9 миллиона клиентов. Производитель Norsk Hydro заявил, что окончательный счет за нанесение вреда из-за кибератаки может достигать 75 миллионов долларов. British Airways и Marriott были вынуждены добавить по 100 миллионов долларов каждой к окончательной стоимости своих инцидентов после нарушения GDPR.

Эти примеры являются наиболее резонансными и яркими, но финансовые последствия утечки данных остаются крупными для компаний всех форм и размеров. Согласно отчету IBM и Ponemon Institute, средняя цена утечки данных в 2020 году составила 3,86 миллиона долларов.

Отчет показывает снижение затрат на 1,5% по сравнению с 2019 годом, но все же рост на 10% за последние пять лет. Это включает в себя сочетание прямых и косвенных затрат, связанных со временем и усилиями по устранению нарушения, упущенных возможностей, таких как отток клиентов в результате негативной рекламы, и штрафов регулирующих органов. Хотя средняя стоимость взлома относительно не изменилась, IBM заявляет, что затраты становятся меньше для подготовленных компаний и намного больше для тех, которые не принимают никаких мер предосторожности.

«Общее число заголовков осталось очень похожим на то, что мы видели в прошлом году, - говорит Чарльз Дебек, старший аналитик угроз в IBM X-Force IRIS, - но если углубиться в данные, мы увидим увеличивающееся расхождение между организациями, которые приняли эффективные меры предосторожности в отношении кибербезопасности по сравнению с организациями, которые этого не сделали».

«Это расхождение увеличивается из года в год; организации, которые применяют эффективные методы кибербезопасности, видят значительно меньшие затраты, а организации, которые не применяют эти методы, сталкиваются со значительно более высокими затратами», - отметил он.

Стоимость утечки данных растет для неподготовленных организаций

Американские организации несут самые высокие затраты: в среднем 8,19 миллиона долларов на одно нарушение. Это на 5,3% больше, чем в 2019 году, что обусловлено сложной нормативно-правовой базой, которая может варьироваться от штата к штату, особенно когда дело доходит до уведомления о нарушении. В Великобритании эта цифра выросла более чем на 4% до 3,9 млн долларов, показатель стал немного выше, чем в среднем в мире после нескольких лет снижения.

Средняя стоимость каждой потерянной записи немного снизилась до 146 долларов со 150 долларов в 2019 году. Самым дорогостоящим типом потерянной записи были записи PII клиентов (персональные данные), которые были задействованы примерно в 80% утечек в исследовании. Наименее затратной записью для потери была PII сотрудника, и это был наименее вероятный тип записи, которая могла быть потеряна в результате взлома.

Почти 40% средней общей стоимости утечки данных связано с потерянным бизнесом, включая увеличение текучести клиентов, потерю доходов из-за простоя системы и рост стоимости приобретения нового бизнеса из-за ухудшения репутации - с 1,42 миллиона долларов в исследовании 2019 года до 1,52 миллиона долларов в исследовании 2020 года.

Хотя потеря тысяч записей за раз становится обычным явлением, нарушения на уровне Equifax, затрагивающие миллионы записей, все еще относительно редки. По данным IBM, «мега-нарушение» от 1 до 10 миллионов записей обходится в среднем в 50 миллионов долларов, в то время как потеря 50 миллионов записей может стоить компании 392 миллиона долларов.

В большинстве опрошенных отраслей наблюдалось среднее снижение общих затрат в годовом исчислении, причем наиболее резкое падение наблюдалось в СМИ, образовании, государственном секторе и гостиничном бизнесе. Однако в секторах здравоохранения (10,5%), розничной торговли (9,2%) и энергетики (14%) по сравнению с 2019 годом наблюдался рост. Уровень регулирования играет большую роль в том, сколько компания заплатит за восстановление после утечки данных. В строго регулируемых отраслях, таких как здравоохранение и финансовые услуги, средние затраты на инциденты составляют 7,13 млн долларов и 5,86 млн долларов соответственно, в то время как в менее регулируемых отраслях, таких как СМИ и гостиничный бизнес, средние затраты на инциденты составляют менее 2 млн долларов.

