27 Temmuz’da yayınlanan bir yıllık rapora göre, ihlallerin yüzde altmışı, şirketlerin fiyatları artırarak cezaların, temizlemenin ve teknolojik iyileştirmelerin maliyetini telafi etmesine neden oldu ve esas olarak tüketicilerin ihlaller ve şirketlerin hazırlıksızlıkları için ödeme yapmasına neden oldu.
550 şirketteki yöneticiler ve güvenlik uzmanlarıyla yapılan bir ankete dayanan “Veri İhlali Maliyeti Raporu 2022” raporu, bir veri ihlalinin ortalama maliyetinin 2022’de artmaya devam ettiğini ve dünya çapında ortalama 4,4 milyon dolara ulaştığını söylüyor (o zamandan beri %13 artışla) 2020) ve ABD’de 9,4 milyon dolar. Şirketlerin veri ihlallerini tespit etmek ve kontrol altına almak için 2021’de 287 gün olan ortalama 277 güne ihtiyacı vardı ve şirketlerin %83’ü birden fazla ihlale maruz kaldı.
“Siber saldırıların zincirleme reaksiyonları tetikleyen piyasa stres faktörlerine dönüştüğü açık. [and] IBM Security’nin X-Force araştırma ekibi strateji başkanı John Hendley, bu ihlallerin bu enflasyonist baskılara katkıda bulunduğunu görüyoruz. , Ukrayna’daki savaş, gaz fiyatları, hepsi bu.”
bu yıllık raporPonemon Enstitüsü tarafından yürütülen anketlere dayanan , ihlallerin işletmelerin bilançoları üzerindeki etkisini ölçmeye yönelik ilk girişim değil. Geçen yıl, güvenlik operasyonları firması IronNet tarafından yapılan bir anket, çoğu şirketin ağ yönetim firması SolarWinds’e yapılan tedarik zinciri saldırısından etkilendiğini ortaya koydu. gelirde %11 düşüş görmek olayla ilgilenmek nedeniyle.
Genel olarak, uzmanlar olayın SolarWins’in kendisine yaklaşık 18 milyon dolar. Etkilenen 18.000 işletme ve devlet kurumuna (ve nihai olarak tehlikeye atılan yaklaşık 100 kuruluşa) gelince, onlar şu kadar çok şeyle karşı karşıya kaldılar: 100 milyar dolarlık temizlik maliyetianalize göre.
Tüketiciler Üzerinden Bir “Siber Vergi”
Hendley, siber güvenlik uzmanlarının şirketleri sistemlerinin güvenliğinin ihlal edilmesine güvenmeleri konusunda giderek daha fazla teşvik ederken, onların saldırganları durdurmakta sorun yaşamaya devam ettiklerini ve maliyetleri tüketicilere yansıttıklarını belirtiyor. Bu, veri ihlallerinin ve siber saldırıların bir siber vergi yarattığını ve alt tüketiciler ve müşteriler için maliyetleri artırdığını öne sürüyor.
Hendley, “İşletmelerin %83’ünün yaşamları boyunca en az bir kez ihlal edildiğini düşündüğünüzde, ihlalleri önlemeye yardımcı olmak için cezai tazminatlar uygulamamız gerektiğini söylemenin zorlaştığını düşünüyorum” diyor. “Her zaman bir giriş yolu olacaktır, bu yüzden yapabileceğimiz en iyi yatırımın, çizgiyi çevreyi korumaktan saldırgan gibi düşünmeye kaydırmaya çalışmak olduğunu düşünüyorum.”
İhlallerin ve cezaların siber vergi olarak etiketlenmesine ek olarak, rapor siber saldırılarla uğraşan sektörler arasındaki çeşitli eğilimleri vurguladı. Genel ihlal tespitini ve müdahale süresini 200 günden daha kısa bir süreye indirebilen şirketler, 1,1 milyon dolar veya ortalama ihlal maliyetinin %23’ünü kurtardı.
