Messzemenő következményekkel járhat az adatszivárgás, amely nemcsak rövidtávon okoz anyagi veszteséget és fennakadást a vállalat működésében, törvényi megfelelésében, hanem a márka jó hírét is megtépázhatja, így az üzlet még évekig bevételtől eshet el, és versenyhátrányba kerülhet. A Ponemon Institute immár tizenötödik alkalommal készítette el éves globális felmérését (2020 Cost of a Data Breach Report), amely az adatszivárgás várható költségeit fokozó, illetve csökkentő tényezőkről ad aktuális áttekintést, és az eltelt másfél évtizedben a kiberbiztonsági szakma egyik vezető teljesítménymérő eszközévé vált. A biztonsági események anyagi következményeinek pontosabb előrejelzése ugyanis segíti a vállalatokat a megfelelő védekezés beárazásában, a túlköltés vagy az alulfinanszírozás elkerülésében is.
A jelentést öt éve az IBM Security adja közre, amely nemcsak szponzorként, hanem a begyűjtött adatok elemzésével is segíti a munkát. A 2020-as felméréshez a Ponemon Institute több mint félezer, tavaly augusztus és idén április között adatszivárgást elszenvedő vállalatot keresett meg a világ 17 országában és régiójában, valamint ugyanennyi iparágban, amelyeknél több mint 3200, az incidenseket kezelő szakemberrel készített interjút.
Bár a mostani kutatás hónapokkal a koronavírus-világjárvány kitörése előtt indult, az elemzők utóbb ennek hatásáról is megkérdezték a résztvevőket, és a válaszadók háromnegyede (76 százaléka) úgy nyilatkozott, a távmunka körülményei között még nehezebb lesz az adatszivárgások észlelése, illetve megválaszolása.
Aranyat érő személyes adatok
Az adatszivárgás átlagos költségének kiszámításakor a kutatók a nagyon kicsi és a nagyon nagy incidenseket figyelmen kívül hagyták, illetve utóbbiakat külön elemezték. A jelentésben szereplő összegek így lényegében a háromezernél több és a százezernél kevesebb adatsort érintő incidensek várható anyagi következményeinek mértékét mutatják. A kutatók tevékenységalapú költségszámítást végeztek, amely szerint adatszivárgás esetén négy fő folyamat - az esemény észlelése és eszkalálása, azaz a szivárgás megszüntetése, az incidens kommunikálása, értesítések küldése, az esemény nyomán kialakult helyzet kezelése, valamint az üzletvesztés - növeli a költségeket.
Jóllehet az adatszivárgás globális átlagos költsége a tavalyi jelentésben megadott 3,92 millió dollárhoz képest idén kis mértékben 3,86 dollárra csökkent, országonként, iparáganként és vállalatonként is nagy eltéréseket mutat, a kibervédelem és az incidenskezelés folyamatait kevéssé automatizáló szervezeteknél például jóval magasabb, mint azoknál, amelyek élen járnak ezen a téren.
Németországban 4,45 millió, Skandináviában viszont 2,51 millió dollár volt az átlag. A felmérésben középméretűnek számító 5-10 ezer fős vállalatoknál az incidensek átlagköltsége egy év alatt 7 százalékkal növekedett, és az egy alkalmazottra vetített költség is körükben volt a legmagasabb. Hasonlóképp az adatsorra vetített költség azt mutatja, hogy az anyagi következmények súlyát a kiszivárgott vagy ellopott adatok típusa is nagymértékben befolyásolja.
A biztonsági események felét (52 százalékát) rosszindulatú támadás idézte elő, és az incidensek 80 százalékában a vállalati ügyfelek személyes (azonosításra alkalmas) adatai (personally identifiable information, PII) kerültek illetéktelen kezekbe; minden más adattípusnál sokkal gyakrabban. Míg az adatsorra vetített költség nagy átlaga 146 dollár, ügyféladatok szivárgásakor az összeg 150 dollárra kúszik fel, de ha azokat kiberbűnözők szerezik meg, a költség 175 dollárra ugrik, nyilván azért, mert a támadók a legértékesebb ügyfél- vagy alkalmazotti PII-t veszik célba.