«Здравоохранение было отраслью номер один по средней стоимости утечки данных вот уже десять лет подряд, - говорит Дебек. - Это строго регулируемая отрасль, и она сталкивается с множеством нормативных требований, когда дело доходит до устранения нарушения, и есть много дополнительных затрат на медицинские записи по сравнению с другими типами записей».

Дебек отметил, что жизненный цикл нарушения правил в сфере здравоохранения длиннее, в среднем около 329 дней по сравнению с общим средним значением в 280 дней. Это ведет к более высоким затратам.

Оплата выкупа также может быть важным фактором, особенно при принятии решения о том, платить ли за возвращение данных. Согласно отчету Sophos State of Ransomware 2020, выплата выкупа увеличивает общую стоимость атаки. В отчете утверждается, что средний мировой показатель для устранения успешной атаки с использованием программ-вымогателей составляет 733 тысяч долларов для организаций, которые не платят выкуп, и до 1 488 000 долларов для организаций, которые платят. Вероятно, это связано с тем, что усилия по ликвидации последствий по-прежнему будут предприниматься, даже если данные будут возвращены в дополнение к стоимости выкупа. В отчете также говорится, что для компаний, которые заплатили выкуп и застрахованы от программ-вымогателей, почти всегда (94%) оплачивает счет страховая компания.

Медленное реагирование на нарушение увеличивает затраты

Время - деньги, и медленное обнаружение и устранение нарушения может быть дорогостоящим. Согласно отчету IBM, теперь на выявление и устранение нарушения требуется в общей сложности 280 дней, что на один день больше, чем в отчете за 2019 год. Как и в случае со средней стоимостью, говорит Дебек, хотя средняя стоимость остается в основном такой же, лучше подготовленные компании гораздо быстрее исправляют ситуацию, чем те, которые не принимают надлежащих мер.

Быстрые реакции могут значительно сэкономить средства. Компании, способные обнаружить и локализовать нарушение менее чем за 200 дней, тратят в среднем на 1,1 миллиона долларов меньше.

«Время - это деньги, - говорит Венди Уитмор, директор X-Force Threat Intelligence в IBM. - Чем больше времени у злоумышленника в среде, тем больший доступ он может получить к различным устройствам, разным частям данных, разным учетным записям и всем тем вещам, которые нам нужны, чтобы лишить их доступа и ограничить их влияние в будущем. Это, безусловно, увеличивает стоимость».

Национальные тенденции в области сдерживания остаются неизменными по сравнению с предыдущими годами; немецкие, канадские и южноафриканские организации быстрее всего находят и локализуют утечки - в общей сложности 160, 226 и 228 дней соответственно, в то время как компании на Ближнем Востоке (380) и Бразилии (369) тратят на это больше всего времени. Отраслевые тенденции также остаются в основном такими же, как и в предыдущие годы: организациям здравоохранения, государственного сектора и индустрии развлечений требуется больше всего времени на обнаружение и локализацию утечки - в среднем более 310 дней - в то время как сектор финансовых услуг, технологий и исследований проявил наибольшую скорость в обнаружении и устранении нарушений.

В исследовании также рассматривается «длинный хвост» утечки данных и выясняется, что организации расплачиваются за утечку данных в течение многих лет после этого. Около 61% затрат приходится на первый год, около 24% - на следующие 12–24 месяца, а последние 15% - более чем через два года. Хотя это и является крайним примером, в 2019 году Equifax согласилась выплатить 575 миллионов долларов - потенциально увеличившись до 700 миллионов долларов - в рамках урегулирования с Федеральной торговой комиссией за утечку данных в 2017 году.

«Часто клиенты, которым мы отвечаем, увидят утечку данных как единовременные расходы: «Это будет огромная сумма, но в дальнейшем мы вернемся к делу», - говорит Уитмор. - На самом деле только около 67% израсходовано в течение первого года, а остальные 33% - в течение следующих двух-трех лет - например, последующий мониторинг или кредитный мониторинг. Capital One, Equifax, если у них было нарушено большое количество данных о кредитных записях клиентов, то они несут ответственность за это, и это становится постоянной статьей расходов».

