Ny Rapport Fra IBM | De Faktiske Omkostninger Ved Et Databrud I 2024

I 2024 koster det gennemsnitlige databrud 4.88 millioner dollars

Hvis det lyder som mange penge, er du ikke alene.

Omkostningerne er steget 26,4% i forhold til omkostningerne ved et databrud i 2020. Så databrud koster meget og bliver dyrere for hvert år. Siden databrud koster så mange penge, bør forebyggelse at et brud ved at vedligeholde gode sikkerhedspraksisser være en prioritet 

Hvad der har ændret sig fra sidste år

I forhold til 2023 rapporten, så er databrud blevet dyrere i 2024.

Sidste år var de gennemsnitlige omkostninger af et databrud på $4.45 millioner, og dette år er de gennemsnitlige omkostninger på $4.88 millioner. En forklaring på de højere omkostninger er en stigning i betalinger fra sundhedsorganisationer. 

Dette års rapport giver indsigt i effekten af omfattende sikkerheds-AI og automatisering på de økonomiske konsekvenser af et brud.

Denne rapport viser også, hvordan brud identificeres, hvad enten det er af en organisations egne sikkerhedsteams, en anden tredjepart eller den som udføre angrebet. 

Remote work er stadig en faktor, der øger omkostningerne ved databrud. 

Til slut, så viste det sig at I år var phishing den mest normale form for sikkerhedsbrud efterfulgt af kompromitteret information.

Nu da vi har dækket nogle af hovedpunkterne fra IBM's rapport fra 2024, så er det tid til at snakke om, hvordan de har lavet rapporten Nu går vi hurtigt gennem IBM’s undersøgelsesmetoder, samt hvad de har fundet ud af om brud i Skandinavien.

Hvordan rapporten er lavet 

For at indsamle data til rapporten, interviewede IBM 3,566 mennesker fra 604 organisationer på tværs af verden. For bedst at udregne de gennemsnitlige omkostninger ved et brud, ekskluderede IBM de mindste og største databrud. IBM har dog en sektion på “mega brud”, hvis du er interesserede i at se nogle lidt større tal. Udover dette, så kom størstedelen af deres stikprøve fra disse industrier: finansiel, ydelser, industrielle og teknologi.

Hvad betyder det for små virksomheder

Fordi resultaterne er baseret på gennemsnit, så kan det godt være svært for små virksomheder at se dem selv i resultaterne. Hvis det lyder som dig, så opfordrer vi dig til at være opmærksom på trendsne ift. hvordan brud sker, og den effekt de kan have på virksomheder, frem for dollartallet, der bliver rapporteret 

F.eks. så er det højst usandsynligt, at et phishingangreb vil koste din virksomhed det gennemsnitlige ($4.91 millioner), det er dog højst sandsynligt at din organisation vil modtage phishing angreb, fordi de er en af de mest almindelig grunde til databrud. Så, vi forventer at tendenser og anbefalingerne vil være brugbare for dig, selvom omkostningerne virker urealistisk.

Databrud i Skandinavien

I år blev skandinavien ikke en specifik del af rapporten, så tallene herunder er fra forrige års rapport.

For at give det hele et mere lokalt perspektiv, så udgør de skandinaviske lande 4% af den sample der blev undersøgt i år. Interessant nok, så blev omkostningerne mindre i de skandinaviske virksomheder i det her år. I 2022 var de gennemsnitlige omkostninger på et brud i Skandinavien på $2.08 millioner, mens det her år er de gennemsnitlige omkostninger faldet til $1.91 millioner. Kun Brasilien havde i gennemsnit færre omkostninger ved et brud end Skandinavien.   

Databrud bliver mere almindelige

Cyberangreb, der involverer databrud, bliver mere almindelige. Omkostningerne, der opstår som resultat af disse angreb, stiger også.

• I 2009 viste estimater, at et cyberangreb fandt sted hver 39 sekunder

• I 2022 steg frekvensen af angreb til én gang hver 11 sekunder

Så da databrud sker oftere og koster virksomheder flere penge, er det sikkert at sige, at vi bør være opmærksomme på dette problem.

Mindre organisationer ser omkostninger ved for databrud

I IBM's 2023-rapport står det klart, at organisationer står over for en meget større stigning i omkostningerne ved databrud. Her er nogle tal fra rapporten:

• Organisationer med færre end 500 ansatte rapporterede, at den gennemsnitlige konsekvens af et databrud steg til $3,31 millioner eller en stigning på 13,4% fra 2022.
• Dem med 500-1.000 ansatte oplevede en stigning på 21,4 %, fra $2,71 millioner til $3,29 millioner USD.  
  
• I intervallet 1.001-5.000 ansatte steg de gennemsnitlige omkostninger ved et databrud fra $4,06 millioner til $4,87 millioner USD, en stigning på næsten 20%.  
  
  Det er dårligt nyt. Højere priser oven på et tab af kundetillid, kan skubbe kunderne hen mod konkurrenterne. 

