Нарушения данных и инциденты безопасности становятся все более дорогостоящими. Канадский кредитор Desjardins Group недавно объявил, что потратил 70 миллионов канадских долларов в результате нарушения в начале года, которое раскрыло личную информацию 2,9 миллиона пользователей.
Сеть отелей Marriott, например, оштрафовали на 123 миллиона долларов США, а British Airways на 229,6 миллионов за утечку клиентских данных по GDPR (Общему регламенту по защите данных).
Несмотря на то, что эти примеры являются наиболее громкими и масштабными, финансовые последствия перенесенной утечки данных продолжают возрастать из года в год для компаний всех отраслей и размеров. Согласно новому отчету IBM и Института Ponemon, средняя стоимость утечки данных выросла до 3,92 миллиона долларов США.
Отчет же показывает, что расходы на устранение нарушений (включая отток клиентов, штрафов, затрат по времени и пр.) возросли на 1,6% в 2018 году и на 12% за последние пять лет.
Утечки данных происходят все чаще и становятся дороже
Средний размер утечек данных в 2019 составляет 25 575 записей, что на 3,9% больше, чем в 2018 году. Каждая потерянная запись в среднем стоит около 150 долларов США, хотя в секторе финансов стоимость возрастает до 210 долларов, а в здравоохранении – до 429. Но на окончательную стоимость влияет фактор подготовленности организации к инцидентам кибербезопасности.
По данным IBM, утечка в 1 миллион записей может обойтись компании в 42 миллиона долларов, а потеря 50 миллионов записей уже будет стоить компании 388 миллионов долларов.
В менее регулируемых отраслях, таких как розничная торговля и гостиничный бизнес, средние затраты на инциденты составляют менее 2 миллиона долларов США.
Распределение утечек данных в российских отраслях в исследованиях Infowatch.
Согласно отчету Sophos 2020 средняя стоимость успешной атаки вымогателей составляет:
- 733 000 долларов для организаций, которые не платят выкуп.
- И до 1 448,00 долларов для организаций, которые платят.
- Однако застрахованным от вымогателей компаниям, заплатившим выкуп, почти всегда (94%) страховая фирма оплачивает траты.
Медленное реагирование на утечку увеличивают затраты
Эксперты IBM обнаружили, что для выявления и устранения нарушений требуется около 279 дней (в прошлом году было 266 дней). Компании, «разобравшиеся» с инцидентом менее, чем за 200 дней, потратили в среднем на 1,2 миллиона долларов меньше.
По статистике быстрее всего обнаруживают и устраняют нарушения немецкие организации (170 дней) и южноафриканские (226 дней). Дольше всех с нарушениями работают в компаниях Бразилии (361) и Ближнего Востока (381).
Что касается сферы деятельности, то больше всего времени тратят медицинские, общественные и развлекательные организации (310 дней), а быстрее справляются с нарушениями секторы финансов, технологий и исследований.
С введением GDPR стоит учитывать и большие штрафы, налагаемые за нарушения конфиденциальности. Например, британская компания ICO выплатила 124 миллиона долларов за несоблюдение правил GDPR.
Влияние утечки данных на стоимость акций
Компания Compatitech проанализировала акции компаний после взломов данных и выяснила, что нарушения не всегда оказывают долгосрочное влияние. Вот ключевые выводы из исследования:
- Цены акций достигли минимума примерно через 14 рыночных дней после нарушения.
- В среднем они падают на 7,27%.
- Через шесть месяцев после нарушения анализируемые компании показали лучшие результаты. За шесть месяцев, предшествовавших нарушению, средняя цена акций выросла на 4,1% по сравнению с 7,4% после нарушения.
- В долгосрочной перспективе нарушенные компании уступили рынку. Через 1 год цена акций выросла в среднем на 8,38%. Через 2 года средняя цена акций выросла на 12,78%. А через три года средняя цена акций выросла на 32,53%.
- Финансовые и платежные компании увидели наибольшее падение цен на акции после нарушения, в то время как медицинские компании пострадали меньше всего.
- Нарушения, которые допускают утечку очень конфиденциальной информации (номера кредитных карт и социального страхования) в среднем приводят к более значительному снижению цен на акции, чем другие.
Исследование Compatitech также показывает, что недавние нарушения оказывают меньшее негативное влияние на цену акций, чем более старые, что является признаком усталости от нарушений среди потребителей, очевидно, привыкших к краже данных.
Как уменьшить стоимость утечки данных
Снизить стоимость взлома помогут:
- IR-группы (команды реагирования на инциденты).
- Автоматизация безопасности.
- Автономное резервное копирование.
Все это может снизить потенциальную стоимость взлома. В компаниях, где есть команда реагирования на инциденты (IR), в среднем снижаются затраты на 1,23 миллиона долларов по сравнению с теми, у кого не было мер по реагированию на инциденты.
Обучение сотрудников, киберстрахование и привлечение совета директоров к безопасности снижают стоимость взлома в среднем на 100 000 долларов. А вот нарушения, исходящие от третьих сторон, Интернета вещей или операционных технологий, могут увеличить стоимость нарушения более, чем на 100 000 долларов.
