Звіт IBM про вартість витоку даних за 2023 рік — які висновки ми з нього робимо?

Звіт про вартість витоку даних від IBM Security та Ponemon Institute дає уявлення про фінансовий вплив витоків даних на організації в усьому світі. Звіт проводиться щороку вже 18 років поспіль і досліджує першопричини, наслідки та витрати, пов’язані з витоками даних.
- Ключові висновки звіту за 2023 рік:
- Глобальні підсумки
- Початкові вектори атак
- Виявлення атак
- Життєвий цикл витоку даних
- Ключові чинники витрат
- Програми-вимагачі та деструктивні атаки
- Атаки на ланцюг постачання
- Регуляторні середовища
- Витоки в хмарі
- Інвестиції в безпеку
- AI та автоматизація в безпеці
- Реагування на інциденти
- Кіберрозвідка (threat intelligence)
- Управління поверхнею атаки
- Постачальники керованих послуг безпеки (MSSP)
- Рекомендації
- Методологія дослідження
- Про Ponemon Institute та IBM Security
- Висновок
Ключові висновки звіту за 2023 рік:
- Середня загальна вартість витоку даних у 2023 році сягнула рекордних $4,45 млн, що на 2,3% більше, ніж у 2022 році. Із 2020 року середня загальна вартість зросла на 15,3%.
- 51% організацій планують збільшити інвестиції в безпеку після витоку даних. Головні напрями додаткових інвестицій — планування та тестування реагування на інциденти, навчання співробітників і технології виявлення загроз та реагування на них.
- Організації, що активно використовують AI та автоматизацію в безпеці, зазнали на $1,76 млн менших витрат на витоки даних і виявляли та стримували витоки на 108 днів швидше, ніж ті, що їх не використовують.
- Лише 33% витоків виявили внутрішні команди безпеки організацій. 67% були повідомлені третіми сторонами або самими зловмисниками. Коли про витік повідомляли зловмисники, витрати були майже на $1 млн більшими.
- 82% витоків стосувалися даних, що зберігалися в хмарних середовищах — публічній хмарі, приватній хмарі чи кількох середовищах. Витоки, що охоплювали кілька середовищ, мали вищі за середні витрати — $4,75 млн.
- Із 2020 року витрати на витоки даних у сфері охорони здоров’я зросли на 53,3% — до $10,93 млн у 2023 році. Охорона здоров’я має найвищі витрати вже 13 рік поспіль.
- 63% організацій залучали правоохоронні органи під час атак програм-вимагачів. Ті, що цього не робили, зазнали на $470 000 більших витрат і на 33 дні довшого життєвого циклу витоку.
- Витоки з життєвим циклом понад 200 днів коштували в середньому на $1,02 млн більше, ніж ті, що тривали менше ніж 200 днів. Час на виявлення та стримування й далі впливає на загальні витрати.
- Висока складність системи безпеки збільшувала витрати на витік на $1,44 млн порівняно з організаціями з низькою складністю. Складність підсилює витрати.
Глобальні підсумки
- Середня загальна вартість витоку даних у світі в 2023 році становила $4,45 млн, що на 2,3% більше, ніж у 2022 році. Найвищу середню вартість мали США — $9,48 млн.
- Середня вартість одного скомпрометованого запису у світі в 2023 році становила $165, трохи більше, ніж $164 у 2022 році. Ця метрика допомагає оцінити витрати на витік залежно від його масштабу.
- Середній час виявлення витоку у світі в 2023 році становив 204 дні, а середній час стримування — 73 дні. Сукупний час виявлення та стримування становив 277 днів.
- 57% організацій підвищили ціни на продукти чи послуги для клієнтів унаслідок витоку даних, переклавши на них витрати.
Початкові вектори атак
- Фішинг (16%) і викрадені облікові дані (15%) були двома головними початковими векторами атак, за ними йшли неправильна конфігурація хмари (11%) і компрометація ділового електронного листування (9%).
- Витоки, ініційовані зловмисними інсайдерами, мали найвищу середню вартість — $4,9 млн, що на 9,6% вище за середню. Фішинг був другим за вартістю — $4,76 млн.
