IBM Security Cost of Data Breach Report 2022 – uživatelé platí za únik dat stále více

Podle zprávy IBM Security Cost of Data Breach Report 2022 musí  60 % firem zvyšovat ceny svých produktů po úniku dat, většina kritické infrastruktury zaostává v přijímání strategie zero trust a podniky s poddimenzovaným stavem personálu starajícím se o bezpečnost mají až o 550 tisíc dolarů náklady nakonec vyšší.

IBM Security zveřejnila v létě 2022 výroční zprávu Cost of a Data Breach Report (Cena za únik dat), která ukazuje na skutečnost, že náklady a dopad na data spojené s jejich únikem jsou vyšší než kdykoliv dříve. Z globálního hlediska je průměrná cena za únik dat 4,5 milionu dolarů. Jen za poslední dva roky se zvýšila o téměř 13 %, a z toho důvodu musejí podniky odpovídat zvýšením cen zboží a služeb. Ve skutečnosti 60 % společností z průzkumu zvýšilo ceny produktů nebo služeb kvůli únikům dat, když už tak tyto ceny trpí inflací a potížemi dodavatelských řetězců.

Neustálé kyberútoky také vrhají světlo na úniky dat. Ve zprávě IBM se uvádí, že 83 % sledovaných organizací se setkalo s únikem dat už více než jednou. Dalším faktorem, který se v průběhu času vynořil, je následný vliv úniku dat, který trvá ještě dlouho něm, protože až 50 % nákladů s ním spojených se projeví dokonce za rok nebo dva.

Zpráva Cost of Data Breach Report za rok 2022 je založena na hloubkové analýze úniků dat z reálného světa, která globálně proběhla u 550 organizací, a to od 21. března 2021 do března 2022. Průzkum, který byl sponzorován a analyzován IBM Security, provedl Ponemon Institute.

Vybrané klíčové závěry zahrnují:

• Kritické infrastruktury zaostávají za zero trust – téměř 80 % kritických infrastruktur organizací zahrnutých do studie nepřijalo strategii zero trust a setkaly se s náklady za únik dat v objemu 5,4 milionu dolarů – tj. o 1,17 milionu dolarů více než ty, které tak učinily. Ze všech pak 28 % uvedlo, že se staly oběťmi útoků ransomwaru nebo destruktivních útoků.
• Není to Pay to Pay – oběti ransomwaru, které byly útočníky vyzvány k zaplacení výkupného a učinily tak, měly nakonec škodu o 610 tisíc dolarů nižší než ty, jež zvolily nezaplatit. Avšak když se vezmou celkové náklady za úniky dat, finanční dopad může být ještě vyšší, což jednoduše ukazuje, že platit výkupné není efektivní strategií.
• Ředitelství silnic a dálnic České republiky v roce 2022 přiznalo škodu kvůli ransomwaru 30 milionů korun (cca 1,2 milionu dolarů) a v nedávné minulosti proběhly podobné ochromující útoky na několik našich nemocnic, takže údaje tohoto celosvětového průzkumu nejsou nijak přemrštěné.
• Bezpečnost v cloudech není vyspělá – 43 % sledovaných organizací je ohledně nasazování bezpečnostních opatření v jejich cloudových prostředích teprve na začátku, což dokazuje o 660 tisíc dolarů vyšší náklady na únik dat oproti organizacím, které mají bezpečnost napříč jejich cloudovými prostředími už dobře ošetřenou.
• Bezpečnostní AI a automatizace vedou k mnohamilionovým dolarovým úsporám – organizace, které plně nasadily bezpečnostní umělou inteligenci (AI) a automatizaci bezpečnosti, zaplatily za úniky dat o 3,05 milionu dolarů méně než ty, které tyto technologie doposud nenasadily. Studie uvádí, že díky takové ochraně jde o největší dosaženou úsporu.

IBM Security z toho důvodu tvrdí, že podniky potřebují na takové kriminální útoky udeřit. Už je čas k tomu, aby útočníky zastavily v ohrožování podnikových cílů a minimalizovaly dopad útoků. Čím více budou pilovat ochranu svého perimetru namísto investic do detekce a odpovědi na útoky, tím více se jejich náklady na podnikání zvýší. Tato zpráva je podle IBM Security X-Force důkazem, že nasazení správné strategie se správnými technologiemi mohou věc v případě útoku na jejich organizaci změnit.

Přílišná důvěra organizací v kritickou infrastrukturu

Obavy o kritickou infrastrukturu v posledních několika letech ve světě stále více sílí, a mnoho vládních bezpečnostních agentur ohledně ničivých útoků apeluje na ostražitost. Zpráva IBM Security ve skutečnosti odhaluje, že ransomware a ničivé útoky představují 28 % kritických úniků, což upozorňuje na to, jak útočníci hledají možnost rozbít globální dodavatelské řetězce, spoléhající se na tyto vládní úřady. Mezi ně patří firmy z oblasti finančních služeb, průmyslu, dopravy a zdravotnictví.

