Блог з безпеки

Звіт IBM про вартість витоку даних за 2023 рік — які висновки ми з нього робимо?

Jim Biniyaz

Звіт про вартість витоку даних від IBM Security та Ponemon Institute дає уявлення про фінансовий вплив витоків даних на організації в усьому світі. Звіт проводиться щороку вже 18 років поспіль і досліджує першопричини, наслідки та витрати, пов’язані з витоками даних.

Ключові висновки звіту за 2023 рік:

  • Середня загальна вартість витоку даних у 2023 році сягнула рекордних $4,45 млн, що на 2,3% більше, ніж у 2022 році. Із 2020 року середня загальна вартість зросла на 15,3%.
  • 51% організацій планують збільшити інвестиції в безпеку після витоку даних. Головні напрями додаткових інвестицій — планування та тестування реагування на інциденти, навчання співробітників і технології виявлення загроз та реагування на них.
  • Організації, що активно використовують AI та автоматизацію в безпеці, зазнали на $1,76 млн менших витрат на витоки даних і виявляли та стримували витоки на 108 днів швидше, ніж ті, що їх не використовують.
  • Лише 33% витоків виявили внутрішні команди безпеки організацій. 67% були повідомлені третіми сторонами або самими зловмисниками. Коли про витік повідомляли зловмисники, витрати були майже на $1 млн більшими.
  • 82% витоків стосувалися даних, що зберігалися в хмарних середовищах — публічній хмарі, приватній хмарі чи кількох середовищах. Витоки, що охоплювали кілька середовищ, мали вищі за середні витрати — $4,75 млн.
  • Із 2020 року витрати на витоки даних у сфері охорони здоров’я зросли на 53,3% — до $10,93 млн у 2023 році. Охорона здоров’я має найвищі витрати вже 13 рік поспіль.
  • 63% організацій залучали правоохоронні органи під час атак програм-вимагачів. Ті, що цього не робили, зазнали на $470 000 більших витрат і на 33 дні довшого життєвого циклу витоку.
  • Витоки з життєвим циклом понад 200 днів коштували в середньому на $1,02 млн більше, ніж ті, що тривали менше ніж 200 днів. Час на виявлення та стримування й далі впливає на загальні витрати.
  • Висока складність системи безпеки збільшувала витрати на витік на $1,44 млн порівняно з організаціями з низькою складністю. Складність підсилює витрати.

Глобальні підсумки

  • Середня загальна вартість витоку даних у світі в 2023 році становила $4,45 млн, що на 2,3% більше, ніж у 2022 році. Найвищу середню вартість мали США — $9,48 млн.
  • Середня вартість одного скомпрометованого запису у світі в 2023 році становила $165, трохи більше, ніж $164 у 2022 році. Ця метрика допомагає оцінити витрати на витік залежно від його масштабу.
  • Середній час виявлення витоку у світі в 2023 році становив 204 дні, а середній час стримування — 73 дні. Сукупний час виявлення та стримування становив 277 днів.
  • 57% організацій підвищили ціни на продукти чи послуги для клієнтів унаслідок витоку даних, переклавши на них витрати.

Початкові вектори атак

  • Фішинг (16%) і викрадені облікові дані (15%) були двома головними початковими векторами атак, за ними йшли неправильна конфігурація хмари (11%) і компрометація ділового електронного листування (9%).
  • Витоки, ініційовані зловмисними інсайдерами, мали найвищу середню вартість — $4,9 млн, що на 9,6% вище за середню. Фішинг був другим за вартістю — $4,76 млн.
  • Викрадені облікові дані (328 днів) і зловмисні інсайдери (308 днів) спричиняли найдовший час виявлення та стримування. Витоки через фішинг тривали в середньому 293 дні.

Виявлення атак

  • 33% витоків виявили внутрішні команди організацій, тоді як 67% виявили треті сторони або зловмисники.
  • Витоки, про які повідомили зловмисники, коштували в середньому на $930 000 більше, ніж виявлені всередині. Розкриття зловмисниками пов’язане з найвищими витратами.
  • На виявлення та стримування витоків, про які повідомили зловмисники, знадобилося 320 днів — на 80 днів довше, ніж для виявлених усередині.

