Rekordmagasra emelkedtek az adatvédelmi incidensekből fakadó költségek, ráadásul az ilyen biztonsági események észlelése is minden eddiginél hosszabb időbe telik a vállalatoknál, állapította meg friss tanulmányában az IBM. A mutatók romlásában nagy szerepet játszanak a járványkezeléssel járó változások, a digitális átalakulás technológiái azonban a helyzet javításában is segíthetnek. Az elemzés egyik biztató eredménye szerint ugyanis a mesterséges intelligenciát és hibrid felhőt bevezető, bizalmat nem előlegező szervezeteknél csökkent az adatsértések ára.
Tavaly világszinten átlagosan 4,24 millió dollárba került a vállalatoknak egy-egy adatvédelmi incidens kezelése az IBM Security friss jelentése (2021 Cost of a Data Breach Report) szerint, ami a megelőző évhez képest 10 százalékos növekedésnek felel meg, és az immár tizenhetedik alkalommal elkészített tanulmány történetében az eddigi legmagasabb érték. Az adatsértés észleléséhez és megszüntetéséhez szükséges idő is 287 napra nőtt, vagyis az előző jelentésben szereplő átfutáshoz képest egy év leforgása alatt hosszabb lett egy héttel. A kutatók szerint mindez a vállalatok működésében bekövetkező drasztikus változásokkal magyarázható, amelyeket a COVID-19 pandémia idézett előtt.
A jelentés elkészítéséhez az IBM Security a Ponemon Institute közreműködésével világszerte több mint 500 vállalat olyan valós adatvédelmi incidenseit elemezte, amelyek tavaly május és idén március között százezernél kevesebb adatsort érintettek. (A tanulmány külön fejezetben elemzi a nagyon nagy méretű, 50-65 millió adatsort érintő megaincidenseket is, de azokat nem vette figyelembe az itt bemutatott átlagértékek számításakor.) Egy-egy adatsértés minden jogi, megfelelési, technikai és üzleti költségének pontos kimutatása rendkívül összetett feladat, a több száz tényező figyelembevételével kalkuláló tanulmány éppen ezért értékes támpontot ad a vállalatoknak.
Minél nagyobb változással szembesítette egy iparág szereplőit a járványhelyzet, az adatsértés költségei annál inkább elszálltak, mutatta ki az idei jelentés. Az átlagos kárösszeg az egészségügyben volt messze a legnagyobb a vizsgált időszakban, adatvédelmi incidensenként 9,23 millió dollár, azaz 2 millió dollárral nagyobb, mint a megelőző évben. A pénzügyi szektorban is a globális átlagot meghaladva 5,72 millió dollárba, a gyógyszeriparban pedig 5,04 millió dollárba került az adatsértés. Bár költségszintjük alacsonyabb, a kereskedelem, a média, a vendéglátás és a közszféra szereplői szintén az adatvédelmi incidensek jelentős drágulásával szembesültek.
Kapkodó digitalizáció, kapós azonosítók
Sok vállalat kényszerült rá az elmúlt évben, hogy hirtelen változtasson működésének technológiai támogatásán, távmunkára bátorítsa vagy utasítsa alkalmazottait, ügyfeleit pedig online csatornákra terelje. Az IBM Institute for Business Value adatai szerint a pandémia hatására a szervezetek 60 százaléka erősített rá felhőalapú tevékenységére, az adatsértések árát vizsgáló kutatás eredményeiből ítélve azonban az informatikai környezet gyors átalakítása közben háttérbe szorultak a kiberbiztonság követelményei, így gyengültek a vállalatok incidenskezelő képességei is.
A vizsgált vállalatok közel 20 százalékánál a távmunka az adatvédelmi incidensek tényezőjeként jelent meg, és ezek az események egymillió dollárral nagyobb (4,96 millió dollár) költséget okoztak, mint a távmunkával nem összefüggő esetek, továbbá 15 százalékkal többe kerültek, mint általában az adatsértések. A felhőmigrációs projektek közben elszenvedett adatvédelmi incidensek az átlagnál 18,8 százalékkal nagyobb költséggel jártak, de azok a vállalatok, amelyek felhőmodernizációs stratégiájuk megvalósításában előrébb, érett szakaszban járnak, hamarabb észlelték és hatékonyabban válaszolták meg az ilyen eseményeket - átlagosan 77 nappal rövidebb idő alatt, mint a felhőbevezetés korai szakaszánál tartó szervezetek.
