Сколько тратит бизнес при потере данных? - отчет IBM 2021
2021-11-11
Компания IBM проводит ежегодное исследование посвященное безопасности и утечке данных. Сколько компании тратят в среднем на устранение потери данных и во сколько им это обходится? Подробнее в отчете IBM Cost of a Data Breach 2021.
Вопрос безопасности ИТ-инфраструктур постоянно вызывает дискуссии и споры. Существует множество примеров, когда миграция приложения в облачную инфраструктуру повышает безопасность вокруг него. Связано это с тем, что поставщик облачных услуг имеет надежные процедуры и политики защиты данных, а также различные инструменты для обеспечения высокого уровня безопасности.
Но также существуют примеры, когда ИТ-команды по разным причинам (коммерческие ограничения, конфиденциальная информация о клиентах, политики безопасности и пр.) оставляют часть своих ИТ-систем у себя, и правильно настроенная связь ландшафтов создает также высокий уровень безопасности.
Но даже несмотря на наличие большого количества инструментов повышения безопасности, шифрования данных и защиты их передачи, политик кибербезопасности и прочего, в мире ежегодно происходит множество утечек и потерь данных.
В своем 17-ом ежегодном отчете Cost of a Data Breach (www.ibm.com/security/data-breach?_ga=2.3019568.1436252282.1637663307-1392706600.1635762999) специалисты из IBM изучили информацию о более чем 500 случаях сбоев ИТ-систем и сделали выводы, о том, сколько данных теряется ежегодно, какой ущерб это приносит организациям, а также рассказали, как защитить себя от подобных ситуаций.
Неожиданная стоимость утечки данных
Представим, что журналист, занимающийся вопросами кибербезопасности, сообщил вашей компании об уязвимости в приложении для обмена изображениями. Предположим, что уязвимыми оказались более 800 миллионов изображений, которыми вы владеете, начиная с 2003 года. Возможно, некоторые изображения содержат важные данные, личную информацию пользователей, номера или финансовые данные.
В течение нескольких дней ваша компания выпускает пресс-релиз об инциденте. В случае если вы находитесь в юрисдикции США, то вы должны отправить определенную форму Комиссии по ценным бумагам и биржам США. SEC проведет свое расследование и если она установит, что ваша ИТ-команда обнаружила уязвимость несколькими месяцами ранее и не проинформировала руководство, у вас могут возникнуть проблемы.
Именно это и произошло с First American Financial Corporation. Не признавая и не отрицая выводов SEC, First American согласилась с предписанием о прекращении деятельности и выплате штрафа в размере 487 616 долларов.
Между тем, Pearson plc, лондонская компания, предоставляющая образовательные и издательские услуги, согласилась выплатить 1 миллион долларов, чтобы урегулировать обвинения в том, что она ввела инвесторов в заблуждение относительно кибервзлома в 2018 году. В результате взлома были похищены миллионы записей студентов, включая даты рождения и адреса электронной почты. SEC установила, что Pearson не имела адекватного контроля и процедур раскрытия информации.
Общие цифры
Отчет IBM показывает, что данные с каждым годом приобретают все большее значение, и соответственно их утечки стоят компаниям все больше и больше. В среднем цена утечки данных по всему миру равняется $4,24 млн.
- 38% - доля потерь бизнеса в общих расходах связанных с утечкой данных
- $180 - цена одной записи, содержащей персонально идентифицируемую информацию
- 287 дней в среднем нужно для выявления и локализации утечки данных
- На 80% сокращаются расходы от утечки данных после внедрения AI и автоматизации безопасности
- Гибридные ИТ-инфраструктуры сокращают потери от утечки данных в среднем на $1,19 млн.
Средняя общая стоимость (в $, млн.) утечки данных по странам и регионам.
Некоммерческие расходы, связанные с утечкой данных
Согласно отчету, некоммерческие элементы утечки данных обходятся крупному американскому бизнесу в $2,65 млн. Это 62,5% от общих расходов, связанных с утечкой данных. Вот так выглядит разбивка для типичного инцидента связанного с утечкой данных и сбоем в системе безопасности:
- $1,59 млн. (38%) - затраты на потери бизнеса (отток клиентов, время простоя и затраты на привлечение новых клиентов и т.д.).
