Ny Rapport Fra IBM | De Faktiske Omkostninger Ved Et Databrud I 2024
Hvert år bliver omkostningerne ved et databrud højere og højere. Det her år er ingen undtagelse ifølge IBM'S 2024 Cost of a Data Breach rapport. Dette blogindlæg bruger de seneste data for at afsløre, hvor dyrt et cyberangreb kan være for dig og din organisation.
Vi fremhæver også tendenser, som du skal være opmærksom på. Nogle af tallene er ret høje, da databrud i store organisationer selvsagt er dyrere end i små, men læringerne kan forhåbentligt overføres. Men blive ikke skræmt af de store tal.
Selvom det et rimeligt tungt emne, så slutter vi på en lettere tone med handlingsrettede anbefalinger, som du kan gøre brug af for at forbedre din organisations sikkerhed og mindske din risiko for et databrud.
Indholdsfortegnelse
- Databrud i Skandinavien
-
Databrud bliver mere almindelige
- Mange organisationer har oplevet samtlige databrud
-
Alle typer organisationer er sårbare over for et databrud
-
Hvordan databrud sker
-
Hvor meget databrud koster, og hvorfor de er så dyre
- Databrud, persondata og GDPR
-
Tiltag du kan tage for at forhindre brud og mindske omkostningerne
-
Tabel: Gennemsnitlige omkostninger ved forskellige typer brud
Seneste tendenser inden for databrud
Hvis det lyder som mange penge, er du ikke alene.
Omkostningerne er steget 26,4% i forhold til omkostningerne ved et databrud i 2020. Så databrud koster meget og bliver dyrere for hvert år. Siden databrud koster så mange penge, bør forebyggelse at et brud ved at vedligeholde gode sikkerhedspraksisser være en prioritet
Hvad der har ændret sig fra sidste år
I forhold til 2023 rapporten, så er databrud blevet dyrere i 2024.
Sidste år var de gennemsnitlige omkostninger af et databrud på $4.45 millioner, og dette år er de gennemsnitlige omkostninger på $4.88 millioner. En forklaring på de højere omkostninger er en stigning i betalinger fra sundhedsorganisationer.
Dette års rapport giver indsigt i effekten af omfattende sikkerheds-AI og automatisering på de økonomiske konsekvenser af et brud.
Denne rapport viser også, hvordan brud identificeres, hvad enten det er af en organisations egne sikkerhedsteams, en anden tredjepart eller den som udføre angrebet.
Remote work er stadig en faktor, der øger omkostningerne ved databrud.
Til slut, så viste det sig at I år var phishing den mest normale form for sikkerhedsbrud efterfulgt af kompromitteret information.
Nu da vi har dækket nogle af hovedpunkterne fra IBM's rapport fra 2024, så er det tid til at snakke om, hvordan de har lavet rapporten Nu går vi hurtigt gennem IBM’s undersøgelsesmetoder, samt hvad de har fundet ud af om brud i Skandinavien.
Hvordan rapporten er lavet
For at indsamle data til rapporten, interviewede IBM 3,566 mennesker fra 604 organisationer på tværs af verden. For bedst at udregne de gennemsnitlige omkostninger ved et brud, ekskluderede IBM de mindste og største databrud. IBM har dog en sektion på “mega brud”, hvis du er interesserede i at se nogle lidt større tal. Udover dette, så kom størstedelen af deres stikprøve fra disse industrier: finansiel, ydelser, industrielle og teknologi.
Hvad betyder det for små virksomheder
Fordi resultaterne er baseret på gennemsnit, så kan det godt være svært for små virksomheder at se dem selv i resultaterne. Hvis det lyder som dig, så opfordrer vi dig til at være opmærksom på trendsne ift. hvordan brud sker, og den effekt de kan have på virksomheder, frem for dollartallet, der bliver rapporteret
F.eks. så er det højst usandsynligt, at et phishingangreb vil koste din virksomhed det gennemsnitlige ($4.91 millioner), det er dog højst sandsynligt at din organisation vil modtage phishing angreb, fordi de er en af de mest almindelig grunde til databrud. Så, vi forventer at tendenser og anbefalingerne vil være brugbare for dig, selvom omkostningerne virker urealistisk.
Databrud i Skandinavien
I år blev skandinavien ikke en specifik del af rapporten, så tallene herunder er fra forrige års rapport.
For at give det hele et mere lokalt perspektiv, så udgør de skandinaviske lande 4% af den sample der blev undersøgt i år. Interessant nok, så blev omkostningerne mindre i de skandinaviske virksomheder i det her år. I 2022 var de gennemsnitlige omkostninger på et brud i Skandinavien på $2.08 millioner, mens det her år er de gennemsnitlige omkostninger faldet til $1.91 millioner. Kun Brasilien havde i gennemsnit færre omkostninger ved et brud end Skandinavien.