Alle typer organisationer er sårbare over for et databrud

Store organisationer, især inden for sundhedsvæsenet, er fælles mål

Cyberkriminelle er kloge. De ved, hvilke typer virksomheder der har mest at tabe på et databrud, og hvem der har råd til at betale anmodninger om løsesum. Store organisationer ender også med at modtage de største bøder for at overtræde GDPR.

Med dette i tankerne giver det mening, at store organisationer såsom sundhedsvirksomheder har de højeste omkostninger, når de oplever et databrud. Tænk på alle de personlige oplysninger om patienter, som hackere kan få adgang til. Sundhedsorganisationer har brug for adgang til patienters journaler for at kunne tage sig af dem. Derudover skal de bevare deres patienters tillid, når det kommer til deres følsomme oplysninger. Mængden af følsomme data, sundhedsorganisationer har, og deres villighed til at betale for kontrol over disse journaler, gør sundhedsorganisationer til et godt mål for dyre databrud.

Faktisk er omkostningerne ved et databrud for en sundhedsorganisation mere end det dobbelte af det samlede gennemsnit i 2024, nemlig $9.77 millioner.

Selvom større virksomheder er mere oplagte mål for cyberkriminelle, lider små virksomheder også af databrud. Seks måneder efter de oplever et brud bliver 60% af små virksomheder nødt til at lukke helt ned. Siden små virksomheder mangler de massive IT-sikkerhedsbudgetter og institutionelle ressourcer, som store virksomheder har, så er de mere sårbare overfor virksomheds-endende brud. 

Det giver god mening, siden organisationer normalt giver konsekvenserne af et brud videre over på deres kunder i form af højere priser. Det er nemt for kunder at vælge en ny forretningspartner, når de mister troværdig i en virksomhed pga. et brud, og når virksomheden øger deres priser. 

Hvordan databrud sker

For at reducere risikoen for, at din organisation bliver offer for et databrud, skal du vide, hvordan databrud overhovedet opstår. De tre mest almindelige kilder til databrud i 2024 er

• Phishing
  

• Kompromitterede kontooplysninger

• Malicious insiders

Phishing og Kompromitterede kontooplysninger er de mest almindelige årsager

Den hyppigste måde, hvorpå hackere kommer ind i en virksomheds system, er ved at få adgang til en medarbejders kontooplysninger.

Disse former for angreb er de mest almindelige, og desværre tager de også længst tid at løse.

For at reducere risikoen for et brud forårsaget af kompromitterede legitimationsoplysninger er det vigtigt at have stærke adgangskoder og være opmærksom på phishing-e-mails. En måde at hjælpe dine medarbejdere med at genkende phishing-e-mails på er gennem phishing-træning. Du kan også tilføje et ekstra lag af sikkerhed til dit IT-sikkerhedsforsvar via tofaktorgodkendelse, password managers, eller en kombination af begge for at yderligere styrke IT-sikkerheden i din organisation.

Dette understreger igen vigtigheden ved opmærksomme medarbejdere, der kan spotte en phishing-e-mail.

Hvor meget databrud koster, og hvorfor de er så dyre

Omkostningerne ved et databrud

At komme sig over et databrud involverer både direkte omkostninger og indirekte omkostninger. For eksempel kan direkte omkostninger omfatte behovet for at hyre et IT-kriminalteknisk hold til at undersøge bruddet og reparere beskadigede systemer. En stor indirekte omkostning er den omdømmeskade, som virksomheder oplever efter at være blevet ofre for et brud. Nedenfor kan du se de forskellige udgiftsområder, der er involveret i et databrud. Tallene er fra rapporten fra 2022. 

• 30%: omkostninger fra tabt forretning - skade på omdømme

• 33%: identifikation og eskalering af bruddet - revisioner og undersøgelser

• 27%: respons efter brud - tjenester til ofre, f.eks. helpdesk og kreditovervågning

• 8%: oplysning - meddelelse til kunder og regulatorer om bruddet via mail, telefon, e-mail mv.

Den største omkostning er tab af forretning

Tabt forretning er den største kategori af omkostninger forbundet med brud – det koster i gennemsnit 1,47 millioner dollars pr. brud.

Sæt dig selv i en kundes sted. Når du hører nyheder om databruddet, begynder du at miste tilliden til den virksomhed, der oplevede cyberangrebet. Hvis du er en nuværende kunde, ønsker du måske at stoppe med at handle med dem, og hvis du er en potentiel kunde, kan du vælge en anden leverandør, der leverer den samme service.

I bund og grund er databrud altså dårligt for forretningen.

Selv efter at virksomheden har gendannet alle følsomme data, kan det tage år for dem at genvinde kundernes tillid.

Ud over det lider mange virksomheder også af tabt indtægt fra det tidspunkt, hvor deres tjenester går ned under bruddet, hvilket efterlader kunder uden adgang. Dette er især tilfældet ved ransomware-angreb, hvor ransomwaren bringer en virksomhed “offline” i en periode.

