Сколько тратит бизнес при потере данных? - отчет IBM 2021

Вопрос безопасности ИТ-инфраструктур постоянно вызывает дискуссии и споры. Существует множество примеров, когда миграция приложения в облачную инфраструктуру повышает безопасность вокруг него. Связано это с тем, что поставщик облачных услуг имеет надежные процедуры и политики защиты данных, а также различные инструменты для обеспечения высокого уровня безопасности. 

Но также существуют примеры, когда ИТ-команды по разным причинам (коммерческие ограничения, конфиденциальная информация о клиентах, политики безопасности и пр.) оставляют часть своих ИТ-систем у себя, и правильно настроенная связь ландшафтов создает также высокий уровень безопасности. 

Но даже несмотря на наличие большого количества инструментов повышения безопасности, шифрования данных и защиты их передачи, политик кибербезопасности и прочего, в мире ежегодно происходит множество утечек и потерь данных. 

В своем 17-ом ежегодном отчете Cost of a Data Breach (www.ibm.com/security/data-breach?_ga=2.3019568.1436252282.1637663307-1392706600.1635762999) специалисты из IBM изучили информацию о более чем 500 случаях сбоев ИТ-систем и сделали выводы, о том, сколько данных теряется ежегодно, какой ущерб это приносит организациям, а также рассказали, как защитить себя от подобных ситуаций. 

Неожиданная стоимость утечки данных

Представим, что журналист, занимающийся вопросами кибербезопасности, сообщил вашей компании об уязвимости в приложении для обмена изображениями. Предположим, что уязвимыми оказались более 800 миллионов изображений, которыми вы владеете, начиная с 2003 года. Возможно, некоторые изображения содержат важные данные, личную информацию пользователей, номера или финансовые данные. 

В течение нескольких дней ваша компания выпускает пресс-релиз об инциденте. В случае если вы находитесь в юрисдикции США, то вы должны отправить определенную форму Комиссии по ценным бумагам и биржам США. SEC проведет свое расследование и если она установит, что ваша ИТ-команда обнаружила уязвимость несколькими месяцами ранее и не проинформировала руководство, у вас могут возникнуть проблемы. 

Именно это и произошло с First American Financial Corporation. Не признавая и не отрицая выводов SEC, First American согласилась с предписанием о прекращении деятельности и выплате штрафа в размере 487 616 долларов. 

Между тем, Pearson plc, лондонская компания, предоставляющая образовательные и издательские услуги, согласилась выплатить 1 миллион долларов, чтобы урегулировать обвинения в том, что она ввела инвесторов в заблуждение относительно кибервзлома в 2018 году. В результате взлома были похищены миллионы записей студентов, включая даты рождения и адреса электронной почты. SEC установила, что Pearson не имела адекватного контроля и процедур раскрытия информации.

Общие цифры

Отчет IBM показывает, что данные с каждым годом приобретают все большее значение, и соответственно их утечки стоят компаниям все больше и больше. В среднем цена утечки данных по всему миру равняется $4,24 млн.

• 38% - доля потерь бизнеса в общих расходах связанных с утечкой данных
• $180 - цена одной записи, содержащей персонально идентифицируемую информацию
• 287 дней в среднем нужно для выявления и локализации утечки данных
• На 80% сокращаются расходы от утечки данных после внедрения AI и автоматизации безопасности
• Гибридные ИТ-инфраструктуры сокращают потери от утечки данных в среднем на $1,19 млн.

Средняя общая стоимость (в $, млн.) утечки данных по странам и регионам. 

