Ny Rapport Fra IBM | De Faktiske Omkostninger Ved Et Databrud I 2022

Sarah Hofmann
By: Sarah Hofmann GDPR | 18 december

Hvert år bliver omkostningerne ved et databrud højere og højere. Det her år er ingen undtagelse ifølge IBM'S 2022 Cost of a Data Breach rapport. Dette blogindlæg bruger de seneste data for at afsløre, hvor dyrt et cyberangreb kan koste dig og din organisation. Vi fremhæver også tendenser inden for databrud, som du skal være opmærksom på. Selvom det et rimeligt tungt emne, så slutter vi på en lettere tone med handlingsrettede anbefalinger, som du kan gøre brug af for at forbedre din organisations sikkerhed og mindske din risiko for et databrud. 

Indholdsfortegnelse

Seneste tendenser inden for databrud


I 2022 koster det gennemsnitlige databrud 4,35 millioner dollars

Hvis det lyder som mange penge, er du ikke alene.  omkostningerne er faktisk en stigning på 13% i forhold til omkostningerne ved et databrud i 2020. Så databrud koster meget og bliver dyrere for hvert år. Siden databrud koster så mange penge, bør forebyggelse at et brud ved at vedligeholde gode sikkerhedspraksisser være en prioritet 

Hvad der har ændret sig fra sidste år

I forhold til 2021 rapporten, så er databrud blevet dyrere i 2022. Sidste år var de gennemsnitlige omkostninger af et databrud på $4.24 millioner, og dette år er de gennemsnitlige omkostninger på $4.35 millioner. En forklaring på de højere omkostninger er en stigning i betalinger fra sundhedsorganisationer, som steg med 870.000 dollars i år. 

Dette års rapport tilbød for første gang indsigt i oplevelsen af at opleve et databrud. For eksempel, så blev størstedelen af virksomheder der blev ramt af et databrud, nødt til at hæve deres priser efter et brud. 

Rapporten viser også hvor sårbare virksomheder er overfor brud, da over 80% af de organisationerne der blev undersøgt, havde oplevet mere end et brud. 

Remote work eller fjernarbejde er stadig en faktor når det kommer til den stigende pris af databrud, dog var prisen af databrud, når remote work var involveret lidt mindre i år. 

Til slut, ja så viste det sig at phishing var den største og mest almindelige årsag til databrud. I år var kompromitteret information den mest normale form for sikkerhedsbrud efterfulgt af phishing 

Nu da vi har dækket nogle af hovedpunkterne fra IBM's rapport fra 2022, så er det tid til at snakke om, hvordan de har lavet rapporten Nu går vi hurtigt gennem IBM’s undersøgelsesmetoder, samt hvad de har fundet ud af om brud i Skandinavien.

Hvordan rapporten er lavet 

For at indsamle data til rapporten, interviewede IBM 3600 mennesker fra 550 organisationer på tværs af verden. For at bedst udregne de gennemsnitlige omkostninger ved et brud, ekskluderede IBM de mindste og største databrud. IBM har dog en sektion på “mega brud”, hvis du er interesserede i at se nogle lidt større tal. Udover dette, så kom størstedelen af deres stikprøve fra disse industrier: finansiel, ydelser, industrielle og teknologi.

Hvad betyder det for små virksomheder

Fordi resultaterne er baseret på gennemsnit, så kan det godt være svært for små virksomheder at se dem selv i resultaterne. Hvis det lyder som dig, så opfordrer vi dig til at være opmærksom på trendsne ift. hvordan brud sker, og den effekt de kan have på virksomheder, frem for dollartallet, der bliver rapporteret 

F.eks. så er det højst usandsynligt, at et phishingangreb vil koste din virksomhed det gennemsnitlige ($4.91 millioner), det er dog højst sandsynligt at din organisation vil modtage phishing angreb, fordi de er en af de mest almindelig grunde til databrud. Så, vi forventer at trendsne og anbefalingerne vil være brugbare for dig, selvom omkostningerne virker urealistisk.

