Ny IBM-rapport: Kostnaden Av Et Databrudd i 2023

Sarah Hofmann
By: Sarah Hofmann GDPR | 25 november

Kostnaden av et databrudd øker hvert år - og dette året er intet unntak, i følge IBM’s 2023 Cost of a Data Breach-rapport. I dette blogginnlegget bruker vi de nyeste tallene til å avdekke hvor mye et IT-angrep vil kunne koste din bedrift. Vi løfter også fram noen trender innen databrudd som du bør være oppmerksom på. Dette kan være et tungt emne, men vi avslutter med noen konkrete anbefalinger som du kan bruke til å forbedre din bedrifts IT-sikkerhet og redusere risikoen for databrudd.  

Innholdsfortegnelse

 

Nye trender innen databrudd 

I 2023 kostet et databrudd i gjennomsnitt 4,45 millioner dollar 

Hvis du synes dette høres ut som mye penger, er du ikke alene. Denne kostnaden er nesten 15,3% større enn den var i 2020. Databrudd koster altså mye, og blir dyrere for hvert år. Derfor burde man prioritere å forhindre databrudd ved å opprettholde gode praksiser rundt IT-sikkerhet. 

Hva har endret seg siden i fjor? 

Databrudd ble dyrere i 2023, sammenlignet med fjorårets rapport. I fjor kostet et databrudd i snitt 4,35 millioner dollar, og i år er gjennomsnittskostnaden 4,45 millioner dollar. En forklaring på dette er at utgiftene til selskaper innen helsevesenet økte med 830 000 dollar i år.  

Årets rapport gir også innsikt i hvordan omfattende AI og automatisering påvirker de økonomiske konsekvensene av et sikkerhetsbrudd. 

Denne reprisen viser også hvordan datainnbrudd identifiseres, enten det er av organisasjonens egne sikkerhetsteam, en tredjepart eller angriperen selv. 

Fjernarbeid er fortsatt en faktor som øker kostnadene ved datainnbrudd. 

I fjor var kompromitterte kredittopplysninger den vanligste kilden til datainnbrudd. I år har phishing rykket opp på førsteplassen med en liten margin foran stjålet legitimasjon.

Nå som vi har gått gjennom noen av hovedfunnene i IBMs 2023-rapport, skal vi se på hvordan rapporten ble laget. I de neste avsnittene går vi kjapt gjennom IBMs undersøkelsesmetoder og hva de fant ut om sikkerhetsbrudd i Skandinavia.  

Hvordan rapporten ble laget 

For å samle inn data til rapporten intervjuet IBM 3475 mennesker fra 553 organisasjoner over hele verden. For å kalkulere den gjennomsnittlige kostnaden av et brudd best mulig, ekskluderte IBM de minste og største databruddene. (Om du likevel er interessert i å lese om de største summene, inneholder rapporten deres et avsnitt om store databrudd). For øvrig bestod mesteparten av utvalget av bedrifter innen disse industriene: finans, service, industri og teknologi.

Hva dette betyr for mindre bedrifter 

Siden funnene i rapporten er basert på gjennomsnittstall, kan det være vanskelig for mindre bedrifter å relatere til funnene. Hvis du kjenner deg igjen i dette, anbefaler vi deg å følge med på hvordan databrudd oppstår og hvilke innvirkninger de har på bedrifter, i stedet for å fokusere på pengesummen.  

Selv om det for eksempel er usannsynlig at et phishing-angrep vil koste din bedrift den gjennomsnittlige summen på 4,76 millioner dollar, er det sannsynlig at din bedrift vil bli utsatt for phishing-angrep, siden det er en av de vanligste årsakene til databrudd. Trendene og anbefalingene innen IT-sikkerhet vil altså forhåpentligvis være nyttige for deg, selv hvis kostnadene virker urealistiske.