Некоммерческие расходы, связанные с утечкой данных

Согласно отчету, некоммерческие элементы утечки данных обходятся крупному американскому бизнесу в $2,65 млн. Это 62,5% от общих расходов, связанных с утечкой данных. Вот так выглядит разбивка для типичного инцидента связанного с утечкой данных и сбоем в системе безопасности:

• $1,59 млн. (38%) - затраты на потери бизнеса (отток клиентов, время простоя и затраты на привлечение новых клиентов и т.д.).
• $1,24 млн. (29%) - затраты на поиск и выявление нарушения. Сюда также входит привлечение ключевых членов команды и/или любые внешние услуги (судебная экспертиза, юридические услуги и т.д.).
• $1,14 млн. (27%) - затраты на ликвидацию последствий взлома, включая процессы локализации, ликвидации и восстановления.
• $0,27 млн. (6%) - расходы на уведомление регулирующих органов, партнеров, клиентов и общественности.

Среднее время (в днях) выявления и локализации нарушения в зависимости от первоначального вектора атаки.

Zero Trust экономит $1,76 млн.

Безопасность данных в случае утечки без Zero Trust (нулевого доверия) - это дорого. В отчете говорится, что компании с развитой системой нулевого доверия сэкономили $1,76 млн. на каждом нарушении по сравнению с компаниями без нулевого доверия.

Zero Trust обозначает полное отсутствие доверия кому-либо – даже пользователям внутри периметра. Модель подразумевает, что каждый пользователь или устройство должны подтверждать свои данные каждый раз, когда они запрашивают доступ к какому-либо ресурсу внутри или за пределами сети. Система рассматривает каждое соединение и конечную точку как угрозу. Это обеспечивает защиту как от внешних, так и от внутренних угроз. Система:

• регистрирует и проверяет весь корпоративный сетевой трафик
• ограничивает и контролирует доступ к сети
• проверяет и защищает сетевые ресурсы.

Нормативно-правовое соответствие

Нарушения нормативно-правового соответствия являются одним из самых внушительных факторов влияющих на общие расходы. Организации, которые нарушили нормативно-правовые требования, в среднем за утечку данных платили $5.65 млн.

В то время как группы компаний, которые соблюдали эти требования, платили за те же утечки в среднем $3,35 млн.

Экономия времени и затрат за счет автоматизации

Автоматизация помогает облегчить повседневные задачи для большинства команд, в том числе и тех, кто занимается безопасностью данных. Но как она влияет на затраты в случае утечки данных? 

Автоматизация безопасности дополняет или заменяет человеческие задачи по выявлению и локализации инцидентов или вторжений. Искусственный интеллект (ИИ), машинное обучение, аналитика и автоматизированная оркестровка безопасности - все это играет важную роль. Это особенно актуально для безопасности больших объемов данных и групп корпоративного уровня. 

По данным исследования IBM, средние затраты организаций, в которых автоматизация системы безопасности не применялась, составили $6,71 млн. долларов США. Те, в которых была полностью развернута автоматизация безопасности, потратили в среднем $2,90 млн., что позволило сэкономить $3,81 млн. Это самая большая экономия в исследовании. 

Когда дело доходит до утечки данных, еще одним ключевым фактором является время. Группам с полностью развернутой системой искусственного интеллекта и автоматизации безопасности потребовалось в среднем 184 дня для выявления нарушения и 63 дня для его локализации (общий жизненный цикл - 247 дней). Для тех групп, где ИИ/автоматизация не были развернуты, потребовалось в среднем 239 дней для выявления нарушения и 85 дней для его локализации (общий жизненный цикл - 324 дня).

В обоих случаях время цикла кажется слишком долгим. Однако без помощи ИИ на обнаружение взлома уходит в среднем на 77 дней больше. 

Обзор оценки уязвимостей

Не бывает неуязвимых компаний, которые могут на 100% защитить себя от сбоев и утечек данных, но к этому можно стремиться, используя различные инструменты:

• Внедрение систем автоматизации и AI для ускорения процессов
• Повышение безопасности и шифрование данных
• Использование частных и гибридных облачных инфраструктур
• Внедрение концепции Zero Trust
• Проверка и улучшение политик кибербезопасности

Это только одни из немногих шагов, которые помогут вам уменьшить вероятность утечки данных или их последствий. 

Мы подготовили электронное пособие про 2-а основных инструмента, которые помогут защитить вашу ИТ-инфраструктуру.