Přes všechna volání o pozornost a rok po nařízení k zajištění kybernetické bezpečnosti Bidenovy vlády, které je zaměřeno na důležitost strategie zero trust pro posílení kybernetické bezpečnosti Spojených států, přijalo tento model podle zprávy IBM Security pouze 21 % organizací z oblasti kritické infrastruktury, což může být varováním i pro ostatní země. Kromě toho bylo 17 % úniků dat z kritické infrastruktury způsobeno kvůli již předtím kompromitovanému obchodnímu partnerovi, což opět zdůrazňuje riziko z přílišné důvěry v prostředí kritické infrastruktury.

Podniky které platí výkupné nezískají výhodný obchod

Podniky, které zaplatí za výkupné (ransom), vidí podle zprávy pro rok 2022 o 610 tisíc dolarů nižší náklady za únik dat ve srovnání s těmi, které nezaplatily. Avšak když spočítáme průměrnou platbu za výkupné, které například podle společnosti Sophos dosáhlo 812 tisíc dolarů, pak podniky jež se zaplatit rozhodly, nakonec měly ve skutečnosti celkové náklady vyšší. Všechny z nich přitom podporovaly budoucí útoky penězi, které jinak mohly vynaložit na snahu o zlepšení a nápravu a bez starostí o možný postih od státu.

Přes značné všeobecné snahy, jak ransomwaru zabránit, je jeho vytrvalost podporována industrializací kyberkriminality. IBM Security X-Force rozpoznala, že doba trvání podnikového ransomwarového útoku klesla za poslední tři roky o 94 % – z více než dvou měsíců na méně než čtyři dny. Exponenciálně kratší útoky jsou totiž prováděny útočnými nástroji s vyšším účinkem, a kvůli tomu mají oběti zasažené kyberútokem jen velmi krátká časová okna pro detekci a zamezení těchto útoků. S klesající „doby k výkupnému“, která už klesá na hodiny, je nezbytností, aby podniky daly prioritu zkušebnímu testování doby incidentu (IR – Incident Response) s předstihem. Avšak zpráva od IBM Security uvádí, že až 37 % organizací, které mají plány na IR, jej netestují pravidelně.

Výhoda hybridního cloudu

Zpráva také ukázala, že hybridní cloudové prostředí je mezi sledovanými organizacemi nejrozšířenější (45 %). S průměrnými náklady 3,8 milionu dolarů za únik dat pak podniky, které přijaly model hybridního cloudu, viděly nižší náklady za únik dat než ty, které pracovaly s modelem pouze veřejného nebo privátního cloudu, jež byly postiženy za únik dat náklady 5,02 milionu dolarů, potažmo 4,24 milionu dolarů. Podniky, které pracovaly v modelu hybridního cloudu, byly schopny identifikovat a zamezit úniku dat o 15 dní rychleji než je globální průměr 277 dní.

Zpráva zdůrazňuje, že 45 % sledovaných úniků ke kterým došlo v cloudu, kladlo důraz na bezpečnost v cloudu. Avšak znatelných 43 % organizací uvedlo, že jsou ohledně nasazování bezpečnostních praktik pro ochranu jejich cloudového prostředí teprve v počátečních stádiích, takže se potkaly s vyššími náklady za únik. Podniky, které nenasazují bezpečnostní praktiky napříč jejich cloudovými prostředími, potřebovaly v průměru o 108 dní k rozpoznání a zamezení únikům dat než ty, které konzistentně nasazují bezpečnostní praktiky napříč jejich doménami.

Další poznatky ve zprávě IBM pro rok 2022 zahrnují:

• Phishing se stává dražším kvůli únikům dat – zatímco kompromitované důvěrné informace v únicích dat stále vedou (19 %), phishing je na druhém místě (16 %) a je nejnákladnějším případem, vedoucím v průměru ke 4,91 milionům dolarů za únik dat.
• Únik dat ze zdravotnických zařízení už je dvouciferný – po dvanáctý rok v řadě jsou útoky na zdravotnická zařízení nejdražšími úniky dat mezi všemi odvětvími průmyslu a zvedly se téměř o milion na rekordní výši 10,1 milionu dolarů.
• Nedostatečné personální obsazení – 62 % organizací uvedlo, že nemají dostatek personálu aby naplnily potřeby bezpečnosti, což v průměru činí o 550 tisíc dolarů více než u organizací, které mají personálu pro bezpečnost dostatek.

Zpráva Cost of a Data Breach Report pro rok 2022 je k dispozici zde: https://www.ibm.com/security/data-breach