Правила и штрафы

С введением GDPR, CCPA и множества законов подражания, появляющихся во всем мире, соблюдение требований становится значительной частью стоимости нарушения. «Если вы посмотрите только на США, то увидите, что существует 52 закона о неприкосновенности частной жизни, - говорит Уитмор. - Это означает, что, когда эти нарушения происходят часто, в большинстве компаний не будет людей, которые были бы экспертами в каждом из этих сотрудников. Так что это то, что они должны нанять и передать на аутсорсинг и убедиться, что они понесут эти расходы».

Компании, которые не готовы платить за экспертизу для обеспечения соответствия, вполне могут заплатить штрафы, которые становятся все более высокими. Сеть отелей Marriott первоначально заявила, что утечка данных в 2018 году обошлась ей примерно в 28 миллионов долларов, большая часть которых была покрыта страховкой компании. Однако в июле 2019 года британский орган по защите данных, ICO, оштрафовал компанию на 124 миллиона долларов за несоблюдение GDPR. На той же неделе ICO наложил еще больший штраф на компанию BA. Ввиду угрозы таких крупных штрафов компаниям следует более активно обеспечивать конфиденциальность данных, чтобы получить более благоприятное мнение регулирующих органов.

«Мы ожидаем, что мы увидим их больше, и они, вероятно, значительно увеличат стоимость в будущем, и я думаю, что это действительно кардинально изменит ландшафт инвестиций, которые делают организации, - говорит Уитмор. - В идеале это означает, что они делают более активные инвестиции и действительно стремятся подготовиться, отрепетировать и убедиться, что они могут ограничить влияние потери этих записей, когда дело доходит до такого рода нарушений».

Влияние утечки данных на курс акций

Помимо материальных затрат, утечки данных, вероятно, также приводят к проблеме стоимости акций государственных компаний. Comparitech проанализировал стоимость акций компаний на Нью-Йоркской фондовой бирже после 33 утечек данных, по крайней мере, 1 миллиона записей, и обнаружил, что такие утечки не всегда имеют долгосрочное влияние на стоимость компании.

Котировки акций взломанных компаний достигли самого низкого уровня - примерно на 7,3% - примерно через 14 рыночных дней после взлома и отстают от более широкого NASDAQ на -4%. В то время как компании, вероятно, увидят отскок своих акций и даже опередят среднерыночные показатели в первые шесть месяцев после нарушения, они все еще, вероятно, будут хуже работать на NASDAQ на -6,5% через 12 месяцев. В качестве недавнего примера, в ноябре 2019 года акции Macy's упали на 11% за один день после того, как компания обнаружила нарушение и пострадала от «очень сложного и целевого инцидента с безопасностью данных ..., который затронул небольшое количество клиентов в течение недели в октябре». Однако к концу декабря того же года цена акций компании восстановилась.

«Компании, которые теряют очень конфиденциальные данные, такие как номера кредитных карт, в том числе Macy's, обычно видят более резкое падение стоимости акций, чем компании, которые теряют менее конфиденциальные данные», - говорит Пол Бишофф, защитник конфиденциальности в Comparitech.

«Наше исследование показывает, что компании видят первоначальное падение стоимости акций в течение примерно трех недель после утечки данных, после чего стоимость восстанавливается. Через шесть месяцев после нарушения большинство компаний полностью восстановились и даже превзошли предыдущие шесть месяцев по цене акций. Наш анализ также показывает, что более недавние нарушения имеют меньшее негативное влияние на цену акций, чем более старые, что является признаком усталости от нарушений среди потребителей, которые привыкли к краже их данных ».

Удаленная работа может сделать инциденты более дорогостоящими

Мировая эпидемия COVID-19 изменила количество действующих организаций и превратила удаленную работу из приятного для некоторых сотрудников в основное требование почти для всей рабочей силы. По данным IBM, наличие удаленной рабочей силы увеличивает среднюю общую стоимость утечки данных на 3,86 миллиона долларов. Три четверти организаций, перешедших на удаленную работу, заявили, что это увеличит время на выявление и устранение потенциальной утечки данных.