Життєвий цикл витоку даних

  • Витоки, стримані менш ніж за 200 днів, коштували в середньому на $1,02 млн менше, ніж ті, що тривали понад 200 днів. Швидше стримування знижувало витрати на 23%.
  • Із 2020 року різниця у витратах на основі цього 200-денного орієнтиру залишається стабільною, що підкреслює важливість своєчасного реагування на інциденти.

Ключові чинники витрат

  • Головними чинниками зниження витрат були впровадження DevSecOps, навчання співробітників і планування та тестування реагування на інциденти.
  • Головними чинниками зростання витрат були нестача персоналу з безпеки, складність систем і недотримання нормативних вимог.
  • Висока складність безпеки збільшувала витрати на витік на $1,44 млн порівняно з організаціями низької складності. Складність залишається важливим чинником витрат.
  • Високі інвестиції в DevSecOps знижували витрати на витік на $1,68 млн порівняно з низьким рівнем впровадження. DevSecOps мав найбільший пом’якшувальний вплив.

Програми-вимагачі та деструктивні атаки

  • 24% атак були пов’язані з програмами-вимагачами, а 25% — деструктивними атаками, що виводили системи з ладу.
  • Середня вартість атак програм-вимагачів зросла на 13% — до $5,13 млн. Деструктивні атаки подорожчали на 2,3% — до $5,24 млн.
  • Залучення правоохоронних органів під час атак програм-вимагачів знижувало витрати на $470 000 і скорочувало час виявлення та стримування на 33 дні.
  • Сплата викупу знижувала витрати лише на 2,2%, тобто давала мізерну фінансову вигоду.

Атаки на ланцюг постачання

  • 15% атак походили з мереж вендорів (ланцюг постачання ділових партнерів), а 12% були пов’язані зі скомпрометованим програмним забезпеченням (програмний ланцюг постачання).
  • Витоки через постачальників — ділових партнерів коштували на 11,8% більше, ніж з інших причин. Витоки через програмний ланцюг постачання коштували на 8,3% більше, ніж з інших причин.

Регуляторні середовища

  • У середовищах із жорстким регулюванням 58% витрат на витік нараховувалися після першого року через штрафи та тривалі юридичні й регуляторні заходи.
  • 31% організацій отримали штрафи, пов’язані з витоками даних. 20% таких штрафів перевищували $250 000.

Витоки в хмарі

  • 82% витоків стосувалися даних, що зберігалися в хмарних середовищах — публічній хмарі (27%), приватній хмарі (18%) чи кількох середовищах (39%).
  • Витоки даних у кількох хмарних середовищах мали найвищу вартість — $4,75 млн, що на 6,5% вище за середню.
  • Виявлення та стримування витоків у кількох середовищах тривало найдовше — 291 день. На виявлення та стримування витоків у публічній хмарі знадобилося 276 днів.

Інвестиції в безпеку

  • 51% організацій збільшують інвестиції в безпеку після витоку даних. Головними напрямами інвестицій були реагування на інциденти, навчання співробітників і технології виявлення загроз та реагування на них.
  • Хоча витрати на витоки даних дещо зросли, погляди на збільшення видатків на безпеку розділилися приблизно порівну.

AI та автоматизація в безпеці

  • Активне використання AI та автоматизації знижувало витрати на витік на $1,76 млн і скорочувало час виявлення та стримування на 108 днів порівняно з відсутністю використання.
  • Лише 28% респондентів повідомили про активне використання AI та автоматизації в безпеці, тоді як 39% — про їх відсутність. Ширше впровадження може покращити результати.

Реагування на інциденти

  • Планування та тестування реагування на інциденти (IR) у поєднанні з виділеною командою IR скорочували життєвий цикл витоку на 54 дні порівняно з відсутністю обох підходів.
  • Саме лише планування та тестування IR скорочувало час усунення витоку на 48 днів порівняно з відсутністю планування IR.

Кіберрозвідка (threat intelligence)

  • Використання кіберрозвідки (threat intelligence) скорочувало час виявлення витоку на 28 днів порівняно з організаціями без неї.