Databrud i Skandinavien

For at give det hele et mere lokalt perspektiv, så udgør de skandinaviske lande 4% af den sample der blev undersøgt i år. Interessant nok, så blev omkostningerne mindre i de skandinaviske virksomheder i det her år. I 2021 var de gennemsnitlige omkostninger på et brud i Skandinavien på $2.67 millioner, mens det her år er de gennemsnitlige omkostninger faldet til $2.08 millioner. Kun Brasilien og Tyrkiet havde i gennemsnit færre omkostninger ved et brud end Skandinavien.   

Databrud bliver mere almindelige

Cyberangreb, der involverer databrud, bliver mere almindelige. Omkostningerne, der opstår som resultat af disse angreb, stiger også.

  • I 2009 viste estimater, at et cyberangreb fandt sted hver 39 sekunder

  • I 2022 steg frekvensen af angreb til én gang hver 11 sekunder

Så da databrud sker oftere og koster virksomheder flere penge, er det sikkert at sige, at vi bør være opmærksomme på dette problem.

De fleste organisationer har oplevet flere sikkerhedsbrud

Af alle de organisationer som IBM undersøgte i deres 2022 rapport, så havde 83% oplevet mere end et databrud. Kan du forestille dig at skulle betale over $4 millioner for at komme dig over et cyberangreb mere end en gang? 

Som et resultat af, hvor dyre databrud er, så blev 60% af virksomhederne nødt til at gøre prisen på deres produkter eller tjenester dyrere. Det er bad news. Højere priser oven på et tab af kundetillid, kan skubbe kunderne væk mod konkurrenterne. 

Alle typer organisationer er sårbare over for et databrud

Store organisationer, især inden for sundhedsvæsenet, er fælles mål

Cyberkriminelle er kloge. De ved, hvilke typer virksomheder der har mest at tabe på et databrud, og hvem der har råd til at betale anmodninger om løsesum. Store organisationer ender også med at modtage de største bøder for at overtræde GDPR.

Med dette i tankerne giver det mening, at store organisationer såsom sundhedsvirksomheder har de højeste omkostninger, når de oplever et databrud. Tænk på alle de personlige oplysninger om patienter, som hackere kan få adgang til. Sundhedsorganisationer har brug for adgang til patienters journaler for at kunne tage sig af dem. Derudover skal de bevare deres patienters tillid, når det kommer til deres følsomme oplysninger. Mængden af følsomme data, sundhedsorganisationer har, og deres villighed til at betale for kontrol over disse journaler, gør sundhedsorganisationer til et godt mål for dyre databrud.

Faktisk er omkostningerne ved et databrud for en sundhedsorganisation mere end det dobbelte af det samlede gennemsnit i 2022, nemlig $10.10 millioner.

Kritiske funktioner betaler en højere pris

Udover sundhedsvirksomheder, så er andre kritisk infrastrukturelle organisationer modtagelige overfor databrud med prisskilte langt højere end gennemsnittet på et brud. Kritisk infrastrukturelle organisationer, inkluderer de følgende sektorer: Finansielle tjenester, industrielle, teknologi, energi, transport, kommunikation, sundhedsvæsenet, uddannelse og industrier inden for den offentlige sektor. 

 Små organisationer er også sårbare

Selvom større virksomheder er mere oplagte mål for cyberkriminelle, lider små virksomheder også af databrud. Seks måneder efter de oplever et brud bliver 60% af små virksomheder nødt til at lukke helt ned. Siden små virksomheder mangler de massive IT-sikkerhedsbudgetter og institutionelle ressourcer, som store virksomheder har, så er de mere sårbare overfor virksomheds-endende brud. 

Det giver god mening, siden organisationer normalt giver konsekvenserne af et brud videre over på deres kunder i form af højere priser. Det er nemt for kunder at vælge en ny forretningspartner, når de mister troværdig i en virksomhed pga. et brud, og når virksomheden øger deres priser. 

