Скільки втрачає бізнес через виток даних? - звіт IBM 2021

Питання безпеки ІТ-інфраструктур постійно викликає дискусії та суперечки. Існує безліч прикладів, коли міграція додатка в хмарну інфраструктуру підвищує безпеку навколо нього. Це пов'язано з тим, що постачальник хмарних послуг має надійні процедури та політики захисту даних, а також різні інструменти для забезпечення високого рівня безпеки.

Але також є приклади, коли ІТ-команди з різних причин (комерційні обмеження, конфіденційна інформація про клієнтів, політики безпеки тощо) залишають частину своїх ІТ-систем у себе, і правильно налаштований зв'язок ландшафтів створює також високий рівень безпеки.

Але навіть незважаючи на наявність великої кількості інструментів підвищення безпеки, шифрування даних та захисту їх передачі, у світі щорічно відбувається безліч витоків та втрат даних.

У своєму 17-му щорічному звіті Cost of a Data Breach (www.ibm.com/security/data-breach?_ga=2.3019568.1436252282.1637663307-1392706600.1635762999) фахівці з IBM вивчили інформацію про більш ніж 500 випадків збоїв ІТ-систем і зробили висновки про те, скільки даних втрачається щорічно, які збитки це завдає організаціям, а також розповіли, як захистити себе від подібних ситуацій.

Несподівана вартість витоку даних

Уявимо, що журналіст, який займається питаннями кібербезпеки, повідомив вашу компанію про вразливість у додатку для обміну зображеннями. Припустимо, що вразливими виявилося понад 800 мільйонів зображень, якими ви володієте, починаючи з 2003 року. Можливо, деякі зображення містять важливі дані, особисту інформацію користувачів, номери чи фінансові дані.

Протягом кількох днів ваша компанія випускає прес-реліз про інцидент. Якщо ви перебуваєте в юрисдикції США, то ви повинні надіслати певну форму Комісії з цінних паперів та бірж США. SEC проведе своє розслідування, і якщо вона встановить, що ваша ІТ-команда виявила вразливість кількома місяцями раніше і нікого не поінформувала, у вас можуть виникнути проблеми.

Саме це і сталося із First American Financial Corporation. Не визнаючи та не заперечуючи висновків SEC, First American погодилася з приписом про припинення діяльності та виплатою штрафу у розмірі 487 616 доларів.

Тим часом Pearson plc, лондонська компанія, що надає освітні та видавничі послуги, погодилася виплатити 1 мільйон доларів, щоб врегулювати звинувачення в тому, що вона ввела інвесторів в оману щодо кіберзлому в 2018 році. Внаслідок злому було викрадено мільйони записів студентів, включаючи дати народження та адреси електронної пошти. SEC встановила, що Pearson не мала адекватного контролю та процедур розкриття інформації.

Загальні цифри

Звіт IBM показує, що дані з кожним роком набувають все більшої ваги, та відповідно їх витоки коштують компаніям все більше і більше. В середньому ціна витока даних по всьому світу дорівнює $4,24 млн.

• 38% - частка втрат бізнесу у загальних витратах пов'язаних із витоком даних
• $180 - ціна одного запису, що містить персонально ідентифіковану інформацію
• 287 днів в середньому потрібно для виявлення та локалізації витоку даних
• На 80% скорочуються витрати від витоку даних після впровадження AI та автоматизації безпеки
• Гібридні ІТ-інфраструктури скорочують втрати від витоку даних у середньому на $1,19 млн.

Середня загальна вартість ($, млн.) витоку даних по країнах і регіонах.

Некомерційні витрати, пов'язані з витоком даних

Згідно зі звітом, некомерційні елементи витоку даних обходяться великому американському бізнесу у $2,65 млн. Це 62,5% від загальних витрат, пов'язаних із витоком даних. Ось так виглядає розбивка для типового інциденту пов'язаного з витоком даних та збоєм у системі безпеки:

• $1,59 млн. (38%) – витрати на втрати бізнесу (відтік клієнтів, час простою та витрати на залучення нових клієнтів тощо).
• $1,24 млн. (29%) – витрати на пошук та виявлення порушення. Сюди також входить залучення ключових членів команди та/або будь-які зовнішні послуги (судова експертиза, юридичні послуги тощо).
• $1,14 млн. (27%) – витрати на ліквідацію наслідків злому, включаючи процеси локалізації, ліквідації та відновлення.
• $0,27 млн. (6%) – витрати на повідомлення регулюючих органів, партнерів, клієнтів та громадськості.