Databrudd i Skandinavia 

For å sette tallene i et lokalt perspektiv, utgjorde skandinaviske bedrifter 4% av utvalget som var med i årets studie. Interessant nok ble gjennomsnittskostnaden av databrudd blant skandinaviske bedrifter redusert i år. I 2022 var den gjennomsnittlige kostnaden av et databrudd i Skandinavia 2,08 millioner dollar, mens den i år er 1,91 millioner dollar. Kun Brasil hadde lavere gjennomsnittlige kostnader enn Skandinavia.  

Databrudd blir vanligere

IT-angrep som involverer databrudd, blir mer og mer vanlige. Kostnaden av å komme seg etter slike brudd øker også.  

  • I 2009 skjedde det et IT-angrep hvert 39. sekund 

  • I 2022 økte frekvensen av IT-angrep til hvert 11. sekund 

Siden databrudd nå foregår oftere og koster bedrifter mer penger enn før, er det ikke tvil om at vi bør være oppmerksomme på dette problemet. 

Mindre organisasjoner opplevde høyere kostnader for datainnbrudd enn i fjor.

I IBMs 2023-rapport er det tydelig at organisasjoner står overfor en mye høyere økning i kostnadene for datalagring. Her er noen tall fra rapporten:  

  • Organisasjoner med færre enn 500 ansatte rapporterte at den gjennomsnittlige konsekvensen av et datainnbrudd økte til 3,31 millioner USD, en økning på 13,4 % fra 2022.
  • De med 500-1 000 ansatte opplevde en økning på 21,4 %, fra 2,71 millioner USD til 3,29 millioner USD.  
  • I gruppen med 1 001-5 000 ansatte økte gjennomsnittskostnaden for datainnbrudd fra 4,06 millioner USD til 4,87 millioner USD, en økning på nesten 20 %.  

    Dette er dårlige nyheter for bedriftene. Høyere kostnader i tillegg til tap av kundenes tillit kan føre til at kundene forsvinner til konkurrentene.
     

Alle slags organisasjoner er sårbare for databrudd 

Store organisasjoner, særlig innen helsevesenet, er spesielt utsatt  

IT-kriminelle er smarte. De vet hva slags bedrifter som har mest å tape på et databrudd og hvem som har råd til å betale løsepenger. Det er også de store organisasjonene som mottar de største bøtene for brudd på GDPR. 

Når man tar dette i betraktning, gir det mening at store organisasjoner, slik som selskap innen helsevesenet, betaler de største kostnadene når de blir utsatt for databrudd. Bare forestill deg alle personopplysningene om pasienter som hackerne kan få tilgang på. Helseorganisasjoner må ha tilgang på pasientenes journaler for å kunne behandle dem. De må også opprettholde pasientenes tillit når det gjelder oppbevaring av deres personlige helseopplysninger. Mengden sensitive opplysninger som disse organisasjonene sitter på, og deres vilje til å betale for å beholde kontrollen over disse, gjør disse organisasjonene svært utsatt for dyre databrudd. 

Faktisk er kostnaden av et databrudd for en organisasjon i helsevesenet dobbelt så stor som gjennomsnittet i 2023, på 10,93 millioner dollar               

Leverandører av kritiske tjenester betaler en høyere pris 

I tillegg til organisasjoner innen helsevesenet, er organisasjoner som leverer kritisk infrastruktur ekstra utsatt for dyre databrudd som koster mer enn gjennomsnittet. Organisasjoner som leverer slike kritiske tjenester finnes i en rekke sektorer: finans, industri, teknologi, energi, transport, kommunikasjon, helsevesen, utdannelse og offentlig sektor.      

Små organisasjoner er også sårbare 

Selv om det er de store selskapene som utgjør de mest åpenbare målene for IT-kriminelle, blir også små bedrifter alvorlig rammet av databrudd. 60% av små bedrifter som opplever et databrudd, går konkurs og tvinges til å stenge bedriften innen 6 måneder. Siden små bedrifter ikke har de enorme IT-sikkerhetsbudsjettene og interne ressursene som større selskaper har, er de mer sårbare for ødeleggende konsekvenser ved et databrudd.  

