Az IBM a Ponemon Institute közreműködésével rendszeresen elkészíti a Cost of Data Breach elnevezésű jelentést, amely nevéhez hűen többek között arra keresi a választ, hogy egy-egy incidens átlagosan mennyire (vagy pontosabban: mennyibe) fáj az adott szervezetnek.

A kutatásba kizárólag olyan szervezeteket vonnak be, ahol az elmúlt 12 hónap során tényleges adatlopás történt. A mostani anyag összeállításához 17 ország 550 vállalatának képviselőit szondázták meg a témában. A probléma kiterjedtségére és általánossá válására utal, hogy a megkérdezett szervezetek mindössze 17 százaléka mondta azt, hogy ez volt az első adatbetöréses ügyük.

A héten közzétett idei anyag főbb számaiból rögtön látszik, hogy a kiberbiztonságban sem ismeretlen fogalom az infláció. Átlagosan jelenleg 4,35 millió dollárba kerül egy incidens, ami közel 13 százalékkal több, mint amire a két évvel ezelőtti felmérés jutott.

Régiós viszonylatban nagy szórás mutatkozik a témában. Legrosszabbul az egyesült államokbeli célpontok járnak: az USA-ban egy adatvédelmi incidens átlagos költsége már megközelíti a 9,5 millió dollárt (ez nagyjából 5 százalékos éves emelkedést jelent). A közel-keleti régióban 7,5 millió, Kanadában 5,6 millió, az Egyesült Királyságban pedig nagyjából 5 millió dollárra rúg egy-egy ilyen eset nem kívánt számlája.

A 17 vizsgált ország között azonban akadt hat olyan, ahol éves alapon csökkentek a tételek. Ez tapasztalták például Japánban, Dél-Koreában és Franciaországban.

Ágazati bontásban kimagaslóan kényes helyzetben van az egészségügy. Ebben a szektorban ugyanis az átlaghoz képest több mint kétszeres árat kell fizetni az adatlopások következtében. A területen kimutatott átlagos adatvesztési költség 2020 óta bő 40 százalékkal emelkedett, és immár 10,1 milliónál jár.  

Ne az emberekkel...

Mint kiderült, teljesen általános gyakorlat, hogy az adatlopásokkal összefüggésben keletkező, néha az incidenst követően még éven túl is felbukkanó kiadásokat egyszerűen átterhelik az ügyfelekre. A megkérdezettek 60 százaléka számolt be arról, hogy kifejezetten az adatbetörés miatt emelték termékeik és szolgáltatásaik árát.

A megtámadott szervezeteknek az idei válaszok alapján átlagosan 207 napra volt szüksége arra, hogy egyáltalán beazonosítsa a jogsértést. A védekezési és helyreállítási munkálatok pedig átlag 70 napot vettek igénybe. Bár ezek a számok magasnak tűnhetnek, a helyzet javulóban van, hiszen tavaly az észlelési intervallum 212, az elhárítási pedig 75 napos volt.

Informatikai hibák okozták a rögzített adatlopások nagyjából negyedét (24%). Ide sorolja a jelentés például az alkalmazott forráskódokban vagy folyamatokban meglévő hibákat. Közel ugyanennyiszer (21%) okoztak gondot a cégeknek a hanyag alkalmazottak és gondatlan külső vállalkozók.

A jogsértések mintegy ötöde (19%) az ellátási láncot ért támadás eredménye volt. Egy ilyenre szolgáltatott hangos példát a SolarWinds esete, amelynek frissítési csomagját kompromittálták orosznak titulált hekkerek, hogy aztán kormányzati és üzleti szervezetek tömkelegének rendszerébe nyerjenek bebocsátást.

A mostanában szinte naponta címlapra kerülő zsarolóvírusos támadások ugyanakkor csak 11 százalékát tették ki a vizsgált eseteknek. A látszólagos ellentmondást némileg feloldja, ha hozzátesszük, hogy ez a 11 százalék a tavaly 7,8-hez képest több mint 40 százalékos éves emelkedést mutat.