Ny IBM-rapport: Den verkliga kostnaden för ett dataintrång 2023

Varje år blir kostnaden för ett dataintrång högre och högre. Enligt IBM:s 2022 Cost of a Data Breach-rapport är i år inget undantag. I det här blogginlägget använder vi de senaste uppgifterna för att avslöja hur mycket en cyberattack kan komma att kosta din organisation. Vi lyfter också fram trender inom dataintrång du bör vara medveten om. Till sist kommer vi avsluta med praktiska rekommendationer du kan använda för att förbättra din organisations IT-säkerhet och minska riskerna för ett dataintrång.

Om du tycker det här låter som mycket pengar är du inte ensam. Den här kostnaden är nästan en ökning på 15,3% från kostnaden för ett dataintrång under 2020. Dataintrång kostar alltså en hel del, och de blir dyrare för varje år. Med tanke på hur mycket pengar det rör sig om, bör det vara en prioritet hos organisationer att upprätthålla goda IT-säkerhetsvanor för att förebygga dataintrång.

Vad har förändrats från förra året

I jämförelse med rapporten från 2022 blev dataintrång dyrare under 2023. Förra året var den genomsnittliga kostnaden för ett dataintrång 4,35 miljoner Dollar. Det här året ligger den genomsnittliga kostnaden på 4,45 miljoner Dollar. En av de främsta orsakerna bakom ökningen är att verksamheter inom hälso- och sjukvårdssektorn har betalat ut högre summor pengar på grund av dataintrång. Kostnaden för dataintrång för dessa verksamheter har ökat med ca $830,000.

Årets rapport ger också en inblick i hur omfattande AI och automatisering av säkerhetsarbetet påverkar de ekonomiska konsekvenserna av ett intrång. 

Denna repost visar också hur överträdelser identifieras, antingen av en organisations egna säkerhetsteam, en annan tredje part eller angriparen. 

Distansarbete är fortfarande en faktor som ökar kostnaderna för dataintrång. 

Förra året var komprometterade Credientials den vanligaste källan till dataintrång. I år tog nätfiske över förstaplatsen med en liten marginal över stulna inloggningsuppgifter. 
 
Nu när vi har gått igenom några av de viktigaste resultaten från IBM:s 2023-rapport ska vi prata om hur rapporten togs fram. Därefter ska vi snabbt gå igenom IBM:s undersökningsmetoder och vad de fann om säkerhetsöverträdelser i Skandinavien.

Hur rapporten sammanställdes

För att samla ihop data till rapporten intervjuade IBM 3475 människor från 553 organisationer runt om i världen. För att bäst beräkna den genomsnittliga kostnaden för ett dataintrång uteslöt IBM de minsta och största dataintrången. Om du är intresserad av att läsa om de allra största summorna, innehåller rapporten fortfarande ett avsnitt om megaintrång. I övrigt bestod majoriteten av urvalet av organisationer inom dessa områden: finans, tjänster, industri och teknik.

Vad det här innebär för mindre företag

Eftersom rapportens resultat presenteras baserat på ett medelvärde, kan det vara svårt för små företag att se sig själva i resultatet. Om detta är något du kan relatera till, uppmanar vi dig att vara uppmärksam på trenderna i hur dataintrång sker och hur det påverkar organisationer, istället för att fokusera på det rapporterade beloppet.

Till exempel, även om det är osannolikt att en nätfiskeattack kommer kosta din organisation den genomsnittliga summan $4,76 miljoner, är det fortfarande troligt att din organisation blir utsatt för nätfiske, eftersom det är den vanligaste orsaken bakom dataintrång. Så trenderna och rekommendationerna kommer förhoppningsvis vara användbara för dig, även om själva kostnaden verkar orealistisk.

Dataintrång i Skandinavien

Vi vill även sätta siffrorna i ett mer lokalt perspektiv. I år utgjorde skandinaviska företag 4% av urvalet som granskades. Intressant nog minskade den genomsnittliga kostnaden för ett dataintrång bland skandinaviska företag i år. Under 2022 var den genomsnittliga kostnaden i Skandinavien $2,08 miljoner, och i år har den sjunkit till $1,91 miljoner. Endast Brasilien hade en i genomsnitt lägre kostnad än Skandinavien.

• År 2009 visade uppskattningar att en cyberattack inträffade var 39:e sekund

• Under 2022 ökade frekvensen av cyberattacker till en gång var 11:e sekund

Eftersom dataintrång inträffar allt oftare och kostar företag allt mer pengar, kan man med säkerhet säga att vi bör vara uppmärksamma på detta problem.

Mindre organisationer drabbades av högre kostnader för dataintrång än förra året.

I IBM:s 2023-rapport framgår det tydligt att organisationer står inför en mycket högre ökning av kostnaderna för dataintrång. Här är några siffror från rapporten:  

• Organisationer med färre än 500 anställda rapporterade att den genomsnittliga effekten av ett dataintrång ökade till 3,31 miljoner USD eller en ökning med 13,4% från 2022.
• De med 500-1 000 anställda såg en ökning med 21,4%, från 2,71 miljoner USD till 3,29 miljoner USD.  
• I intervallet 1 001 - 5 000 anställda ökade den genomsnittliga kostnaden för ett dataintrång från 4,06 miljoner USD till 4,87 miljoner USD, en ökning med nästan 20%.  
  