Середній час (в днях) виявлення та локалізації порушення залежно від початкового вектора атаки.

Zero Trust заощаджує $1,76 млн.

Безпека даних у разі витоку без Zero Trust (нульової довіри) – це дорого. У звіті йдеться про те, що компанії з розвиненою системою нульової довіри заощадили $1,76 млн. на кожному порушенні порівняно з компаніями без нульової довіри.

Zero Trust означає повну відсутність довіри будь-кому – навіть користувачам усередині периметра. Модель передбачає, що кожен користувач або пристрій повинні підтверджувати свої дані щоразу, коли вони вимагають доступу до будь-якого ресурсу всередині або за межами мережі. Система розглядає кожне з'єднання та кінцеву точку як загрозу. Це забезпечує захист як від зовнішніх, так і від внутрішніх загроз. Система:

• реєструє та перевіряє весь корпоративний мережевий трафік
• обмежує та контролює доступ до мережі
• перевіряє та захищає мережеві ресурси.

Нормативно-правова відповідність

Порушення нормативно-правової відповідності є одним із найбільших факторів, що впливають на загальні витрати. Організації, які порушили нормативно-правові вимоги, у середньому за витік даних сплачували $5.65 млн.

У той час як групи компаній, які дотримувалися цих вимог, платили за ті ж витоки в середньому $3,35 млн.

Економія часу та витрат за рахунок автоматизації

Автоматизація допомагає полегшити повсякденні завдання більшості команд, зокрема тих, хто займається безпекою даних. Але як вона впливає на витрати у разі витоку даних?

Автоматизація безпеки доповнює або замінює людські завдання щодо виявлення та локалізації інцидентів чи вторгнень. Штучний інтелект (AІ), машинне навчання (ML), аналітика та автоматизоване оркестрування безпеки – все це відіграє важливу роль. Це особливо актуально для безпеки великих обсягів даних та груп корпоративного рівня.

За даними дослідження IBM, середні витрати організацій, у яких автоматизація системи безпеки не застосовувалася, становили $6,71 млн. Ті, в яких повністю розгорнуто автоматизацію безпеки, витратили в середньому $2,90 млн., що дозволило заощадити $3,81 млн. Це найбільша економія в дослідженні.

Графік втрат бізнесу від витоку даних при використанні автомитазації захисту даних та без, 2019-2021 рр

Коли справа доходить до витоку даних, ще одним ключовим фактором є час. Групам з повністю розгорнутою системою штучного інтелекту та автоматизації безпеки знадобилося в середньому 184 дні для виявлення порушення та 63 дні для його локалізації (загальний життєвий цикл – 247 днів). Для тих груп, де AІ/автоматизація не були розгорнуті, знадобилося в середньому 239 днів для виявлення порушення та 85 днів для його локалізації (загальний життєвий цикл – 324 дні).

В обох випадках час циклу здається надто довгим. Однак без допомоги ІІ на виявлення злому йде в середньому на 77 днів більше.

Огляд оцінки вразливостей

Не буває невразливих компаній, які можуть на 100% захистити себе від збоїв та витоків даних, але цього можна прагнути, використовуючи різні інструменти:

• Впровадження систем автоматизації та AI для прискорення процесів
• Підвищення безпеки та шифрування даних
• Використання приватних та гібридних хмарних інфраструктур
• Впровадження концепції Zero Trust
• Перевірка та покращення політик кібербезпеки

Це лише одні з небагатьох кроків, які допоможуть вам зменшити можливість витоку даних або їх наслідків.

Ми підготували електроний посібник, який допоможе розібратись в основних інструментах для захисту та працездатності вашої ІТ-інфраструктури.