מחקר חדש של IBM: עלייה של 12% בעלות אירועי סייבר

Google+ Pinterest LinkedIn Tumblr +

IBM Security פרסמה את תוצאות המחקר השנתי שהיא עורכת על ההשלכות הפיננסיות של פגיעה בנתוני הארגון. על פי הדו"ח, עלות פריצה לנתונים עלתה ב-12% בחמש השנים האחרונות, ומגיעה כיום ל-3.92 מיליון דולר בממוצע. הוצאות אלו כוללות השפעות רב-שנתיות של הפריצה לנתונים, את הרגולציה המוגברת ואת תהליך ההתמודדות עם המתקפות עצמן.

ההשלכות הפיננסיות של פגיעה בנתונים עלולות להיות חמורות במיוחד כאשר הארגון הנפגע הוא עסק קטן או בינוני. על פי המחקר, חברות עם פחות מ-500 עובדים ספגו הפסדים של יותר מ-2.5 מיליון דולר בממוצע, סכום משתק כשמדובר בעסק קטן שהכנסותיו השנתיות מסתכמות בכ-50 מיליון דולר או פחות.

לראשונה השנה בחן הדו"ח גם את ההשפעה הפיננסית של הפריצה לאורך זמן ומצא כי השפעות אלו מורגשות במשך שנים לאחר התקרית. למרות שבממוצע 67% מעלויות הפריצה מתרחשות בשנה הראשונה שאחרי התקרית, 22% מהעלויות מצטברות בשנה השנייה ו-11% נוספות שנתיים אחרי הפריצה. העלויות ארוכות הטווח היו גבוהות יותר בשנה השנייה והשלישית בארגונים בעלי סביבה עתירת רגולציה, כגון שירותי בריאות, שירותים פיננסיים, אנרגיה ותרופות.

"פשעי סייבר מגלגלים כסף גדול עבור עברייני הסייבר. למרבה הצער, הרווח שלהם הוא הפסד משמעותי לעסקים," אמרה לימור קסם, חוקרת אבטחת סייבר בכירה ב-IBM. "לנוכח הפסדים או גניבה של יותר מ-11.7 מיליארד רשומות בשלוש השנים האחרונות בלבד, חברות צריכות להיות מודעות להשפעה הפיננסית המלאה אשר פריצה לנתונים עלולה לחולל בשורה התחתונה שלהן ולהתמקד בצמצום עלויות אלו."

מחקר "העלות השנתית של פריצות לנתונים" נערך מדי שנה על-ידי מכון פונמון במימון IBM. הוא מבוסס על ראיונות מעמיקים עם יותר מ-500 חברות בעולם אשר התנסו בפריצה בשנה החולפת.[2]  הניתוח מביא בחשבון מאות גורמי עלות, לרבות הוצאות משפטיות ורגולטוריות, פעילויות טכניות ופגיעה במוניטין המותג, בלקוחות ובפריון העובדים. להלן כמה מהממצאים העיקריים של הדו"ח האחרון:

  • פריצות זדוניות הן השכיחות והיקרות ביותר: יותר מ-50% מהפריצות לנתונים שאליהן מתייחס המחקר נבעו ממתקפות סייבר זדוניות ועלו לחברות מיליון דולר יותר בממוצע מאשר עלויות שנגרמו עקב פגיעה בנתונים מסיבות אחרות.
  • "פריצות ענק" הובילו להפסדי ענק: למרות שפריצות אלו פחות שכיחות, פגיעה ביותר ממיליון רשומות עלתה לחברות סכום של כ-42 מיליון דולר; כאשר הפגיעה הייתה ב-50 מיליון רשומות, המחיר ששילמה החברה עקב כך היה כ-388 מיליון דולר.[3]
  • קשה באימונים, קל בקרב: חברות המחזיקות צוות תגובה לתקריות וגם בוחנות באופן סדיר את תכניות התגובה שלהן הוציאו בממוצע 1.23 מיליון דולר פחות בעקבות פריצה לנתונים מאשר חברות שאין להן אמצעי תגובה כלל.
  • פריצות נתונים בארה"ב עולות פי שניים: העלות הממוצעת של פריצה לנתונים בארה"ב היא 8.19 מיליון דולר, יותר מפי שניים מהממוצע העולמי.
  • עלויות הפגיעה בנתונים של ארגונים בתחום שירותי בריאות הן הגבוהות ביותר: זו השנה התשיעית ברציפות שארגונים בתחום שירותי הבריאות סופגים את עלויות הפריצה הגבוהות ביותר, כ-6.5 מיליון דולר בממוצע (יותר מ-60% מעל העלויות בענפים אחרים שנבדקו במחקר).

פריצות זדוניות מהוות איום גובר והולך; פגיעות מקריות עדיין שכיחות

המחקר מצא שפגיעה בנתונים שמקורה מתקפת סייבר זדונית היא לא רק הסיבה השכיחה ביותר לפגיעה אלא גם היקרה ביותר.

פריצות זדוניות לנתונים עלו לחברות שנסקרו 4.45 מיליון דולר בממוצע, יותר ממיליון דולר מאשר פריצות שנבעו מגורמים אחרים כגון תקלות במערכות או טעויות אנוש. המחקר מראה שפגיעות זדוניות מהוות איום גדל והולך בהתחשב בכך שמתקפות עברייניות כגורם לפגיעה בנתונים גדל מ-42% ל-51% בשש השנים שבהן נערך המחקר (גידול של 21%).