- Викрадені облікові дані (328 днів) і зловмисні інсайдери (308 днів) спричиняли найдовший час виявлення та стримування. Витоки через фішинг тривали в середньому 293 дні.
Виявлення атак
- 33% витоків виявили внутрішні команди організацій, тоді як 67% виявили треті сторони або зловмисники.
- Витоки, про які повідомили зловмисники, коштували в середньому на $930 000 більше, ніж виявлені всередині. Розкриття зловмисниками пов’язане з найвищими витратами.
- На виявлення та стримування витоків, про які повідомили зловмисники, знадобилося 320 днів — на 80 днів довше, ніж для виявлених усередині.
Життєвий цикл витоку даних
- Витоки, стримані менш ніж за 200 днів, коштували в середньому на $1,02 млн менше, ніж ті, що тривали понад 200 днів. Швидше стримування знижувало витрати на 23%.
- Із 2020 року різниця у витратах на основі цього 200-денного орієнтиру залишається стабільною, що підкреслює важливість своєчасного реагування на інциденти.
Ключові чинники витрат
- Головними чинниками зниження витрат були впровадження DevSecOps, навчання співробітників і планування та тестування реагування на інциденти.
- Головними чинниками зростання витрат були нестача персоналу з безпеки, складність систем і недотримання нормативних вимог.
- Висока складність безпеки збільшувала витрати на витік на $1,44 млн порівняно з організаціями низької складності. Складність залишається важливим чинником витрат.
- Високі інвестиції в DevSecOps знижували витрати на витік на $1,68 млн порівняно з низьким рівнем впровадження. DevSecOps мав найбільший пом’якшувальний вплив.
Програми-вимагачі та деструктивні атаки
- 24% атак були пов’язані з програмами-вимагачами, а 25% — деструктивними атаками, що виводили системи з ладу.
- Середня вартість атак програм-вимагачів зросла на 13% — до $5,13 млн. Деструктивні атаки подорожчали на 2,3% — до $5,24 млн.
- Залучення правоохоронних органів під час атак програм-вимагачів знижувало витрати на $470 000 і скорочувало час виявлення та стримування на 33 дні.
- Сплата викупу знижувала витрати лише на 2,2%, тобто давала мізерну фінансову вигоду.
Атаки на ланцюг постачання
- 15% атак походили з мереж вендорів (ланцюг постачання ділових партнерів), а 12% були пов’язані зі скомпрометованим програмним забезпеченням (програмний ланцюг постачання).
- Витоки через постачальників — ділових партнерів коштували на 11,8% більше, ніж з інших причин. Витоки через програмний ланцюг постачання коштували на 8,3% більше, ніж з інших причин.
Регуляторні середовища
- У середовищах із жорстким регулюванням 58% витрат на витік нараховувалися після першого року через штрафи та тривалі юридичні й регуляторні заходи.
- 31% організацій отримали штрафи, пов’язані з витоками даних. 20% таких штрафів перевищували $250 000.
Витоки в хмарі
- 82% витоків стосувалися даних, що зберігалися в хмарних середовищах — публічній хмарі (27%), приватній хмарі (18%) чи кількох середовищах (39%).
- Витоки даних у кількох хмарних середовищах мали найвищу вартість — $4,75 млн, що на 6,5% вище за середню.
- Виявлення та стримування витоків у кількох середовищах тривало найдовше — 291 день. На виявлення та стримування витоків у публічній хмарі знадобилося 276 днів.
Інвестиції в безпеку
- 51% організацій збільшують інвестиції в безпеку після витоку даних. Головними напрямами інвестицій були реагування на інциденти, навчання співробітників і технології виявлення загроз та реагування на них.
- Хоча витрати на витоки даних дещо зросли, погляди на збільшення видатків на безпеку розділилися приблизно порівну.
AI та автоматизація в безпеці
- Активне використання AI та автоматизації знижувало витрати на витік на $1,76 млн і скорочувало час виявлення та стримування на 108 днів порівняно з відсутністю використання.
- Лише 28% респондентів повідомили про активне використання AI та автоматизації в безпеці, тоді як 39% — про їх відсутність. Ширше впровадження може покращити результати.