Sağlık Hizmetinde En Kötü Veri İhlal Maliyetleri
Tek bir veri ihlalinin maliyeti, etkilenen endüstrinin türüne göre önemli ölçüde değişiyordu. Ağır düzenlemelere tabi sağlık sektörü, veri ihlalleri için en yüksek tutarı ödemeye devam etti ve ihlal başına ortalama 6 milyon dolar ödeyen finans firmalarıyla karşılaştırıldığında, 2022’de ihlal başına ortalama 10 milyon dolara ulaştı, ikinci en pahalı ihlal maliyeti. İlaç şirketleri ve teknoloji firmaları, her ihlal için yaklaşık 5 milyon dolar ödeyerek, esasen üçüncü sırada yer aldı.
Fidye yazılımı, bu yıl şimdiye kadar fidye yazılımı saldırılarının bir miktar azaldığına dair işaretlere rağmen, iş üzerinde önemli bir etkiye sahip olmaya devam etti. Anket, fidye ödeyen şirketlerin temizlik maliyetlerine daha az harcadıklarını, ancak yüksek fidye toplamlarının çoğu tasarrufu engellediğini buldu. Ayrıca fidye ödeyen şirketlerin %80’i yeniden saldırıya uğruyor. “Fidye Yazılımı: İşletmenin Gerçek Maliyeti” raporu güvenlik firması Cyberreason tarafından geçen yıl yayınlandı.
Fidye Yazılımları Oltalama Saldırıları kadar Maliyetli Değil
Diğer araştırmalar, fidye yazılımlarının yıkıcı saldırılara yeterince hazırlıklı olmayan şirketler üzerindeki etkisini vurgulamıştır. Fidye yazılımından etkilenen küresel firmaların üçte ikisi, özellikle ABD şirketlerinde yapılan ankete katılanların %58’i gibi önemli bir gelir kaybı yaşadığını söylediler. Genel olarak saldırılar, küresel şirketlerin %31’inin işletmelerinin bir bölümünü kapatmasına neden oldu.
Dijital risk koruma şirketi Digital Shadows’un kıdemli siber tehdit istihbarat analisti Nicole Hoffman, “Fidye yazılımı kurbanları ile ödeme yapmayı seçenler ile ödememeyi seçenler arasındaki maliyet farkını görmek ilginç” dedi. “Ödeyenler genellikle ilk saldırıdan sonraki aylar içinde tekrar hedef alınıyor ve bu da mali kayıpları önemli ölçüde artıracak. Bu faktörlerin, ödeme yapıp yapmama gibi zorlu iş kararlarını verirken dikkate alınması önemlidir.”
Bununla birlikte, saldırının ilk vektörünün de maliyet üzerinde önemli bir etkisi oldu. İş e-posta güvenliğinin ihlal edilmesi (BEC) ve kimlik avı saldırıları, olay başına yaklaşık 4,9 milyon ABD doları olan en yüksek ortalama ihlal maliyetlerine yol açtı ve üçüncü taraf güvenlik açıkları ve ele geçirilmiş kimlik bilgileri olay başına yaklaşık 4,5 milyon ABD doları tutarında zararı hesapladı.
IBM-Ponemon raporu, veri ihlali maliyetleri üzerinde en büyük etkiye sahip olabilecek teknolojileri de vurguladı. Yapay zeka ve makine öğrenimi (AI/ML) teknolojilerini, DevSecOps süreçlerini kullanan ve olay yanıt ekibi oluşturan şirketler, olay başına sırasıyla yaklaşık 300.000 ABD Doları, 276.000 ABD Doları ve 253.000 ABD Doları tasarruf etti.
Buna karşılık, güvenlik sistemi karmaşıklığından muzdarip olan, işi buluta geçiren ve uyumluluk hataları yaşayan şirketler, olay başına maliyette en büyük artışları gördü.
Rapor, çeşitli büyüklükteki 550 şirketten 3.600’den fazla kişiyle yapılan ve 2.200 ila 102.000 kayıt içeren ihlallere odaklanan röportajlara dayanıyor. Bu aralığın dışındaki ihlaller dahil edilmedi.