עם זאת, פגיעות לא מתוכננות בנתונים, הנובעות מטעות אנוש או תקלה טכנית, עדיין היו אחראיות לקרוב למחצית (49%) הפגיעות בנתונים שנסקרו בדו"ח ועלו לחברות 3.5 מיליון דולר ו-3.24 מיליון דולר, בהתאמה. פגיעות הנובעות מטעות אנוש ותקלות טכניות מהוות הזדמנות לשיפור באמצעות הכשרה להגברת המודעות לאבטחה, השקעות בטכנולוגיה, ושירותי בדיקות שיזהו תקלות בשלב מוקדם. אחד התחומים המדאיגים ביותר הוא קונפיגורציה שגויה של שרתי ענן, אשר ב-2018 תרמה לחשיפה של 990 מיליון רשומות, או 43% מכל הרשומות שנחשפו באותה שנה, כך על פי מדד מודיעין האיומים של IBM X-Force.[4]

יכולת תגובה להתקפות סייבר היא הדרך היעילה ביותר לצמצם עלויות

ב-14 השנים האחרונות בחן מכון פונמון את הגורמים לגידול או צמצום של עלויות הפריצה ומצא כי מהירות ויעילות התגובה של הארגון לפריצה לנתונים משפיעות במידה רבה על העלות הכוללת.

השנה מצא הדו"ח כי מחזור החיים הממוצע של פריצה לנתונים הוא 279 ימים. 206 ימים בממוצע דרושים לחברה לזהות פריצה אחרי התרחשותה. 73 ימים נוספים דרושים להכלת הפריצה. עם זאת, חברות במחקר שהצליחו לאתר ולהכיל את הפריצה בפחות מ-200 יום, הפסידו 1.2 מיליון דולר פחות בעלות הכוללת של הפגיעה.

התמקדות בתגובה לתקרית מסייעת בקיצור זמן התגובה של החברה. המחקר מצא גם מתאם ישיר בין יכולת התגובה לעלויות הכוללות. קיומם של צוות תגובה ותרגולת נרחבת של יכולת התגובה הם הגורמים המובילים לחיסכון בעלויות הנובעות מפגיעה בנתונים. חברות שמקיימות את שניהם ספגו בממוצע עלויות נמוכות ב-1.23 מיליון דולר בעקבות פריצה לנתונים מאשר חברות שאין בהן את האמצעים הללו (3.51 מיליון דולר לעומת 4.74 מיליון דולר).

גורמים נוספים המשפיעים על עלות הפגיעה בנתונים בחברות שנסקרו הם:

  • מספר הרשומות שנפגעו: פריצה או פגיעה בנתונים עולה לחברות כ-150 דולר לכל רשומה שאבדה או נגנבה.
  • חברות שפרשו טכנולוגיות למיכון אבטחת המידע ספגו רק כמחצית מהעלויות (2.65 מיליון דולר בממוצע) בהשוואה לחברות שלא הטמיעו טכנולוגיות כאלו בארגון (5.16 מיליון דולר).
  • גם שימוש נרחב בהצפנה הוא גורם חשוב לחיסכון בעלויות המפחית את עלות הפריצה הכוללת ב-360,000 דולר.
  • פריצות שמקורן בצד שלישי, כגון פריצה דרך שותף או ספק, עולות לחברות 370,000 דולר יותר בממוצע, מה שמדגיש את הצורך לבדוק בקפידה את אמצעי האבטחה של חברות שעמן הן עושות עסקים, לוודא עמידה בתקני אבטחה, ולנטר באופן פעיל את אפיקי הגישה למידע מצד שלישי.

מגמות אזוריות וענפיות

המחקר בחן גם את עלות הפריצה לנתונים בתעשיות ואזורים שונים, ומצא כי פריצות לנתונים בארה"ב הנן היקרות ביותר ועולות 8.19 מיליון דולר, או יותר מפי שניים מהממוצע בחברות עולמיות שנבחנו במחקר. עלויות הפריצה לנתונים בארה"ב גדלו ב-130% ב-14 השנים האחרונות לעומת 3.54 מיליון דולר במחקר שיצא בשנת 2006.

בנוסף, ארגונים במזרח התיכון דיווחו על המספר הממוצע הגבוה ביותר של רשומות שניזוקו, עם קרוב ל-40,000 רשומות שנחשפו בכל תקרית (לעומת ממוצע גלובלי של 25,500 רשומות לתקרית).

זו השנה התשיעית ברציפות שארגונים בתחום שירותי הבריאות במחקר ספגו את העלויות הגבוהות ביותר כתוצאה מפגיעה בנתוניהן. עלות הפריצה הממוצעת בתעשיית שירותי הבריאות הייתה קרוב ל-6.5 מיליון דולר, יותר מ-60% מעל הממוצע הרב-ענפי.


[1]  השוואת העלות הממוצעת של פריצה לנתונים בין הדו"ח של 2014 והדו"ח של 2019.

[2]  פירוט של מגבלות הדו"ח ומתודולוגיות המחקר מובא בדו"ח. 

[3]  חישובי העלויות של פריצות ענק מבוססות על ניתוח של 14 חברות תוך יישום גישת מונטה-קרלו להדמיית תוצאות בעלות מובהקות סטטיסטית גבוהה יותר

[4]  IBM X-Force Threat Intelligence Index 2019

שתף.

.