Реагування на інциденти
- Планування та тестування реагування на інциденти (IR) у поєднанні з виділеною командою IR скорочували життєвий цикл витоку на 54 дні порівняно з відсутністю обох підходів.
- Саме лише планування та тестування IR скорочувало час усунення витоку на 48 днів порівняно з відсутністю планування IR.
Кіберрозвідка (threat intelligence)
- Використання кіберрозвідки (threat intelligence) скорочувало час виявлення витоку на 28 днів порівняно з організаціями без неї.
Управління поверхнею атаки
- Організації з рішеннями ASM виявляли та стримували витоки на 25% швидше — лише за 75% часу, який витрачали ті, хто не має ASM.
Постачальники керованих послуг безпеки (MSSP)
- Партнерство з MSSP пришвидшувало виявлення витоку на 8% і стримування на 15%, скорочуючи життєвий цикл загалом на 21%.
Рекомендації
На основі висновків звіту IBM окреслила кроки, які організації можуть зробити, щоб зменшити вплив і витрати від витоків даних:
- Вбудовуйте безпеку в кожен етап розробки та розгортання програмного забезпечення й регулярно тестуйте. Впроваджуйте методології DevSecOps і безперервно тестуйте застосунки.
- Модернізуйте можливості захисту даних у гібридних хмарних середовищах. Підвищуйте видимість і контроль над чутливими даними, розподіленими в мультихмарі.
- Широко використовуйте AI та автоматизацію, щоб підвищити швидкість і точність операцій безпеки. Інтегруйте AI та автоматизацію в усі процеси виявлення, реагування та розслідування.
- Знайте свою поверхню атаки та практикуйте ефективне реагування на інциденти. Пріоритезуйте ризики на основі реальних загроз і регулярно тестуйте здатність реагувати на інциденти.
Методологія дослідження
Звіт за 2023 рік узагальнив дослідження 553 організацій, що зазнали витоків даних, які торкнулися від 2 200 до 102 000 записів кожен. У ньому використано інтерв’ю з понад 3 475 особами, обізнаними з досвідом і витратами їхньої компанії щодо витоку.
Середня вартість витоку даних розраховується на основі функціонально-вартісного аналізу за чотирма основними категоріями: 1) виявлення та ескалація, 2) сповіщення, 3) реагування після витоку та 4) втрачені бізнес-витрати. Для визначення загальної вартості збираються прямі й непрямі витрати.
У дослідженні використовується власна методологія бенчмаркінгу, розроблена для збереження конфіденційності: учасники оцінюють витрати в межах діапазонної змінної. Фактичні бухгалтерські дані не збираються. Метрика вартості одного запису розраховується на основі витоків обсягом менш ніж 102 000 записів і не повинна екстраполюватися на мегавитоки. Масштабні інциденти оцінюються окремо за допомогою симуляцій.
Про Ponemon Institute та IBM Security
Ponemon Institute — незалежна дослідницька організація, що зосереджується на приватності, захисті даних і практиках інформаційної безпеки. IBM Security співпрацює з організаціями в усьому світі, допомагаючи прогнозувати, виявляти кіберзагрози та реагувати на них за допомогою інтегрованого портфеля корпоративних продуктів і послуг безпеки.
Висновок
Звіт про вартість витоку даних за 2023 рік щороку надає глибокий аналіз причин, наслідків і витрат, пов’язаних із витоками даних у світі. Серед ключових тем цьогорічного звіту — зростання фінансових наслідків витоків, ризики, пов’язані зі складними локальними та хмарними середовищами, важливість підготовки через планування й тестування IR, а також переваги AI, автоматизації та інших проактивних стратегій безпеки у зниженні витрат.
Оскільки витоки даних і далі становлять серйозні фінансові та репутаційні ризики, звіт пропонує лідерам безпеки змістовні орієнтири та поради, що допомагають зміцнити стан кібербезпеки їхньої організації. Навчаючись на чужому досвіді та застосовуючи найновіші техніки й технології, компанії можуть стати стійкішими перед кіберзагрозами. Звіт наголошує, що інвестиції в надійні стратегії кібербезпеки та управління ризиками можуть суттєво знизити наражання на атаки й мінімізувати вплив інцидентів.




