Contact us: +45 32 67 26 26
Dansk

Ny Rapport Fra IBM | De Faktiske Omkostninger Ved Et Databrud I 2021

Sarah Hofmann
By: Sarah Hofmann GDPR | 16 december

Du har måske hørt, at cyberangreb er ved at blive en fast del af forretningsdriften. Det kræver meget tid og mange penge at komme sig efter et angreb. Det er derfor, mange virksomheder investerer i måder på at reducere skaden ved et potentielt angreb – før det overhovedet sker. I dette indlæg fortæller vi dig alt, hvad du behøver at vide om, hvor meget et brud kan koste din virksomhed, baseret på IBM’s seneste Cost of a Data Breach-rapport. Og bare rolig – når vi først har dækket omkostningerne ved et brud, giver vi dig masser af tips og tricks til, hvordan du undgår et brud og reducerer omkostningerne, hvis skulle det ske.

Indholdsfortegnelse

Seneste tendenser inden for databrud

I 2021 koster det gennemsnitlige databrud 4,24 millioner dollars

Hvis det lyder som mange penge, er du ikke alene. Disse omkostninger er faktisk en stigning på 10% i forhold til omkostningerne ved et brud i 2020. Så databrud koster meget og bliver dyrere for hvert år.

Da databrud koster virksomheder så mange penge, bør det ikke underprioriteres at forhindre en ved at opretholde en god sikkerhedspraksis. Men budgetterne kan være stramme, og det kan være en vanskelig opgave at få støtte til flere udgifter. Hvis du har problemer med at få adgang, rent økonomisk, til nye sikkerhedsforanstaltninger, kan det hjælpe dig med at fortælle din organisation om de høje omkostninger ved et databrud.

Databrud bliver mere almindelige

Cyberangreb, der involverer databrud, bliver mere almindelige. Omkostningerne, der opstår som resultat af disse angreb, stiger også.

  • I 2009 viste estimater, at et cyberangreb fandt sted hver 39 sekunder

  • I 2021 steg frekvensen af angreb til én gang hver 11 sekunder

Så da databrud sker oftere og koster virksomheder flere penge, er det sikkert at sige, at vi bør være opmærksomme på dette problem.

Alle typer organisationer er sårbare over for et databrud

Store organisationer, især inden for sundhedsvæsenet, er fælles mål

Cyberkriminelle er kloge. De ved, hvilke typer virksomheder der har mest at tabe på et databrud, og hvem der har råd til at betale anmodninger om løsesum.

Med dette i tankerne giver det mening, at store organisationer såsom sundhedsvirksomheder får de højeste omkostninger, når de oplever et databrud. Tænk på alle de personlige oplysninger om patienter, som hackere kan få adgang til. Sundhedsorganisationer har brug for adgang til patienters journaler for at kunne tage sig af dem. Derudover skal de bevare deres patienters tillid, når det kommer til deres følsomme oplysninger. Mængden af følsomme data, sundhedsorganisationer har, og deres villighed til at betale for kontrol over disse journaler, gør sundhedsorganisationer til et godt mål for dyre databrud.

Faktisk er omkostningerne ved et databrud for en sundhedsorganisation mere end det dobbelte af det samlede gennemsnit i 2021, nemlig $9,23 millioner.

Små organisationer er også sårbare

Selvom større virksomheder er mere oplagte mål for cyberkriminelle, lider små virksomheder også af databrud. Ifølge en Verizon-rapport er 28 % af ofrene små virksomheder. Nogle gange kan databrud være endnu mere skadelige for små virksomheder, fordi de kan mangle de institutionelle ressourcer, som store virksomheder har. I de værste tilfælde kan små virksomheder blive nødt til at lukke helt, fordi de ikke er i stand til at komme sig økonomisk over bruddet.

Hvordan databrud sker

For at reducere risikoen for, at din organisation bliver offer for et databrud, skal du vide, hvordan databrud opstår i første omgang. De tre mest almindelige kilder til et databrud i 2021 er:

  • Kompromitterede kontolegitimationsoplysninger

  • Phishing

  • Cloud-fejlkonfiguration

Kompromitterede kontooplysninger er den mest almindelige årsag

Den hyppigste måde, hvorpå hackere kommer ind i en virksomheds system, er ved at få adgang til en medarbejders kontooplysninger.