Ellopott felhasználói azonosítókat használnak a támadók a leggyakrabban az adatvédelmi incidensekben, egyúttal az ilyen személyes adatok - név, email cím, jelszó - sérülnek a leggyakrabban a biztonsági események során. Az elemzők szerint a két trend erősíti egymást, mivel a támadók egyre több azonosítót szereznek meg, ez pedig még több adatvédelmi incidenshez vezet.
A vizsgált adatsértések közel felében (44 százalékában) az ügyfelek személyes adatai - például neve, emailcíme, jelszava - vagy akár egészségügyi adatai kerültek illetéktelen kezekbe, a tanulmány alapján így a támadók által zsákmányolt adatsorok leggyakrabban ebbe a kategóriába tartoznak. Ugyancsak az ügyfelek személyes azonosításra alkalmas információinak (PII) elvesztése kerül a legtöbbe, adatsoronként 180 dollárba, míg az incidensek adatsorra vetített költsége átlagosan 161 dollár. Az adatvédelmi incidensek 20 százalékában a támadók lopott azonosítókat használtak, így az elemzésben ez bizonyult a bűnözők leggyakrabban bevetett módszerének. Ráadásul a vállalatok az ilyen típusú adatsértéseket észlelték a leglassabban, 250 nap alatt, míg az incidensek átlagos észlelési ideje 212 nap.
Tekintettel arra, hogy a felhasználók 82 százaléka újrahasznosítja, több fiókhoz is használja jelszavait, az adatsértések eszközét és célpontját egyszerre képező azonosítók fokozottan veszélyeztetettek, és összetett kockázatokat hordoznak, amit a vállalatok nem téveszthetnek szem elől.
Költségcsökkentő intelligencia és automatizálás
Bár az informatikai környezet átalakítása a járványhelyzetben növelte az adatsértések költségét, a digitális transzformációs projekteket egyáltalán nem indító szervezetek valójában borsosabb árat fizettek az ilyen incidensekért. Esetükben egy adatsértés költsége ugyanis 16,6 százalékkal, azaz 750 ezer dollárral nagyobb volt, mint a működésüket digitálisan átalakító szervezeteknél.
A mesterséges intelligencia, a biztonsági analitika és a titkosítás bizonyult az adatvédelmi incidensek költségét legjobban csökkentő tényezőnek, segítségükkel a vizsgált vállalatok 1,25 millió és 1,49 millió dollár közötti összeget takarítottak meg egy-egy biztonsági esemény kezelésében. A felhőalapú adatsértések elemzésekor pedig a kutatók megállapították, hogy a hibridfelhős megközelítést alkalmazó vállalatoknál az adatsértés átlagos költsége (3,61 millió dollár) kisebb volt, mint az elsősorban nyilvános felhőre (4,80 millió dollár) vagy magánfelhőre (4,55 millió dollár) támaszkodó szervezeteknél.
Hatékonyabban kezelték az adatvédelmi incidenseket a biztonságot nem előlegező (zero trust) megközelítést alkalmazó vállalatok is. Stratégiájuk abból a feltételezésből indul ki, hogy a felhasználói azonosítók és maguk a hálózatok is eleve veszélyeztetettek, sérültek lehetnek, ezért a mesterséges intelligencia és az analitika eszközeivel folyamatosan ellenőrzik és érvényesítik a felhasználók, az adatok és az erőforrások közötti kapcsolatokat. Az érett zero trust gyakorlattal jellemezhető szervezetek költsége adatvédelmi incidensenként 3,28 millió dollár volt - 1,76 millió dollárral kevesebb, mint amivel az ilyen megközelítést nem alkalmazó szervezeteknek számolniuk kellett.
A tanulmány további megállapítása, hogy a megelőző évhez képest tavaly több szervezet lépett előre a kibervédelem automatizálásában, és ezzel jelentős megtakarítást ért el. A vizsgált vállalatok 65 százaléka részben vagy teljesen automatizálta biztonsági környezetét, míg két éve ez az arány 52 százalék volt. A kibervédelmüket teljesen automatizáló szervezetek költsége adatsértésenként 2,90 millió dollár volt, míg a nem automatizáló vállalatoknál a számla ennek több mint kétszeresére, 6,71 millió dollárra rúgott. Az incidenskezelő tervük tesztelésébe is beruházó vállalatoknál az adatsértések átlagos költsége szintén feleakkorának bizonyult, mint a tesztelésre nem költő szervezeteknél. Az elemzők szerint a biztonsággal kezdettől fogva, következetesen számoló digitalizáció tehát ezen a módon is kimutathatóan megtérül.