Nemcsak az adatszivárgás észlelését és megszüntetését nehezíti meg a vállalatoknál a Covid-19 következtében bevezetett távmunka, hanem az incidensek költségét is jóval az átlag fölé, 4 millió dollárra emeli. Minden ötödik vállalathoz (19 százalék), amely rosszindulatú támadás áldozatává vált, a kiberbűnözők a felhasználói fiókokon keresztül, a megszerzett azonosítókkal jutottak be. Ilyen súlyos esetben számolni kell azzal, hogy az adatszivárgás költségei az egekbe szöknek, elérik a 4,77 millió dollárt. Incidensekhez vezettek persze emberi hibák és rendszerproblémák is - a kutatók által vizsgált esetek 23, illetve 25 százaléka volt ilyen -, de a költségek még így is magasan átlag felett alakultak, 4,27 millió dollárra rúgtak.
Az adatszivárgás utóhatásaként elszenvedett üzletvesztés ezzel együtt továbbra is a legkomolyabb tényező, amely az incidensek átlagköltségét közel 40 százalékkal növeli. Az ügyfelek elpártolása, a rendszerleállás következtében kieső bevétel és a reputáció romlása miatt dráguló ügyfélszerzés átlagosan 1,51 millió dollár többletköltséget okozott a vállalatoknak.
Költséget karcsúsító incidenskezelés
Félrekonfigurált felhőkörnyezetek segítették a kiberbűnözőket a rosszindulatú támadáshoz köthető incidensek 19 százalékában - ugyanolyan arányban, mint a lopott felhasználói azonosítók -, és ez is sokba, átlagosan 4,41 millió dollárba fájt a vállalatoknak. Az adatszivárgás költségét a biztonsági rendszerek összetettsége és a folyamatban levő felhőmigráció növelte a legnagyobb mértékben, világszinten átlagosan 296, illetve 267 ezer dollárral, de a lista élére került harmadik tényezőként a biztonsági szakemberek hiánya is 257 ezer dollárral.
A kibervédelem automatizálása mind jobban befolyásolja az adatszivárgás költségeinek alakulását az évente elkészített jelentés szerint. Míg a kutatók 2018-ban a vizsgált vállalatok 15 százalékánál találtak mesterségesintelligencia-platformokkal és a megelőzés, illetve a válaszadás lépéseit, folyamatait leíró szabályokkal automatizált kibervédelmet, arányuk mostanra 21 százalékra emelkedett.
Párhuzamosan ezzel az automatizált kibervédelem a költségeket is egyre hatékonyabban faragja le. Az automatizálással még hadilábon álló vállalatoknál az adatszivárgás átlagos költsége 6,03 millió dollár volt, a védelmüket automatizáló szervezeteknél megállapított 2,45 millió dollár több mint kétszerese. Utóbbiak 3,58 millió dolláros megtakarítása jelentős mértékben nőtt a 2018-ban kimutatott 1,55 millió dollárhoz képest.
Sokat takarítanak meg az adatszivárgás költségén az incidenskezelő (incident response, IR-) csapatot felállító és IR-tervet készítő, azt gyakorlatokkal és szimulációkkal tesztelő vállalatok. Körükben a biztonsági események átlagos költsége idén 3,29 millió dollárra jött ki, míg az IR-csapatot és -tervet is nélkülöző szervezeteknél 5,29 millió dollárra. A különbség ráadásul a tavalyi 1,23 millióról nőtt csaknem a duplájára, 2 millió dollárra.
A komoly költségcsökkenés jelentős részben a mesterséges intelligencia fokozott éberségének és gyors reagálásának köszönhető. Világszinten a vállalatoknak átlagosan 207 napba telt az adatszivárgás észlelése, és további 73 napjuk ment rá a lékek betömésére, ami az incidensek életciklusát 280 napra teszi. Az idei felmérés eredménye azonban azt mutatja, hogy a teljesen automatizált kibervédelem ezt az átfutást 74 nappal lerövidíti.
Meglepetést aligha okoz, hogy a jelentés készítői ennek alapján a kibervédelem automatizálását és a szakemberhiány problémáját is enyhítő menedzselt biztonsági szolgáltatások használatát tanácsolják a vállalatoknak. Az adatszivárgás költségeinek csökkentéséhez azonban sok más intézkedés megtételét, többek között a bizalmat nem előlegező (zero trust) hozzáférés-kezelés, a végpontvédelem és -monitorozás, valamint a robusztus adatmenedzsment bevezetését is javasolják.
A Ponemon Institute globális felmérésének hatalmas adatmennyiségét a negyvennél több diagramot tartalmazó, nyolcvanoldalas jelentés sem jelenítheti meg teljes részletességében. Az IBM ezért elkészítette az anyag online változatát, amelyet a kiberbiztonsági szakemberek interaktív adatvizualizációkon tanulmányozhatnak, és egy kalkulátorral azt is kiszámolhatják, hogy vállalatuknál mennyibe kerülne az adatszivárgás.