Управління поверхнею атаки

  • Організації з рішеннями ASM виявляли та стримували витоки на 25% швидше — лише за 75% часу, який витрачали ті, хто не має ASM.

Постачальники керованих послуг безпеки (MSSP)

  • Партнерство з MSSP пришвидшувало виявлення витоку на 8% і стримування на 15%, скорочуючи життєвий цикл загалом на 21%.

Рекомендації

На основі висновків звіту IBM окреслила кроки, які організації можуть зробити, щоб зменшити вплив і витрати від витоків даних:

  1. Вбудовуйте безпеку в кожен етап розробки та розгортання програмного забезпечення й регулярно тестуйте. Впроваджуйте методології DevSecOps і безперервно тестуйте застосунки.
  2. Модернізуйте можливості захисту даних у гібридних хмарних середовищах. Підвищуйте видимість і контроль над чутливими даними, розподіленими в мультихмарі.
  3. Широко використовуйте AI та автоматизацію, щоб підвищити швидкість і точність операцій безпеки. Інтегруйте AI та автоматизацію в усі процеси виявлення, реагування та розслідування.
  4. Знайте свою поверхню атаки та практикуйте ефективне реагування на інциденти. Пріоритезуйте ризики на основі реальних загроз і регулярно тестуйте здатність реагувати на інциденти.

Методологія дослідження

Звіт за 2023 рік узагальнив дослідження 553 організацій, що зазнали витоків даних, які торкнулися від 2 200 до 102 000 записів кожен. У ньому використано інтерв’ю з понад 3 475 особами, обізнаними з досвідом і витратами їхньої компанії щодо витоку.

Середня вартість витоку даних розраховується на основі функціонально-вартісного аналізу за чотирма основними категоріями: 1) виявлення та ескалація, 2) сповіщення, 3) реагування після витоку та 4) втрачені бізнес-витрати. Для визначення загальної вартості збираються прямі й непрямі витрати.

У дослідженні використовується власна методологія бенчмаркінгу, розроблена для збереження конфіденційності: учасники оцінюють витрати в межах діапазонної змінної. Фактичні бухгалтерські дані не збираються. Метрика вартості одного запису розраховується на основі витоків обсягом менш ніж 102 000 записів і не повинна екстраполюватися на мегавитоки. Масштабні інциденти оцінюються окремо за допомогою симуляцій.

Про Ponemon Institute та IBM Security

Ponemon Institute — незалежна дослідницька організація, що зосереджується на приватності, захисті даних і практиках інформаційної безпеки. IBM Security співпрацює з організаціями в усьому світі, допомагаючи прогнозувати, виявляти кіберзагрози та реагувати на них за допомогою інтегрованого портфеля корпоративних продуктів і послуг безпеки.

Висновок

Звіт про вартість витоку даних за 2023 рік щороку надає глибокий аналіз причин, наслідків і витрат, пов’язаних із витоками даних у світі. Серед ключових тем цьогорічного звіту — зростання фінансових наслідків витоків, ризики, пов’язані зі складними локальними та хмарними середовищами, важливість підготовки через планування й тестування IR, а також переваги AI, автоматизації та інших проактивних стратегій безпеки у зниженні витрат.

Оскільки витоки даних і далі становлять серйозні фінансові та репутаційні ризики, звіт пропонує лідерам безпеки змістовні орієнтири та поради, що допомагають зміцнити стан кібербезпеки їхньої організації. Навчаючись на чужому досвіді та застосовуючи найновіші техніки й технології, компанії можуть стати стійкішими перед кіберзагрозами. Звіт наголошує, що інвестиції в надійні стратегії кібербезпеки та управління ризиками можуть суттєво знизити наражання на атаки й мінімізувати вплив інцидентів.

Пов’язані ресурси

ПоділитисяLinkedInX
Пов’язані статті блогу
Пов’язані статті блогу
Нічого не знайдено.

Готові зменшити свою кіберекспозицію?

Дізнайтеся, як ResilientX забезпечує безперервну видимість вашої поверхні атаки, ризиків третіх сторін і стану відповідності — в одній платформі.

Забронюйте демо