Cyberangreb, der involverer databrud, bliver mere almindelige. Omkostningerne, der opstår som resultat af disse angreb, stiger også.
-
I 2009 viste estimater, at et cyberangreb fandt sted hver 39 sekunder
-
I 2022 steg frekvensen af angreb til én gang hver 11 sekunder
Så da databrud sker oftere og koster virksomheder flere penge, er det sikkert at sige, at vi bør være opmærksomme på dette problem.
Mindre organisationer ser omkostninger ved for databrud
I IBM's 2023-rapport står det klart, at organisationer står over for en meget større stigning i omkostningerne ved databrud. Her er nogle tal fra rapporten:
- Organisationer med færre end 500 ansatte rapporterede, at den gennemsnitlige konsekvens af et databrud steg til $3,31 millioner eller en stigning på 13,4% fra 2022.
- Dem med 500-1.000 ansatte oplevede en stigning på 21,4 %, fra $2,71 millioner til $3,29 millioner USD.
- I intervallet 1.001-5.000 ansatte steg de gennemsnitlige omkostninger ved et databrud fra $4,06 millioner til $4,87 millioner USD, en stigning på næsten 20%.
Det er dårligt nyt. Højere priser oven på et tab af kundetillid, kan skubbe kunderne hen mod konkurrenterne.
Cyberkriminelle er kloge. De ved, hvilke typer virksomheder der har mest at tabe på et databrud, og hvem der har råd til at betale anmodninger om løsesum. Store organisationer ender også med at modtage de største bøder for at overtræde GDPR.
Med dette i tankerne giver det mening, at store organisationer såsom sundhedsvirksomheder har de højeste omkostninger, når de oplever et databrud. Tænk på alle de personlige oplysninger om patienter, som hackere kan få adgang til. Sundhedsorganisationer har brug for adgang til patienters journaler for at kunne tage sig af dem. Derudover skal de bevare deres patienters tillid, når det kommer til deres følsomme oplysninger. Mængden af følsomme data, sundhedsorganisationer har, og deres villighed til at betale for kontrol over disse journaler, gør sundhedsorganisationer til et godt mål for dyre databrud.
Faktisk er omkostningerne ved et databrud for en sundhedsorganisation mere end det dobbelte af det samlede gennemsnit i 2024, nemlig $9.77 millioner.
Kritiske funktioner betaler en højere pris
Udover sundhedsvirksomheder, så er andre kritisk infrastrukturelle organisationer modtagelige overfor databrud med prisskilte langt højere end gennemsnittet på et brud. Kritisk infrastrukturelle organisationer, inkluderer de følgende sektorer: Finansielle tjenester, industrielle, teknologi, energi, transport, kommunikation, sundhedsvæsenet, uddannelse og industrier inden for den offentlige sektor.
Små organisationer er også sårbare
Selvom større virksomheder er mere oplagte mål for cyberkriminelle, lider små virksomheder også af databrud. Seks måneder efter de oplever et brud bliver 60% af små virksomheder nødt til at lukke helt ned. Siden små virksomheder mangler de massive IT-sikkerhedsbudgetter og institutionelle ressourcer, som store virksomheder har, så er de mere sårbare overfor virksomheds-endende brud.
Det giver god mening, siden organisationer normalt giver konsekvenserne af et brud videre over på deres kunder i form af højere priser. Det er nemt for kunder at vælge en ny forretningspartner, når de mister troværdig i en virksomhed pga. et brud, og når virksomheden øger deres priser.
For at reducere risikoen for, at din organisation bliver offer for et databrud, skal du vide, hvordan databrud overhovedet opstår. De tre mest almindelige kilder til databrud i 2024 er
- Phishing
-
Kompromitterede kontooplysninger
-
Malicious insiders
Den hyppigste måde, hvorpå hackere kommer ind i en virksomheds system, er ved at få adgang til en medarbejders kontooplysninger.
Disse former for angreb er de mest almindelige, og desværre tager de også længst tid at løse.
For at reducere risikoen for et brud forårsaget af kompromitterede legitimationsoplysninger er det vigtigt at have stærke adgangskoder og være opmærksom på phishing-e-mails. En måde at hjælpe dine medarbejdere med at genkende phishing-e-mails på er gennem phishing-træning. Du kan også tilføje et ekstra lag af sikkerhed til dit IT-sikkerhedsforsvar via tofaktorgodkendelse, password managers, eller en kombination af begge for at yderligere styrke IT-sikkerheden i din organisation.
Dette understreger igen vigtigheden ved opmærksomme medarbejdere, der kan spotte en phishing-e-mail.