Dette gir mening, spesielt med tanke på at organisasjoner vanligvis øker prisene for kundene deres for å håndtere konsekvensene av databrudd. Det er lett for kundene å velge en ny samarbeidspartner, når de ikke lenger har tillit til bedriften grunnet databruddet, og spesielt når bedriften også setter opp prisene.

Hvordan databrudd finner sted  

For å redusere risikoen for at din organisasjon blir offer for et databrudd, må du i første omgang vite hvordan databrudd finner sted. De tre vanligste kildene til databrudd i 2023 er: 

  • Komprimerte kontoopplysninger 
  • Phishing  
  • Feilkonfigurering av skyen 

Enhver organisasjon burde ha som mål å sikre at de ansatte er bevisste på hvordan databrudd vanligvis skjer, og hvordan man forhindrer dem.  

Komprimerte kontoopplysninger og Phishing er den vanligste årsaken 

En av de mest vanligste metoden som hackere bruker for å ta seg inn i selskapers systemer, er å få tilgang på kontoopplysningene til en ansatt.

Smart CTA Risk NO

Slike typer angrep er de vanligste, og de tar også dessverre lengst tid å løse. I 2023 tok det i gjennomsnitt 328 dager å oppdage og håndtere slike brudd.  

For å redusere risikoen av et brudd forårsaket av komprimerte kontoopplysninger, er det viktig å ha sterke passord og å kjenne til det som kjennetegner en phishing-e-post. En måte å hjelpe dine ansatte til å gjenkjenne phishing-e-poster på er phishing-trening. Du kan også anvende tofaktorautentisering, en password manager eller begge deler, for å ytterligere øke IT-sikkerheten i din organisasjon.

Phishing er et av de dyreste IT-angrepene å bli utsatt for, og koster i gjennomsnitt 4,91 millioner dollar per databrudd 

Dette understreker enda en gang viktigheten av å ha bevisste ansatte som kan kjenne igjen phishing-e-poster.  

                          

Hvor mye databrudd koster og hvorfor de er så dyre 

En gjennomgang av kostnaden av et databrudd 

Det å komme seg etter et databrudd innebærer både direkte kostnader og indirekte kostnader. Direkte kostnader kan for eksempel inkludere å måtte ansette et team av digitale etterforskere til å undersøke bruddet og reparere skadde systemer. En stor indirekte kostnad er omdømmetapet bedrifter lider etter å ha vært offer for et databrudd. Nedenfor kan du se de forskjellige kostnadsområdene som er involvert i et databrudd. Tallene er hentet fra 2022-rapporten.: 

  • 33%: tapt omsetning tap av omdømme og lignende
  • 33%: oppdagelse og eskalering av bruddet revisjoner og undersøkelser  
  • 27%: tiltak etter bruddet – tjenester for ofrene, f.eks. hjelp og kredittoppfølgning  
  • 7%: varsling – informere kunder og tilsynsmyndigheter om bruddet via brev, e-post, telefon, osv.
     
 

Cost of a data breach 2022

La oss se litt nærmere på det største kostnadsområdet: tapt omsetning. Uavhengig av hvor stort selskapet ditt er, er tapt omsetning definitivt en stor trussel for din organisasjons framtid.  

Tapt omsetning utgjør en massiv kostnad

Tapt omsetning utgjør en stor del av den totale kostnaden av et databrudd. I gjennomsnitt koster det 1,42 millioner dollar per brudd.  

Forestill deg at du er kunde til en bedrift som har blitt utsatt for et databrudd. Så snart du hører nyheten om bruddet, mister du tillit til bedriften. Hvis du allerede er en kunde, ønsker du kanskje å avslutte samarbeidet med dem. Hvis du er en potensiell kunde, velger du kanskje en annen leverandør som tilbyr de samme tjenestene. 

Kort fortalt er databrudd svært dårlige for omsetningen.  