- $1,24 млн. (29%) - затраты на поиск и выявление нарушения. Сюда также входит привлечение ключевых членов команды и/или любые внешние услуги (судебная экспертиза, юридические услуги и т.д.).
- $1,14 млн. (27%) - затраты на ликвидацию последствий взлома, включая процессы локализации, ликвидации и восстановления.
- $0,27 млн. (6%) - расходы на уведомление регулирующих органов, партнеров, клиентов и общественности.
Среднее время (в днях) выявления и локализации нарушения в зависимости от первоначального вектора атаки.
Zero Trust экономит $1,76 млн.
Безопасность данных в случае утечки без Zero Trust (нулевого доверия) - это дорого. В отчете говорится, что компании с развитой системой нулевого доверия сэкономили $1,76 млн. на каждом нарушении по сравнению с компаниями без нулевого доверия.
Zero Trust обозначает полное отсутствие доверия кому-либо – даже пользователям внутри периметра. Модель подразумевает, что каждый пользователь или устройство должны подтверждать свои данные каждый раз, когда они запрашивают доступ к какому-либо ресурсу внутри или за пределами сети. Система рассматривает каждое соединение и конечную точку как угрозу. Это обеспечивает защиту как от внешних, так и от внутренних угроз. Система:
- регистрирует и проверяет весь корпоративный сетевой трафик
- ограничивает и контролирует доступ к сети
- проверяет и защищает сетевые ресурсы.
Нормативно-правовое соответствие
Нарушения нормативно-правового соответствия являются одним из самых внушительных факторов влияющих на общие расходы. Организации, которые нарушили нормативно-правовые требования, в среднем за утечку данных платили $5.65 млн.
В то время как группы компаний, которые соблюдали эти требования, платили за те же утечки в среднем $3,35 млн.
Экономия времени и затрат за счет автоматизации
Автоматизация помогает облегчить повседневные задачи для большинства команд, в том числе и тех, кто занимается безопасностью данных. Но как она влияет на затраты в случае утечки данных?
Автоматизация безопасности дополняет или заменяет человеческие задачи по выявлению и локализации инцидентов или вторжений. Искусственный интеллект (ИИ), машинное обучение, аналитика и автоматизированная оркестровка безопасности - все это играет важную роль. Это особенно актуально для безопасности больших объемов данных и групп корпоративного уровня.
По данным исследования IBM, средние затраты организаций, в которых автоматизация системы безопасности не применялась, составили $6,71 млн. долларов США. Те, в которых была полностью развернута автоматизация безопасности, потратили в среднем $2,90 млн., что позволило сэкономить $3,81 млн. Это самая большая экономия в исследовании.
Когда дело доходит до утечки данных, еще одним ключевым фактором является время. Группам с полностью развернутой системой искусственного интеллекта и автоматизации безопасности потребовалось в среднем 184 дня для выявления нарушения и 63 дня для его локализации (общий жизненный цикл - 247 дней). Для тех групп, где ИИ/автоматизация не были развернуты, потребовалось в среднем 239 дней для выявления нарушения и 85 дней для его локализации (общий жизненный цикл - 324 дня).
В обоих случаях время цикла кажется слишком долгим. Однако без помощи ИИ на обнаружение взлома уходит в среднем на 77 дней больше.
Обзор оценки уязвимостей
Не бывает неуязвимых компаний, которые могут на 100% защитить себя от сбоев и утечек данных, но к этому можно стремиться, используя различные инструменты:
- Внедрение систем автоматизации и AI для ускорения процессов
- Повышение безопасности и шифрование данных
- Использование частных и гибридных облачных инфраструктур
- Внедрение концепции Zero Trust
- Проверка и улучшение политик кибербезопасности
Это только одни из немногих шагов, которые помогут вам уменьшить вероятность утечки данных или их последствий.
Мы подготовили электронное пособие про 2-а основных инструмента, которые помогут защитить вашу ИТ-инфраструктуру.