At komme sig over et databrud involverer både direkte omkostninger og indirekte omkostninger. For eksempel kan direkte omkostninger omfatte behovet for at hyre et IT-kriminalteknisk hold til at undersøge bruddet og reparere beskadigede systemer. En stor indirekte omkostning er den omdømmeskade, som virksomheder oplever efter at være blevet ofre for et brud. Nedenfor kan du se de forskellige udgiftsområder, der er involveret i et databrud. Tallene er fra rapporten fra 2022.
-
30%: omkostninger fra tabt forretning - skade på omdømme
-
33%: identifikation og eskalering af bruddet - revisioner og undersøgelser
-
27%: respons efter brud - tjenester til ofre, f.eks. helpdesk og kreditovervågning
-
8%: oplysning - meddelelse til kunder og regulatorer om bruddet via mail, telefon, e-mail mv.
Tabt forretning er den største kategori af omkostninger forbundet med brud – det koster i gennemsnit 1,47 millioner dollars pr. brud.
Sæt dig selv i en kundes sted. Når du hører nyheder om databruddet, begynder du at miste tilliden til den virksomhed, der oplevede cyberangrebet. Hvis du er en nuværende kunde, ønsker du måske at stoppe med at handle med dem, og hvis du er en potentiel kunde, kan du vælge en anden leverandør, der leverer den samme service.
I bund og grund er databrud altså dårligt for forretningen.
Selv efter at virksomheden har gendannet alle følsomme data, kan det tage år for dem at genvinde kundernes tillid.
Ud over det lider mange virksomheder også af tabt indtægt fra det tidspunkt, hvor deres tjenester går ned under bruddet, hvilket efterlader kunder uden adgang. Dette er især tilfældet ved ransomware-angreb, hvor ransomwaren bringer en virksomhed “offline” i en periode.
At have en plan for bekæmpelse af brud, kan virkelig hjælpe din organisation med at reagere hurtigere. Hvis et brud faktisk sker, så skader det altså ikke at have en på plads.
De totale omkostninger ved et brud afhænger for det meste af, hvor effektivt en organisation kan reagere på det. Jo hurtigere du kan reagere på et brud, jo billigere vil det være at administrere. Nogle faktorer, der påvirker omkostningerne ved et brud, er:
- Eksisterende sikkerheds- og detektionspraksis
-
Hvor lang tid det tager at lokalisere og begrænse bruddet
-
Mængden af information, der er kompromitteret
-
Sikkerhedsforanstaltninger, som virksomheden indfører efter bruddet for at beskytte sine egne data og de personer, hvis oplysninger blev kompromitteret under angrebet
At have en plan for bekæmpelse af brud, kan virkelig hjælpe din organisation med at reagere hurtigere. Hvis et brud faktisk sker, så skader det altså ikke at have en på plads.
Et brud kan blive dyrere, når løsepenge er involveret, hvilket ofte er tilfældet i ransomware-angreb. Det skyldes, at virksomheden skal komme sig over selve bruddet og potentielt betale en løsesum til de cyberkriminelle. Uden at betale løsesummen kan virksomheden have problemer med at få adgang til sine systemer og vigtige filer igen.
På grund af de ekstra omkostninger er ransomware-angreb dyrere at komme sig over end brud, der ikke involverer ransomware.
Selvom det kan virke som om, at du skal betale løsesummen, hvis du er en del af et ransomware-angreb, foreslår vi ikke at sende penge til de cyberkriminelle. Dette skyldes, at du muligvis ikke får dine data tilbage i den oprindelige tilstand, og din betalingsvillighed kan tilskynde og opfordre til fremtidige angreb.
Det bedste du kan gøre, er at forhindre et angreb.
Vi kender alle ordsproget, “tid er penge”. Men seriøst – når det kommer til databrud, hver dag et brud forbliver uopdaget, stiger løsningsomkostningerne.
Virkeligheden er, at det tager meget længere tid at identificere et brud, end det tager at begrænse et, men begge processer kan være langvarige. I 2024 tog det i gennemsnit 258 dage at identificere og kontrollere bruddet.
Med andre ord tager et gennemsnitligt brud omkring ¾ af et år at komme sig over. Dette kan virke som lang tid, og tro det eller ej, det tager os faktisk længere tid at løse databrud nu end det gjorde tidligere år. Det er nemmere at opdage brud, hvis du bruger praksisser såsom SIEM og logstyring. Tekniske løsninger som disse kan være brugbare for mindre organisationer, der har færre menneskelige ressourcer i IT-afdelingen.
AI og automatisering har været et centralt emne gennem hele 2024. Og det har også vist sig at have en positiv indvirkning på databrud, for med AI og automatisering er organisationer 100 dage hurtigere til at identificere og inddæmme et databrud end organisationer, der ikke bruger det.