Smart CTA_e-book DK

Disse former for angreb er de mest almindelige, og desværre tager de også længst tid at løse. I 2021 tog disse brud i gennemsnit 341 dage i alt at opdage og begrænse.

For at reducere risikoen for et brud forårsaget af kompromitterede legitimationsoplysninger er det vigtigt at have stærke adgangskoder og være opmærksom på phishing-e-mails. En måde at hjælpe dine medarbejdere med at genkende phishing-e-mails på er gennem phishing-træning.

Forretnings-e-mailsvindel er ikke særligt almindeligt, men forårsager de dyreste brud

Forretnings-e-mailkompromittering er, når en vigtig medarbejders e-mail enten forfalskes eller bliver kompromitteret af cyberkriminelle. Derefter udnytter de cyberkriminelle det faktum, at deres e-mails ser ud som om, at de kommer fra en betroet person, til at anmode om følsomme oplysninger eller betalinger. Det er ikke ofte brugt af cyberkriminelle – kun 4% af angrebene i 2021 blev forårsaget af svindel med forretningsmail. Så hvorfor nævner vi dem?

Sagen er at den slags brud er utroligt dyre og koster i gennemsnit 5,01 millioner dollars pr. brud.

Phishing er en af de dyreste angreb og koster i gennemsnit $4,65 millioner pr. brud. 

Dette understreger igen vigtigheden ved opmærksomme medarbejdere, der kan spotte en phishing-e-mail.

Hvor meget databrud koster, og hvorfor de er så dyre

Analyse af omkostningerne ved et databrud

At komme sig over et databrud involverer både direkte omkostninger og indirekte omkostninger. For eksempel kan direkte omkostninger omfatte behovet for at hyre et IT-kriminalteknisk hold til at undersøge bruddet og reparere beskadigede systemer. En stor indirekte omkostning er den omdømmeskade, som virksomheder oplever efter at være blevet ofre for et brud. Nedenfor kan du se de forskellige udgiftsområder, der er involveret i et databrud.

  • 38%: omkostninger fra tabt forretning - skade på omdømme

  • 29%: identifikation og eskalering af bruddet - revisioner og undersøgelser

  • 27%: respons efter brud - tjenester til ofre, f.eks. helpdesk og kreditovervågning

  • 6%: oplysning - meddelelse til kunder og regulatorer om bruddet via mail, telefon, e-mail mv.



Pie Chart

 

Lad os dykke lidt længere ned i det dyreste område, tabt forretning.

Den største omkostning er tab af forretning

Tabt forretning er den største kategori af omkostninger forbundet med brud – det koster i gennemsnit 1,59 millioner dollars pr. brud.

Sæt dig selv i en kundes sted. Når du hører nyheder om databruddet, begynder du at miste tilliden til den virksomhed, der oplevede cyberangrebet. Hvis du er en nuværende kunde, ønsker du måske at stoppe med at handle med dem, og hvis du er en potentiel kunde, kan du vælge en anden leverandør, der leverer den samme service.

I bund og grund er databrud altså dårligt for forretningen.

Selv efter at virksomheden har gendannet alle følsomme data, kan det tage år for dem at genvinde kundernes tillid.

Ud over det lider mange virksomheder også af tabt indtægt fra det tidspunkt, hvor deres tjenester går ned under bruddet, hvilket efterlader kunder uden adgang. Dette er især tilfældet ved ransomware-angreb, hvor ransomwaren bringer en virksomhed “offline” i en periode.

Nogle faktorer gør et databrud dyrere

De totale omkostninger ved et brud afhænger for det meste af, hvor effektivt en organisation kan reagere på det. Jo hurtigere du kan reagere på et brud, jo billigere vil det være at administrere. Nogle faktorer, der påvirker omkostningerne ved et brud, er:

  • Eksisterende sikkerheds- og detektionspraksis

  • Hvor lang tid det tager at lokalisere og begrænse bruddet

  • Mængden af information, der er kompromitteret

  • Sikkerhedsforanstaltninger, som virksomheden indfører efter bruddet for at beskytte sine egne data og de personer, hvis oplysninger blev kompromitteret under angrebet