Hvordan databrud sker

For at reducere risikoen for, at din organisation bliver offer for et databrud, skal du vide, hvordan databrud overhovedet opstår. De tre mest almindelige kilder til databrud i 2022 er

  • Kompromitterede kontolegitimationsoplysninger

  • Phishing

  • Cloud-fejlkonfiguration

Enhver organisation burde gøre det til deres mål, at sikre, at deres medarbejdere er bevidste om, hvordan brud sker, og hvordan man forhindrer dem 

Kompromitterede kontooplysninger er den mest almindelige årsag

Den hyppigste måde, hvorpå hackere kommer ind i en virksomheds system, er ved at få adgang til en medarbejders kontooplysninger.

Billede af Risiko-analyse skabelon

Disse former for angreb er de mest almindelige, og desværre tager de også længst tid at løse. I 2022 tog disse brud i gennemsnit 327 dage i alt at opdage og begrænse.

For at reducere risikoen for et brud forårsaget af kompromitterede legitimationsoplysninger er det vigtigt at have stærke adgangskoder og være opmærksom på phishing-e-mails. En måde at hjælpe dine medarbejdere med at genkende phishing-e-mails på er gennem phishing-træning. Du kan også tilføje et ekstra lag af sikkerhed til dit IT-sikkerhedsforsvar via tofaktorgodkendelse, password managers, eller en kombination af begge for at yderligere styrke IT-sikkerheden i din organisation. 

Phishing er en af de dyreste angreb og koster i gennemsnit $4,91 millioner pr. brud. 

Dette understreger igen vigtigheden ved opmærksomme medarbejdere, der kan spotte en phishing-e-mail.

Hvor meget databrud koster, og hvorfor de er så dyre

Analyse af omkostningerne ved et databrud

At komme sig over et databrud involverer både direkte omkostninger og indirekte omkostninger. For eksempel kan direkte omkostninger omfatte behovet for at hyre et IT-kriminalteknisk hold til at undersøge bruddet og reparere beskadigede systemer. En stor indirekte omkostning er den omdømmeskade, som virksomheder oplever efter at være blevet ofre for et brud. Nedenfor kan du se de forskellige udgiftsområder, der er involveret i et databrud.

  • 33%: omkostninger fra tabt forretning - skade på omdømme

  • 33%: identifikation og eskalering af bruddet - revisioner og undersøgelser

  • 27%: respons efter brud - tjenester til ofre, f.eks. helpdesk og kreditovervågning

  • 7%: oplysning - meddelelse til kunder og regulatorer om bruddet via mail, telefon, e-mail mv.

Omkostninger ved et databrud i 2022

Lad os dykke lidt længere ned i det dyreste område, tabt forretning. Uanset, hvor stor din virksomhed er, så er tab af forretning helt sikkert en stor trussel mod din organisations fremtid. 

Den største omkostning er tab af forretning

Tabt forretning er den største kategori af omkostninger forbundet med brud – det koster i gennemsnit 1,42 millioner dollars pr. brud.

Sæt dig selv i en kundes sted. Når du hører nyheder om databruddet, begynder du at miste tilliden til den virksomhed, der oplevede cyberangrebet. Hvis du er en nuværende kunde, ønsker du måske at stoppe med at handle med dem, og hvis du er en potentiel kunde, kan du vælge en anden leverandør, der leverer den samme service.

I bund og grund er databrud altså dårligt for forretningen.

Selv efter at virksomheden har gendannet alle følsomme data, kan det tage år for dem at genvinde kundernes tillid.

Ud over det lider mange virksomheder også af tabt indtægt fra det tidspunkt, hvor deres tjenester går ned under bruddet, hvilket efterlader kunder uden adgang. Dette er især tilfældet ved ransomware-angreb, hvor ransomwaren bringer en virksomhed “offline” i en periode.