  Detta är dåliga nyheter för företagen. Högre kostnader i kombination med ett minskat kundförtroende kan leda till att kunderna vänder sig till konkurrenterna.

Cyberbrottslingar är smarta. De vet mycket väl vilka typer av organisationer som riskerar att förlora mest från ett dataintrång och vilka som har råd att betala lösensummor. Stora organisationer får också de största böterna när de bryter mot GDPR.

Med det här i åtanke är det inte konstigt att de stora organisationerna, t.ex. de inom hälso- och sjukvårdsbranschen, drabbas av de största kostnaderna när de blir utsatta för dataintrång. Bara föreställ dig alla de personuppgifter om patienter som hackare kan få tillgång till. Det kan orsaka stora problem om hackare förstör patienternas journaler, då de i så fall inte längre kan få behandling. Dessutom är hälsouppgifter mycket känsliga och förtroendet för organisationer ka ta stor skada om uppgifterna kom ut. Mängden känsliga uppgifter som dessa organisationer har i sina register, och deras vilja att betala för att behålla kontrollen över dem, gör dessa organisationer till en stor måltavla för dyra dataintrång.

Faktum är att kostnaden för ett dataintrång för hälso- och sjukvårdsorganisationer är mer än dubbelt så högt som genomsnittet 2023, på $10,93 miljoner.

Även om större organisationer är mer självklara måltavlor för cyberkriminella, blir små företag också allvarligt drabbade av dataintrång. Eftersom mindre företag saknar de enorma IT-säkerhetsbudgeterna och interna resurser som de stora företagen har, är de mer sårbara för förödande konsekvenser vid ett dataintrång. Vilket leder till att 60% av de små företag som drabbas av dataintrång tvingas stänga ner sin verksamhet inom sex månader.

Det här är inte så konstigt, särskilt med tanke på att organisationer vanligtvis höjer priserna för deras kunder för att hantera konsekvenserna av dataintrång. Det är enkelt för kunder att vända sig till en ny verksamhet när de väl har förlorat förtroendet för ett företag på grund av ett dataintrång och beslutet görs bara enklare av att företaget även väljer att höja sina priset.

• Komprometterade kontouppgifter

• Nätfiske

• Felkonfiguration i molnet

Organisationer bör alltid ha som mål att se till att deras anställda är medvetna om hur dataintrång vanligtvis inträffar, och hur man skyddar sig mot dem.

En av de mest vanligaste sättet hackare tar sig in i ett företags system är genom att få tillgång till en anställds kontuppgifter.

Den här typen av cyberattacker är den vanligaste, och olyckligtvis tar dem även längst tid att reda ut. Under 2023 tog den här typen av dataintrång i genomsnitt 328 dagar att upptäcka och hantera.

För att minska risken av dataintrång som orsakas av komprometterade kontouppgifter är det viktigt att känna till hur man skapar starka lösenord, och vad som kännetecknar ett nätfiskemejl. Ett sätt att hjälpa dina anställda känna igen nätfiskemejl är genom nätfisketräning. Du kan också använda dig av tvåfaktorsautentisering, lösenordshanterare eller en kombination av de två för att ytterligare stärka IT-säkerheten i din organisation.

• 33%: förlorad verksamhet – skadat rykte
• 33%: upptäcka och eskalering av dataintrånget - revisioner och utredningar
• 27%: åtgärder efter dataintrånget - tjänster för offer, t.ex. hjälplinje och kredituppföljning
• 7%: notifiering - informera kunder och tillsynsmyndigheter om intrånget via mail, telefon, e-post, etc

Förlorad verksamhet är en stor del av den totala kostnaden för ett dataintrång. I genomsnitt kostar det $1,30 miljoner kronor per dataintrång.

Föreställ dig att du är kund till ett företag som råkar ut för ett dataintrång. När du hör nyheterna om dataintrånget börjar du tappa förtroendet för verksamheten som upplevde cyberattacken. Om du är en nuvarande kund kanske du vill sluta göra affärer med dem. Om du är en potentiell kund kan du välja en annan leverantör som tillhandahåller samma tjänst.

Kort sagt är dataintrång väldigt dåligt för din verksamhet.

Även efter företaget återhämtar alla känsliga uppgifter, kan det ta flera år innan de lyckas återbygga kundernas förtroende.

Utöver det drabbas många företag också av förlorade intäkter från den tidpunkt då deras tjänster låg nere under intrånget och kunderna saknade åtkomst. Detta är särskilt fallet vid ransomware-attacker, där ransomware gör att ett företag är "offline" under en period.