Ransomware-angreb indebærer ekstra omkostninger, hvilket gør dem dyrere

Et brud kan blive dyrere, når løsepenge er involveret, hvilket ofte er tilfældet i ransomware-angreb. Det skyldes, at virksomheden skal komme sig over selve bruddet og potentielt betale en løsesum til de cyberkriminelle. Uden at betale løsesummen kan virksomheden have problemer med at få adgang til sine systemer og vigtige filer igen. På grund af de ekstra omkostninger er ransomware-angreb dyrere at komme sig over end brud, der ikke involverer ransomware. I 2021 involverede 7,8% af bruddene ransomware. Selvom det kan virke som om, at du skal betale løsesummen, hvis du er en del af et ransomware-angreb, foreslår vi ikke at sende penge til de cyberkriminelle. Dette skyldes, at du muligvis ikke får dine data tilbage i den oprindelige tilstand, og din betalingsvillighed kan tilskynde og opfordre til fremtidige angreb.

Jo hurtigere du reagerer, jo mindre vil et brud koste dig

Vi kender alle ordsproget, “tid er penge”. Men seriøst – når det kommer til databrud, hver dag et brud forbliver uopdaget, stiger løsningsomkostningerne.

Virkeligheden er, at det tager meget længere tid at identificere et brud, end det tager at begrænse et, men begge processer kan være langvarige. I 2021 tog det i gennemsnit 212 dage at identificere et brud og 75 dage at begrænse bruddet. Med andre ord tager et gennemsnitligt brud omkring ¾ af et år at komme sig over. Dette kan virke som lang tid, og tro det eller ej, det tager os faktisk længere tid at løse databrud nu end det gjorde tidligere år. Det er nemmere at opdage brud, hvis du bruger praksisser såsom SIEM og logstyring.

Fjernarbejde øger omkostningerne ved et brud

Vi nyder alle fleksibiliteten ved at arbejde hjemmefra. Det kan dog tage længere tid at opdage og begrænse et databrud, når store dele af en virksomhed arbejder hjemmefra.

Brud, der involverer fjernarbejde, koster i gennemsnit 1,07 millioner USD mere end brud, hvor fjernarbejde ikke var en faktor.

Sandheden er, at fjernarbejde er en fast del af vores arbejdskultur i dag. For at opretholde datasikkerheden, mens man arbejder hjemmefra, er det vigtigt, at virksomheder beskytter deres systemer og deres fjernmedarbejdere. Sikkerhedsforanstaltninger som asset management-værktøjer kan hjælpe med at øge din sikkerhed, hvis fjernarbejde er almindeligt i din organisation.

Den slags data, der kompromitteres i et brud, påvirker omkostningerne

Når cyberkriminelle angriber virksomheder, målretter de normalt den slags information, som de ved, betyder mest for en virksomhed og dens omdømme: de følsomme data, der tilhører dens kunder og medarbejdere. Fordi denne form for data skader virksomheden mest, når de går tabt, er det også den mest værdifulde data for hackerne.

Kundedata går oftest tabt eller stjæles under databrud. I 2021 blev kundedata mistet eller stjålet i 72% af bruddene. 44% heraf var personligt identificerbare oplysninger, eller oplysninger, der kan spores tilbage til en bestemt person.

Når du ser, hvor almindeligt det er, at kunders følsomme oplysninger bliver afsløret under et brud, er det selvfølgelig nemt at forstå, hvorfor databrud er så dårligt for forretningen. Når kundernes personlige oplysninger kompromitteres, mens de er i en virksomheds varetagelse, vil kunderne tage deres forretning andetsteds.

Tabet af personligt identificerbare oplysninger under et databrud er en del af det, der gør databrud så dyre for virksomheder. For eksempel koster kundeidentificerbare oplysninger mest pr. registrering af stjålne data. I 2021 kostede det et gennemsnit på $180 pr. registrering af disse data.

Medarbejderdata er et andet fælles mål for cyberkriminelle.

Mens kundedata oftest går tabt under databrud, målrettes medarbejderdata også.

26 % af de data, der gik tabt under brud i 2021, var medarbejderes personlige identificerbare oplysninger.

Med den store mængde kunde- og medarbejderinformation, der går tabt under databrud, finder mange virksomheder, at de tilbyder identitetsovervågningstjenester til dem, der er berørt af bruddet. At levere disse tjenester til medarbejdere og kunder er en ekstra omkostning, som virksomheder påtager sig i kølvandet på et cyberangreb.