At have en plan for bekæmpelse af brud, kan virkelig hjælpe din organisation med at reagere hurtigere. Hvis et brud faktisk sker, så skader det altså ikke at have en på plads. 

Nogle faktorer gør et databrud dyrere

• Hvor lang tid det tager at lokalisere og begrænse bruddet

• Mængden af information, der er kompromitteret

• Sikkerhedsforanstaltninger, som virksomheden indfører efter bruddet for at beskytte sine egne data og de personer, hvis oplysninger blev kompromitteret under angrebet

At have en plan for bekæmpelse af brud, kan virkelig hjælpe din organisation med at reagere hurtigere. Hvis et brud faktisk sker, så skader det altså ikke at have en på plads.

Ransomware-angreb indebærer ekstra omkostninger, hvilket gør dem dyrere

Et brud kan blive dyrere, når løsepenge er involveret, hvilket ofte er tilfældet i ransomware-angreb. Det skyldes, at virksomheden skal komme sig over selve bruddet og potentielt betale en løsesum til de cyberkriminelle. Uden at betale løsesummen kan virksomheden have problemer med at få adgang til sine systemer og vigtige filer igen.

På grund af de ekstra omkostninger er ransomware-angreb dyrere at komme sig over end brud, der ikke involverer ransomware. 

Selvom det kan virke som om, at du skal betale løsesummen, hvis du er en del af et ransomware-angreb, foreslår vi ikke at sende penge til de cyberkriminelle. Dette skyldes, at du muligvis ikke får dine data tilbage i den oprindelige tilstand, og din betalingsvillighed kan tilskynde og opfordre til fremtidige angreb. 

Det bedste du kan gøre, er at forhindre et angreb.

Jo hurtigere du reagerer, jo mindre vil et brud koste dig

Vi kender alle ordsproget, “tid er penge”. Men seriøst – når det kommer til databrud, hver dag et brud forbliver uopdaget, stiger løsningsomkostningerne. 

Virkeligheden er, at det tager meget længere tid at identificere et brud, end det tager at begrænse et, men begge processer kan være langvarige. I 2024 tog det i gennemsnit 258 dage at identificere og kontrollere bruddet.

Med andre ord tager et gennemsnitligt brud omkring ¾ af et år at komme sig over. Dette kan virke som lang tid, og tro det eller ej, det tager os faktisk længere tid at løse databrud nu end det gjorde tidligere år. Det er nemmere at opdage brud, hvis du bruger praksisser såsom SIEM og logstyring. Tekniske løsninger som disse kan være brugbare for mindre organisationer, der har færre menneskelige ressourcer i IT-afdelingen. 

AI og automatisering af sikkerhed hjælper med at identificere og mindske databrud

AI og automatisering har været et centralt emne gennem hele 2024. Og det har også vist sig at have en positiv indvirkning på databrud, for med AI og automatisering er organisationer 100 dage hurtigere til at identificere og inddæmme et databrud end organisationer, der ikke bruger det.

Det betyder, at det kun tog 61% af den tid, det tog organisationer uden brug af AI og automatisering at identificere og mindske databrud.

I 2024-rapporten var det kun 31% af organisationerne, der brugte AI og automatisering til IT-sikkerhed, hvilket betyder, at mange organisationer har en mulighed for at forbedre deres hastighed, nøjagtighed og effektivitet. Omfattende brug af sikkerheds-AI og automatisering sparede næsten $1,88 millioner i omkostninger til databrud og fremskyndede tiden til at identificere og mindske bruddet. 

Det er måske urealistisk for små virksomheder at implementere sine egne AI-løsninger den dag i dag, men det er værd at holde øje med, om der kommer nogle let-tilgængelige løsninger, da AI bliver mere og mere udbredt og billigere og billigere.

Databrud, persondata og GDPR

Hvis der sker et databrud i din organisation, har GDPR nogle krav i forhold til underretninger, du skal give. For eksempel skal du underrette den nationale tilsynsmyndighed med det samme og højst 72 timer efter, at du er blevet opmærksom på bruddet, medmindre det er højst usandsynligt, at persondata blev kompromitteret under bruddet.

I denne meddelelse skal du beskrive arten af bruddet, typen og mængden af kompromitterede data, kontaktoplysningerne på din databeskyttelsesansvarlige, de forventede konsekvenser og de handlinger, du allerede har truffet eller planlægger at tage som respons. Du skal også underrette de personer, hvis data blev påvirket af bruddet, uden unødig forsinkelse, hvis du beslutter, at de kan være i høj risiko.

Nu har vi dækket, hvordan brud opstår, og hvorfor de er så dyre. Lad os nu gå videre til måder, hvorpå du kan beskytte din organisation mod brud og reducere omkostningerne ved et brud, hvis det sker.

Tiltag du kan tage for at forhindre brud og mindske omkostningerne

Forebyggelse af databrud

Reducering af sandsynligheden og omkostningerne for et databrud