Det betyder, at det kun tog 61% af den tid, det tog organisationer uden brug af AI og automatisering at identificere og mindske databrud.
I 2024-rapporten var det kun 31% af organisationerne, der brugte AI og automatisering til IT-sikkerhed, hvilket betyder, at mange organisationer har en mulighed for at forbedre deres hastighed, nøjagtighed og effektivitet. Omfattende brug af sikkerheds-AI og automatisering sparede næsten $1,88 millioner i omkostninger til databrud og fremskyndede tiden til at identificere og mindske bruddet.
Det er måske urealistisk for små virksomheder at implementere sine egne AI-løsninger den dag i dag, men det er værd at holde øje med, om der kommer nogle let-tilgængelige løsninger, da AI bliver mere og mere udbredt og billigere og billigere.
Hvis der sker et databrud i din organisation, har GDPR nogle krav i forhold til underretninger, du skal give. For eksempel skal du underrette den nationale tilsynsmyndighed med det samme og højst 72 timer efter, at du er blevet opmærksom på bruddet, medmindre det er højst usandsynligt, at persondata blev kompromitteret under bruddet.
I denne meddelelse skal du beskrive arten af bruddet, typen og mængden af kompromitterede data, kontaktoplysningerne på din databeskyttelsesansvarlige, de forventede konsekvenser og de handlinger, du allerede har truffet eller planlægger at tage som respons. Du skal også underrette de personer, hvis data blev påvirket af bruddet, uden unødig forsinkelse, hvis du beslutter, at de kan være i høj risiko.
Nu har vi dækket, hvordan brud opstår, og hvorfor de er så dyre. Lad os nu gå videre til måder, hvorpå du kan beskytte din organisation mod brud og reducere omkostningerne ved et brud, hvis det sker.
Det siger sig selv, at den bedste måde at reducere omkostningerne ved et brud på er ved at undgå et i første omgang. Forebyggelse af databrud er et stort emne, så vi vil ikke gå for meget i dybden med det i dette indlæg. Vi foreslår en masse forskellige omfattende forebyggelsesmetoder i andre blogindlæg. Nogle eksempler på måder du kan forhindre et brud på er:
- Sørg for, at softwaren på alle dine enheder er opdateret
- Træn dit personale til at være opmærksomme på bedste praksis for sikkerhed
- Udfør sårbarhedsvurderinger
- Arbejd med leverandører, der har høje databeskyttelsesstandarder
- Krypter personlige data
- Anbefal brugen af stærke kontooplysninger/adgangskoder
Ved at vedtage disse fremgangsmåder kan du styrke din sikkerhedskultur og gøre din organisation mindre sårbar over for et sikkerhedsbrud.
Forhåbentlig bliver din organisation ikke et offer for et databrud. Men da databrud er stigende, er det sandsynligt, at din organisation kan være målet for et brud.
Vi har erfaret, at vores medarbejdere er vores største ressource, når det kommer til at forebygge og opdage databrud. En måde at reducere sandsynligheden og omkostningerne for, at et brud opstår i din virksomhed, er at skabe en stærk cybersikkerhedskultur. Da mange databrud sker på grund af menneskelige fejl, som at klikke på linket i en mistænkelig e-mail, er medarbejderne vores første forsvarslinje.
Men hvordan kan du reducere menneskelige fejl? Opmærksomme medarbejdere er mindre tilbøjelige til at begå de fejl, der fører til databrud. Derfor er det vigtigt at skabe og vedligeholde opmærksomhed om cybersikkerhed og korrekt datahåndtering i din organisation. Det kan gøres på mange måder, for eksempel gennem awareness-trænings aktiviteter, simuleringer og regelmæssig eksponering for at holde dine medarbejdere skarpe. Et par måder hvorpå CyberPilot kan hjælpe dig med at opnå en stærkere sikkerhedskultur er:
- Gratis it-sikkerhed og gdpr plakater/digitale pauseskærme til at installere på dit kontor
- Awareness-træning der er hurtigt og smertefrit, med nye lektioner tilgængelige regelmæssigt for at holde dine medarbejdere opdateret om nye sikkerhedstrusler, som de burde være opmærksom på
- Phishing-træning udsætter dine medarbejdere for simulerede phishing-angreb, der lærer dem at genkende en phishing-e-mail i et lavt indsatsscenarie.
At opbygge en stærk sikkerhedskultur behøver ikke at være svært eller tidskrævende. Derudover kan det virkelig reducere din risiko for et databrud. Opmærksomme medarbejdere er sikre medarbejdere, og når det kommer til databrud, er det en omkostning, du helst vil undgå.
Her modtager du løbende inspiration, værktøjer og historier om god IT-sikkerhed – direkte i din indbakke. Vi sender ca. én gang om måneden.