Selv etter at selskapet har gjenvunnet den sensitive dataen, kan det ta flere år å gjenopprette kundenes tillitt.  

Utover dette taper mange bedrifter også inntekter i det tidsintervallet hvor tjenestene deres er nede under bruddet og kundene dermed ikke har adgang til dem. Dette gjelder spesielt for angrep som involverer løspengevirus, da slike virus gjør bedrifter “offline” over en lengre periode.  

Visse faktorer gjør databrudd dyrere

Den totale kostnaden av et databrudd avhenger for det meste av hvor effektiv organisasjonens respons er. Jo raskere man reagerer, jo billigere blir bruddet å håndtere. Noen faktorer som påvirker hvor mye et databrudd koster er: 

  • Eksisterende IT-sikkerhetssystem og metoder for å oppdage databrudd 
  • Hvor lang tid det tar å finne bruddet og få det under kontroll 
  • Mengden komprimert informasjon 
  • Sikkerhetstiltak bedriften tar i bruk etter bruddet for å beskytte egen data og personene som fikk sin informasjon komprimert under angrepet  

Det å ha på plass en responsplan for databrudd kan hjelpe din organisasjon med å spare verdifull tid når et databrudd inntreffer. Det er altså en god ide å ha en plan klar for eventuelle datainnbrudd.

Løsepengevirus innebærer ytterligere kostnader og er dermed dyrere 

Et databrudd kan også bli dyrere hvis krav om løsepenger er involvert, hvilket er tilfellet i angrep ved bruk av løsepengevirus (ransomware). Da må selskapet betale løsepenger til de IT-kriminelle, hvilket utgjør en ekstra kostnad utover det å komme seg etter databruddet. Hvis selskapet ikke betaler løsepengene, kan det bli vanskelig for dem å gjenvinne tilgangen til deres systemer og viktige filer.  

På grunn av denne ekstra kostnaden er ransomware-angrep dyrere å bli utsatt for enn databrudd som ikke involverer løsepenger. I 2022 innebar 11% av alle databrudd krav om løsepenger.  

Selv om det kan virke som at du er nødt til å betale løsepengene om du blir utsatt for et løsepengevirus, anbefaler vi ikke at du overfører pengene til de IT-kriminelle. Grunnen til det er at du kanskje ikke får tilbake dataene i deres originale tilstand, og at din betalingsvilje kan oppmuntre til flere angrep i fremtiden. Det beste du kan gjøre er å forhindre angrepet i å finne sted. 

Jo raskere du reagerer, jo billigere blir databruddet for deg 

Vi kjenner alle til uttrykket “tid er penger”. Dette gjelder spesielt for databrudd, da kostnaden øker for hver dag bruddet ikke oppdages.  

Faktum er at det tar mye lenger tid å identifisere et brudd enn å få kontroll på det, men begge prosesser kan være langvarige. I 2022 tok det i snitt 207 dager å oppdage et databrudd og 70 dager å få det under kontroll. Man bruker med andre ord omtrent trekvart år på å håndtere et databrudd. Det er lettere å oppdage brudd hvis du benytter deg av løsninger som SIEM og log management. Slike tekniske løsninger kan være nyttige for mindre organisasjoner, som kanskje har mindre ressurser eller færre ansatte i IT-avdelingen.

Sikkerhets-AI og -automatisering bidrar til å identifisere og begrense datainnbrudd

AI og automatisering har vært et sentralt tema gjennom hele 2023. Og det har også vist seg å ha en positiv innvirkning på datainnbrudd, for med AI og automatisering er organisasjoner 108 dager raskere til å identifisere og begrense et datainnbrudd enn organisasjoner som ikke bruker det.

Det betyr at det å identifisere og begrense et sikkerhetsbrudd med utstrakt bruk av AI og automatisering bare tok 66 % av tiden det tok for organisasjoner som ikke brukte AI.