«Полные последствия еще предстоит увидеть, - говорит Дебек, - но, несомненно, организации сейчас сталкиваются с серьезной децентрализацией, новыми сетевыми структурами, которые потенциально могут работать с частными, незащищенными или неизвестными сетями. Несомненно, изменение вашей сети и среды конечных точек усложняет реагирование на инциденты и усложняет безопасность. Организациям необходимо переоценить свои планы реагирования на инциденты и то, как их IR-команды реагируют на инциденты безопасности».

«У многих организаций есть планы тестирования, но до тех пор, пока они не будут протестированы, мы не узнаем, насколько хорошо они будут работать, и это особенно верно, когда вся сетевая инфраструктура просто перемещается в течение последние четыре месяца, - говорит Дебек. - Худший способ получить опыт реагирования на инциденты - это организовать инцидент, а лучший способ - сделать это заранее в безопасной обстановке».

Как снизить стоимость взлома: составьте план реагирования

Распространено мнение, что утечка данных почти неизбежна, поэтому лучший способ снизить расходы - быть готовым к любым неожиданностям. В отчете утверждается, что у компаний есть группа реагирования на инциденты (IR), которая также проверила план IR с помощью настольных упражнений или моделирования, это позволило сэкономить 2 миллиона долларов по сравнению с теми, у которых не было таких мер.

«Вы не должны просто иметь документ, в котором говорится: «вот контактная информация для группы безопасности», а на самом деле репетировать эти типы сценариев в иммерсивной среде, где они могут протестировать другие планы, выявить пробелы и затем, в идеале, содержать до того, как они пройдут через эти атаки в реальной жизни», - говорит Уитмор.

Еще одна важная часть - это общественный резонанс. Потеря доверия клиентов в конечном итоге приводит к потере бизнеса, что может увеличить общую стоимость нарушения. «Огромный компонент этого - связь после нарушения и во время нарушения, - объясняет Уитмор. - Как мы можем эффективно донести до наших потребителей или клиентов сообщения о том, что происходит? Тогда эти мероприятия могут стать возможностью создать у клиентов репутацию и большую уверенность при правильном обращении, но это требует большой подготовки и предварительного обучения для этих организаций».

Широкое использование шифрования, автоматизация безопасности, где это возможно, проверенные планы обеспечения непрерывности бизнеса и использование красной команды - все это может снизить потенциальную стоимость взлома. «С автоматизацией безопасности разница между полностью развернутыми и не развернутыми организациями составляет более 3,5 миллионов долларов для среднего взлома», - говорит Дебек.

Что касается технической стороны, подходы DevSecOps, обучение сотрудников, киберстрахование и привлечение совета директоров к обеспечению безопасности также снижают стоимость взлома в среднем более чем на 100 тысяч долларов каждый. И наоборот, взломы, исходящие от третьих лиц, миграция в облако, Интернет вещей или операционные технологии, могут увеличить стоимость взлома в среднем более чем на 100 тысяч долларов каждая. «Миграция в облако - отличное решение для обеспечения безопасности, - говорит Дебек, - но если у вас нет знаний, опыта и навыков для выполнения миграции в облако, там есть потенциальные риски».

Главный совет Уитмора по снижению стоимости взлома - это надлежащая видимость вашей среды и обеспечение надежных и проверенных автономных резервных копий. «Если мы сможем значительно сократить время, необходимое для выявления нарушения и локализации его, тогда эти организации не потеряют такое большое количество записей и, в конечном итоге, они не столкнутся с тем же уровнем штрафов, что и мы. вижу прямо сейчас», - отметил он.

«В случае программ-вымогателей или деструктивных вредоносных программ мы видим, что организации теряют доступ к своим наиболее важным данным, а затем они тратят много времени, пытаясь восстановить среду, чтобы снова получить к ним доступ, - продолжает Уитмор. - Я бы порекомендовал сделать автономное резервное копирование наиболее важных данных».

Автор: Dan Swinhoe

Комментарии 0