Personlige data er selvfølgelig et stort fokus i GDPR. Når persondata kunne være blevet kompromitteret i et databrud, kræver GDPR specifikke handlinger.

Databrud, persondata og GDPR

Hvis der sker et databrud i din organisation, har GDPR nogle krav i forhold til underretninger, du skal give. For eksempel skal du underrette den nationale tilsynsmyndighed med det samme og højst 72 timer efter, at du er blevet opmærksom på bruddet, medmindre det er højst usandsynligt, at persondata blev kompromitteret under bruddet. I denne meddelelse skal du beskrive arten af bruddet, typen og mængden af kompromitterede data, kontaktoplysningerne på din databeskyttelsesansvarlige, de forventede konsekvenser og de handlinger, du allerede har truffet eller planlægger at tage som respons. Du skal også underrette de personer, hvis data blev påvirket af bruddet, uden unødig forsinkelse, hvis du beslutter, at de kan være i høj risiko.

Nu har vi dækket, hvordan brud opstår, og hvorfor de er så dyre. Lad os nu gå videre til måder, hvorpå du kan beskytte din organisation mod brud og reducere omkostningerne ved et brud, hvis det sker.

Tiltag du kan tage for at forhindre brud og mindske omkostningerne

Forebyggelse af databrud

Det siger sig selv, at den bedste måde at reducere omkostningerne ved et brud på er ved at undgå et i første omgang. Forebyggelse af databrud er et stort emne, så vi vil ikke gå for meget i dybden med det i dette indlæg. Vi foreslår en masse forskellige omfattende forebyggelsesmetoder i andre blogindlæg. Nogle eksempler på måder du kan forhindre et brud på er:

  • Sørg for, at softwaren på alle dine enheder er opdateret

  • Træn dit personale til at være opmærksomme på bedste praksis for sikkerhed

  • Udfør sårbarhedsvurderinger

  • Arbejd med leverandører, der har høje databeskyttelsesstandarder

  • Krypter personlige data

  • Anbefal brugen af stærke kontooplysninger/adgangskoder

Ved at vedtage disse fremgangsmåder kan du styrke din sikkerhedskultur og gøre din organisation mindre sårbar over for et brud.

IT-security-policy DK

Reduktion af sandsynligheden og omkostningerne for et databrud

Forhåbentlig bliver din organisation ikke et offer for et databrud. Men da databrud er stigende, er det sandsynligt, at din organisation kan være målet for et brud.

Vi har erfaret, at vores medarbejdere er vores største ressource, når det kommer til at forebygge og opdage databrud. En måde at reducere sandsynligheden og omkostningerne for, at et brud opstår i din virksomhed, er at skabe en stærk cybersikkerhedskultur. Da mange databrud sker på grund af menneskelige fejl, som at klikke på linket i en mistænkelig e-mail, er medarbejderne vores første forsvarslinje.

Men hvordan kan du reducere menneskelige fejl? Opmærksomme medarbejdere er mindre tilbøjelige til at begå de fejl, der fører til databrud. Derfor er det vigtigt at skabe og vedligeholde opmærksomhed om cybersikkerhed og korrekt datahåndtering i din organisation. Det kan gøres på mange måder, for eksempel gennem awareness-trænings aktiviteter, simuleringer og regelmæssig eksponering for at holde dine medarbejdere skarpe. Et par måder hvorpå CyberPilot kan hjælpe dig med at opnå en stærkere sikkerhedskultur er:

At opbygge en stærk sikkerhedskultur behøver ikke at være svært eller tidskrævende. Derudover kan det virkelig reducere din risiko for et databrud. Opmærksomme medarbejdere er sikre medarbejdere, og når det kommer til databrud, er det en omkostning, du helst vil undgå.

Tabel: Gennemsnitlige omkostninger ved forskellige typer brud

Forskellige brudtal Omkostning
Gennemsnitlige samlede omkostninger $4.24 millioner
Gennemsnitlige omkostninger for en sundhedsorganisation $9.23 millioner
Gennemsnitlige omkostninger for angreb som følge af kompromittering af virksomheds-e-mail $5.01 millioner
Gennemsnitlig omkostning for phishing-angreb $4.65 millioner
Gennemsnitlig pris, når bruddet varer længere end 200 dage $4.87 millioner
Gennemsnitlige omkostninger i en organisation, hvor sikkerheds-AI og automatisering var fuldt implementeret $2.90 millioner