At have en plan for bekæmpelse af brud, kan virkelig hjælpe din organisation med at reagere hurtigere. Hvis et brud faktisk sker, så skader det altså ikke at have en på plads. 

Nogle faktorer gør et databrud dyrere

De totale omkostninger ved et brud afhænger for det meste af, hvor effektivt en organisation kan reagere på det. Jo hurtigere du kan reagere på et brud, jo billigere vil det være at administrere. Nogle faktorer, der påvirker omkostningerne ved et brud, er:

  • Eksisterende sikkerheds- og detektionspraksis
  • Hvor lang tid det tager at lokalisere og begrænse bruddet

  • Mængden af information, der er kompromitteret

  • Sikkerhedsforanstaltninger, som virksomheden indfører efter bruddet for at beskytte sine egne data og de personer, hvis oplysninger blev kompromitteret under angrebet

At have en plan for bekæmpelse af brud, kan virkelig hjælpe din organisation med at reagere hurtigere. Hvis et brud faktisk sker, så skader det altså ikke at have en på plads.

Ransomware-angreb indebærer ekstra omkostninger, hvilket gør dem dyrere

Et brud kan blive dyrere, når løsepenge er involveret, hvilket ofte er tilfældet i ransomware-angreb. Det skyldes, at virksomheden skal komme sig over selve bruddet og potentielt betale en løsesum til de cyberkriminelle. Uden at betale løsesummen kan virksomheden have problemer med at få adgang til sine systemer og vigtige filer igen.

På grund af de ekstra omkostninger er ransomware-angreb dyrere at komme sig over end brud, der ikke involverer ransomware. I 2022 involverede 11% af bruddene ransomware.

Selvom det kan virke som om, at du skal betale løsesummen, hvis du er en del af et ransomware-angreb, foreslår vi ikke at sende penge til de cyberkriminelle. Dette skyldes, at du muligvis ikke får dine data tilbage i den oprindelige tilstand, og din betalingsvillighed kan tilskynde og opfordre til fremtidige angreb. 

Det bedste du kan gøre, er at forhindre et angreb.

Jo hurtigere du reagerer, jo mindre vil et brud koste dig

Vi kender alle ordsproget, “tid er penge”. Men seriøst – når det kommer til databrud, hver dag et brud forbliver uopdaget, stiger løsningsomkostningerne. 

Virkeligheden er, at det tager meget længere tid at identificere et brud, end det tager at begrænse et, men begge processer kan være langvarige. I 2022 tog det i gennemsnit 207 dage at identificere et brud og 70 dage at begrænse bruddet. Med andre ord tager et gennemsnitligt brud omkring ¾ af et år at komme sig over. Dette kan virke som lang tid, og tro det eller ej, det tager os faktisk længere tid at løse databrud nu end det gjorde tidligere år. Det er nemmere at opdage brud, hvis du bruger praksisser såsom SIEM og logstyring. Tekniske løsninger som disse kan være brugbare for mindre organisationer, der har færre menneskelige ressourcer i IT-afdelingen. 

Fjernarbejde øger omkostningerne ved et brud

Vi nyder alle fleksibiliteten ved at arbejde hjemmefra. Det kan dog tage længere tid at opdage og begrænse et databrud, når store dele af en virksomhed arbejder hjemmefra.

Brud, der involverer fjernarbejde, koster i gennemsnit 1 million dollars mere end brud, hvor fjernarbejde ikke var en faktor.

Sandheden er, at fjernarbejde er en fast del af vores arbejdskultur i dag. For at opretholde datasikkerheden, mens man arbejder hjemmefra, er det vigtigt, at virksomheder beskytter deres systemer og deres fjernmedarbejdere. Sikkerhedsforanstaltninger som asset management-værktøjer kan hjælpe med at øge din sikkerhed, hvis fjernarbejde er almindeligt i din organisation.

Databrud, persondata og GDPR

Hvis der sker et databrud i din organisation, har GDPR nogle krav i forhold til underretninger, du skal give. For eksempel skal du underrette den nationale tilsynsmyndighed med det samme og højst 72 timer efter, at du er blevet opmærksom på bruddet, medmindre det er højst usandsynligt, at persondata blev kompromitteret under bruddet. I denne meddelelse skal du beskrive arten af bruddet, typen og mængden af kompromitterede data, kontaktoplysningerne på din databeskyttelsesansvarlige, de forventede konsekvenser og de handlinger, du allerede har truffet eller planlægger at tage som respons. Du skal også underrette de personer, hvis data blev påvirket af bruddet, uden unødig forsinkelse, hvis du beslutter, at de kan være i høj risiko.

Nu har vi dækket, hvordan brud opstår, og hvorfor de er så dyre. Lad os nu gå videre til måder, hvorpå du kan beskytte din organisation mod brud og reducere omkostningerne ved et brud, hvis det sker.

Tiltag du kan tage for at forhindre brud og mindske omkostningerne

Forebyggelse af databrud

Det siger sig selv, at den bedste måde at reducere omkostningerne ved et brud på er ved at undgå et i første omgang. Forebyggelse af databrud er et stort emne, så vi vil ikke gå for meget i dybden med det i dette indlæg. Vi foreslår en masse forskellige omfattende forebyggelsesmetoder i andre blogindlæg. Nogle eksempler på måder du kan forhindre et brud på er: 

Ved at vedtage disse fremgangsmåder kan du styrke din sikkerhedskultur og gøre din organisation mindre sårbar over for et sikkerhedsbrud. 

IT-security-policy DK

Reducering af sandsynligheden og omkostningerne for et databrud

Forhåbentlig bliver din organisation ikke et offer for et databrud. Men da databrud er stigende, er det sandsynligt, at din organisation kan være målet for et brud.

Vi har erfaret, at vores medarbejdere er vores største ressource, når det kommer til at forebygge og opdage databrud. En måde at reducere sandsynligheden og omkostningerne for, at et brud opstår i din virksomhed, er at skabe en stærk cybersikkerhedskultur. Da mange databrud sker på grund af menneskelige fejl, som at klikke på linket i en mistænkelig e-mail, er medarbejderne vores første forsvarslinje.

Men hvordan kan du reducere menneskelige fejl? Opmærksomme medarbejdere er mindre tilbøjelige til at begå de fejl, der fører til databrud. Derfor er det vigtigt at skabe og vedligeholde opmærksomhed om cybersikkerhed og korrekt datahåndtering i din organisation. Det kan gøres på mange måder, for eksempel gennem awareness-trænings aktiviteter, simuleringer og regelmæssig eksponering for at holde dine medarbejdere skarpe. Et par måder hvorpå CyberPilot kan hjælpe dig med at opnå en stærkere sikkerhedskultur er:

At opbygge en stærk sikkerhedskultur behøver ikke at være svært eller tidskrævende. Derudover kan det virkelig reducere din risiko for et databrud. Opmærksomme medarbejdere er sikre medarbejdere, og når det kommer til databrud, er det en omkostning, du helst vil undgå.

Tabel: Gennemsnitlige omkostninger ved forskellige typer sikkerhedsbrud i 2022

Forskellige brudtal Omkostning
Gennemsnitlige samlede omkostninger $4.35 millioner
Gennemsnitlige omkostninger for en sundhedsorganisation $10.10 millioner
Gennemsnitlige omkostninger for angreb som følge af kompromittering af virksomheds-e-mail $4.50 millioner
Gennemsnitlig pris, når bruddet varer længere end 200 dage $4.87 millioner
Gennemsnitlige omkostninger i en organisation, hvor sikkerheds-AI og automatisering var fuldt implementeret $3.05 millioner
Gennemsnitlige omkostninger ved brud der involverer fjernarbejde $1 million dollars mere i gennemsnit end brud, hvor fjernarbejde ikke var en faktor