I 2023-rapporten var det bare 28 % av organisasjonene som brukte sikkerhets-AI og automatisering i stor utstrekning, noe som betyr at mange organisasjoner har en betydelig mulighet til å øke hastigheten, nøyaktigheten og effektiviteten. Omfattende bruk av kunstig intelligens og automatisering sparte nesten 1,8 millioner USD i kostnader knyttet til datainnbrudd og reduserte tiden det tar å identifisere og begrense et sikkerhetsbrudd med mer.

 

Databrudd, personopplysninger og GDPR 

Personvernforordningen (GDPR) stiller noen krav til varslene du må gi dersom et databrudd rammer din organisasjon. Du må blant annet varsle de nasjonale tilsynsmyndighetene umiddelbart og ikke mer enn 72 timer etter du fikk vite om bruddet, med mindre det er høyst usannsynlig at personopplysninger ble komprimert under bruddet. Dette varselet må inkludere informasjon om hva slags databrudd det var, hva slags data som ble komprimert og hvor mye, kontaktinformasjonen til ditt personvernombud, de forventede konsekvensene av bruddet og hvilke tiltak dere allerede har satt i gang eller planlegger å sette i gang. Du må også informere de personene som fikk sine personopplysninger utsatt under bruddet. Dette må gjøres så snart som mulig, dersom du vurderer at de er i høyrisikosonen.  

Nå som vi har sett på hvordan databrudd inntreffer og hvorfor de er så kostbare, la oss gå gjennom hvordan du kan beskytte bedriften din mot databrudd og minske utgiftene hvis et databrudd skulle inntreffe.  

Steg du kan ta for å forhindre databrudd og minske kostnader 
Forhindre databrudd 

Det sier seg selv at den beste måten å redusere kostnadene av et databrudd på er å unngå å bli rammet av et til å begynne med. Det å forhindre databrudd er et stort emne, så vi skal ikke gå gjennom alle detaljene her, men vi går mer i dybden på det i andre blogginnlegg. Noen eksempler på hvordan du kan forhindre databrudd er: 

Tar du i bruk disse tiltakene kan det styrke din sikkerhetskultur og gjøre organisasjonen din mindre sårbar for databrudd. 

Smart CTA_acceptable-use-policy NO

                          

Reduser sannsynligheten for og kostnaden av et databrudd 

Forhåpentligvis blir ikke din organisasjon offer for et databrudd. Men siden databrudd blir vanligere og vanligere, er det sannsynlig at organisasjonen din blir forsøkt utsatt for ett.  

Vi har lært at våre ansatte er vår største ressurs når det gjelder å forhindre og oppdage databrudd. En måte å redusere sannsynligheten for og kostnaden av et brudd på er å skape en sterk IT-sikkerhetskultur i din bedrift. Siden mange databrudd skyldes menneskelige feil, slik som å trykke på en mistenkelig link, er de ansatte vår første forsvarslinje.  

Men hvordan kan du redusere menneskelige feiltrinn? Det er mindre sannsynlig at bevisste ansatte begår feil. Derfor er det viktig å skape og opprettholde en bevissthet om IT-sikkerhet og trygg datahåndtering i din organisasjon. Dette kan gjøres på mange måter, for eksempel gjennom bevissthetstrening, simuleringer og jevnlige påminnelser. CyberPilot kan hjelpe deg med å oppnå en sterkere sikkerhetskultur ved å tilby:  

  • Bevissthetstrening som er effektiv og lett å bruke, med nye kurs som legges ut jevnlig for å holde dine ansatte oppdatert på nye sikkerhetstrusler de bør vite om 
  • Phishing-trening som eksponerer dine ansatte for simulerte phishing-angrep og lærer dem å gjenkjenne phishing-e-poster i en trygg setting 

Det trenger ikke å være vanskelig og tidkrevende å bygge en sterk IT-sikkerhetskultur, og det kan redusere risikoen for databrudd betraktelig. Bevisste ansatte er trygge ansatte, og de spiller en viktig rolle i å beskytte deg mot kostbare databrudd.