• Befintliga IT-säkerhetssystem och metoder för att upptäcka säkerhetshot

• Hur lång tid det tar att hitta och hantera intrånget

• Mängden uppgifter som är komprometterade

• Skyddsåtgärder som företaget implementerar efter intrånget för att skydda sina uppgifter och de personer vars information äventyrades under attacken

Att ha en färdig responsplan vid fall av dataintrång kan hjälpa din organisation att spara tid när ett dataintrång inträffar. Det är alltså alltid en bra idé att ha en plan redo för eventuella dataintrång.

Ett dataintrång kan också bli dyrare när utpressning är inblandat, vilket ofta är fallet vid ransomware-attacker. I dessa fall måste företaget betala en lösensumma till cyberbrottslingarna, vilket är en extra kostnad utöver att återhämta sig från dataintrånget. Om företaget inte betalar lösensumman kan det bli svårt för det att återfå tillgång till deras system och viktiga filer.

På grund av den extra kostnaden är ransomware-attacker dyrare att återhämta sig från än dataintrång som inte involverar någon utpressning. Under 2022 inkluderade 11% av dataintrång någon form av utpressning.

Även om det kan verka som att du måste betala lösensumman om du blir utsatt för en ransomware-attack, föreslår vi att du inte skickar pengar till cyberbrottslingarna. Detta beror på att du kanske inte får tillbaka dina uppgifter i sitt ursprungliga skick och din betalningsvilja kan uppmuntra framtida attacker. Det bästa du kan göra är att förhindra en attack.

Vi känner alla till uttrycket “Tid är pengar”. Det här uttrycket stämmer extra bra in på dataintrång, då kostnaden ökar för varje dag som intrånget inte upptäcks.

Faktum är att det tar mycket längre tid att upptäcka ett dataintrång, än att hantera det. Men båda processer kan vara långvariga. Under 2022 tog det i genomsnitt 207 dagar att upptäcka ett intrång, och 70 dagar att hantera det. Med andra ord, i genomsnitt tar ett dataintrång ¾ av ett år att återhämta sig från.

Att upptäcka dataintrång blir enklare om du använder dig av SIEM och logghantering. Den här typen av tekniska lösningar kan vara användbara för mindre organisationer som kanske har färre resurser eller mindre personal i IT-avdelningen.

AI och automatisering har varit ett centralt ämne under hela 2023. Och det har också visat sig ha en positiv inverkan på dataintrång eftersom organisationer med AI och automatisering är 108 dagar snabbare på att identifiera och begränsa ett dataintrång än organisationer utan användning.

Att identifiera och begränsa ett intrång med omfattande användning av AI och automatisering tog bara 66 % av den tid det tog för organisationer som inte använde AI.

I 2023 års rapport använde endast 28% av organisationerna AI och automatisering i stor utsträckning i sin verksamhet, vilket innebär att många organisationer har en betydande möjlighet att förbättra sin hastighet, noggrannhet och effektivitet. Omfattande användning av AI och automatisering för säkerhet sparade nästan 1,8 miljoner USD i kostnader för dataintrång och förkortade tiden för att identifiera och begränsa ett intrång med mer.

Om ett dataintrång inträffar i din organisation innefattar GDPR en del krav på den notifiering du måste ge. Du måste till exempel notifiera den nationella tillsynsmyndigheten omgående, och inte senare än 72 timmar efter dataintrånget upptäcktes, såvida det inte är högst otroligt att personuppgifter har blivit komprometterade på grund av intrånget. När du notifierar tillsynsmyndigheten måste du beskriva typen av dataintrång, vad för slags uppgifter som har komprometteras, kontaktinformation till ditt dataskyddsombud, förväntade konsekvenser och de åtgärder du redan har tagit eller kommer ta som en del av din respons. Du måste även notifiera de individer vars uppgifter påverkades av dataintrånget så snart som möjligt om du anser att de tillhör högriskzonen.

Nu när vi har gått igenom hur dataintrång inträffar och varför de är så kostsamma, låt oss gå vidare till hur du kan skydda din organisation mot dataintrång och minska kostnaderna om ett dataintrång skulle inträffa.

Förhoppningsvis kommer din organisation inte att bli offer för ett dataintrång. Men eftersom dataintrång blir allt vanligare är det troligt att din organisation kan bli måltavla för ett dataintrångsförsök.

Vi har lärt oss att våra anställda är vår viktigaste resurs när det kommer till att förhindra och upptäcka dataintrång. Ett sätt att minska risken för att ett dataintrång i din organisation är att skapa en stark IT-säkerhetskultur. Eftersom många dataintrång inträffar på grund av mänskliga fel, som att någon klickar på en suspekt länk i ett mejl, är våra anställda den första försvarslinjen.

Men hur kan du förebygga mänskliga fel? Medvetna anställda är mindre troliga att göra de misstag som leder till dataintrång. Vilket är varför det är viktigt att skapa och upprätthålla medvetenhet om IT-säkerhet och korrekt datahantering i din organisation. Det här kan du göra på många olika sätt, till exempel genom aktiviteter inom medvetenhetsträning, simulationer eller regelbunden exponering av IT-säkerhetsfrågor. Några sätt som CyberPilot kan hjälpa dig uppnå en starkare IT-säkerhetskultur är: