Ny IBM-rapport: Den verkliga kostnaden för ett dataintrång 2022

Varje år blir kostnaden för ett dataintrång högre och högre. Enligt IBM:s 2022 Cost of a Data Breach-rapport är i år inget undantag. I det här blogginlägget använder vi de senaste uppgifterna för att avslöja hur mycket en cyberattack kan komma att kosta din organisation. Vi lyfter också fram trender inom dataintrång du bör vara medveten om. Till sist kommer vi avsluta med praktiska rekommendationer du kan använda för att förbättra din organisations IT-säkerhet och minska riskerna för ett dataintrång.

Om du tycker det här låter som mycket pengar är du inte ensam. Den här kostnaden är nästan en ökning på 13% från kostnaden för ett dataintrång under 2020. Dataintrång kostar alltså en hel del, och de blir dyrare för varje år. Med tanke på hur mycket pengar det rör sig om, bör det vara en prioritet hos organisationer att upprätthålla goda IT-säkerhetsvanor för att förebygga dataintrång.

Vad har förändrats från förra året

I jämförelse med rapporten från 2021 blev dataintrång dyrare under 2022. Förra året var den genomsnittliga kostnaden för ett dataintrång 45,2 miljoner kronor. Det här året ligger den genomsnittliga kostnaden på 46,7 miljoner kronor. En av de främsta orsakerna bakom ökningen är att verksamheter inom hälso- och sjukvårdssektorn har betalat ut högre summor pengar på grund av dataintrång. Kostnaden för dataintrång för dessa verksamheter har ökat med ca 9 miljoner kr under 2022.

Årets rapport erbjuder för första gången även en inblick i processenen av att uppleva ett dataintrång. Till exempel behövde en majoritet av de granskade företagen öka sina priser efter ett dataintrång. Rapporten visar även hur sårbara företag är för cyberattacker, då mer än 80% av de organisationer som har granskats har upplevt mer än ett dataintrång.

Distansarbete är fortfarande en faktor som bidrar till en ökad kostnad för dataintrång, men kostnaden för de dataintrång där distansarbete var inblandat minskade något i år.

Slutligen, förra året var nätfiske den vanligaste orsaken bakom dataintrång. Det här året var komprometterade autentiseringsuppgifter den vanligaste orsaken, följt av nätfiske.

Nu när vi har gått igenom några av de viktigaste resultaten från IBM:s 2022-rapport går vi vidare till hur själva rapporten sammanställdes. Härefter kommer vi ta en snabb titt på IBM:s undersökningsmetoder och vad de hittade om dataintrång här i Skandinavien.

Hur rapporten sammanställdes

För att samla ihop data till rapporten intervjuade IBM 3 600 människor från 550 organisationer runt om i världen. För att bäst beräkna den genomsnittliga kostnaden för ett dataintrång uteslöt IBM de minsta och största dataintrången. Om du är intresserad av att läsa om de allra största summorna, innehåller rapporten fortfarande ett avsnitt om megaintrång. I övrigt bestod majoriteten av urvalet av organisationer inom dessa områden: finans, tjänster, industri och teknik.

Vad det här innebär för mindre företag

Eftersom rapportens resultat presenteras baserat på ett medelvärde, kan det vara svårt för små företag att se sig själva i resultatet. Om detta är något du kan relatera till, uppmanar vi dig att vara uppmärksam på trenderna i hur dataintrång sker och hur det påverkar organisationer, istället för att fokusera på det rapporterade beloppet.

Till exempel, även om det är osannolikt att en nätfiskeattack kommer kosta din organisation den genomsnittliga summan 46,7 miljoner kr, är det fortfarande troligt att din organisation blir utsatt för nätfiske, eftersom det är den vanligaste orsaken bakom dataintrång. Så trenderna och rekommendationerna kommer förhoppningsvis vara användbara för dig, även om själva kostnaden verkar orealistisk.

Dataintrång i Skandinavien

Vi vill även sätta siffrorna i ett mer lokalt perspektiv. I år utgjorde skandinaviska företag 4% av urvalet som granskades. Intressant nog minskade den genomsnittliga kostnaden för ett dataintrång bland skandinaviska företag i år. Under 2021 var den genomsnittliga kostnaden i Skandinavien 28,5 miljoner kronor, och i år har den sjunkit till 22 miljoner. Endast Brasilien och Turkiet hade en i genomsnitt lägre kostnad än Skandinavien.

• År 2009 visade uppskattningar att en cyberattack inträffade var 39:e sekund

• Under 2022 ökade frekvensen av cyberattacker till en gång var 11:e sekund

Eftersom dataintrång inträffar allt oftare och kostar företag allt mer pengar, kan man med säkerhet säga att vi bör vara uppmärksamma på detta problem.

Många organisationer har upplevt flera säkerhetsintrång

Bland de organisationer som IBM granskade för deras 2022-rapport, hade 83% upplevt mer än ett dataintrång. Kan du föreställa dig att behöva betala över 46 miljoner kronor för att återhämta sig från en cyberattack, mer än en gång?

På grund av hur dyra dataintrång faktiskt är, hade 60% av företag behövt öka priset på deras produkter eller tjänster. Det här är inte bra nyheter för företag. Högre kostnader utöver minskat kundförtroende kan driva bort kunder, mot konkurrenter.

Cyberbrottslingar är smarta. De vet mycket väl vilka typer av organisationer som riskerar att förlora mest från ett dataintrång och vilka som har råd att betala lösensummor. Stora organisationer får också de största böterna när de bryter mot GDPR.

Med det här i åtanke är det inte konstigt att de stora organisationerna, t.ex. de inom hälso- och sjukvårdsbranschen, drabbas av de största kostnaderna när de blir utsatta för dataintrång. Bara föreställ dig alla de personuppgifter om patienter som hackare kan få tillgång till. Det kan orsaka stora problem om hackare förstör patienternas journaler, då de i så fall inte längre kan få behandling. Dessutom är hälsouppgifter mycket känsliga och förtroendet för organisationer ka ta stor skada om uppgifterna kom ut. Mängden känsliga uppgifter som dessa organisationer har i sina register, och deras vilja att betala för att behålla kontrollen över dem, gör dessa organisationer till en stor måltavla för dyra dataintrång.

Faktum är att kostnaden för ett dataintrång för hälso- och sjukvårdsorganisationer är mer än dubbelt så högt som genomsnittet 2022, på 107,8 miljoner kronor.

Även om större organisationer är mer självklara måltavlor för cyberkriminella, blir små företag också allvarligt drabbade av dataintrång. Eftersom mindre företag saknar de enorma IT-säkerhetsbudgeterna och interna resurser som de stora företagen har, är de mer sårbara för förödande konsekvenser vid ett dataintrång. Vilket leder till att 60% av de små företag som drabbas av dataintrång tvingas stänga ner sin verksamhet inom sex månader.

Det här är inte så konstigt, särskilt med tanke på att organisationer vanligtvis höjer priserna för deras kunder för att hantera konsekvenserna av dataintrång. Det är enkelt för kunder att vända sig till en ny verksamhet när de väl har förlorat förtroendet för ett företag på grund av ett dataintrång och beslutet görs bara enklare av att företaget även väljer att höja sina priset.

• Komprometterade kontouppgifter

• Nätfiske

• Felkonfiguration i molnet

Organisationer bör alltid ha som mål att se till att deras anställda är medvetna om hur dataintrång vanligtvis inträffar, och hur man skyddar sig mot dem.

Det vanligaste sättet hackare tar sig in i ett företags system är genom att få tillgång till en anställds kontuppgifter.

Den här typen av cyberattacker är den vanligaste, och olyckligtvis tar dem även längst tid att reda ut. Under 2022 tog den här typen av dataintrång i genomsnitt 327 dagar att upptäcka och hantera.

För att minska risken av dataintrång som orsakas av komprometterade kontouppgifter är det viktigt att känna till hur man skapar starka lösenord, och vad som kännetecknar ett nätfiskemejl. Ett sätt att hjälpa dina anställda känna igen nätfiskemejl är genom nätfisketräning. Du kan också använda dig av tvåfaktorsautentisering, lösenordshanterare eller en kombination av de två för att ytterligare stärka IT-säkerheten i din organisation.

• 33%: förlorad verksamhet – skadat rykte
• 33%: upptäcka och eskalering av dataintrånget - revisioner och utredningar
• 27%: åtgärder efter dataintrånget - tjänster för offer, t.ex. hjälplinje och kredituppföljning
• 7%: notifiering - informera kunder och tillsynsmyndigheter om intrånget via mail, telefon, e-post, etc

Förlorad verksamhet är en stor del av den totala kostnaden för ett dataintrång. I genomsnitt kostar det 15 miljoner kronor per dataintrång.

Föreställ dig att du är kund till ett företag som råkar ut för ett dataintrång. När du hör nyheterna om dataintrånget börjar du tappa förtroendet för verksamheten som upplevde cyberattacken. Om du är en nuvarande kund kanske du vill sluta göra affärer med dem. Om du är en potentiell kund kan du välja en annan leverantör som tillhandahåller samma tjänst.

Kort sagt är dataintrång väldigt dåligt för din verksamhet.

Även efter företaget återhämtar alla känsliga uppgifter, kan det ta flera år innan de lyckas återbygga kundernas förtroende.

Utöver det drabbas många företag också av förlorade intäkter från den tidpunkt då deras tjänster låg nere under intrånget och kunderna saknade åtkomst. Detta är särskilt fallet vid ransomware-attacker, där ransomware gör att ett företag är "offline" under en period.

• Befintliga IT-säkerhetssystem och metoder för att upptäcka säkerhetshot

• Hur lång tid det tar att hitta och hantera intrånget

• Mängden uppgifter som är komprometterade

• Skyddsåtgärder som företaget implementerar efter intrånget för att skydda sina uppgifter och de personer vars information äventyrades under attacken

Att ha en färdig responsplan vid fall av dataintrång kan hjälpa din organisation att spara tid när ett dataintrång inträffar. Det är alltså alltid en bra idé att ha en plan redo för eventuella dataintrång.

Ett dataintrång kan också bli dyrare när utpressning är inblandat, vilket ofta är fallet vid ransomware-attacker. I dessa fall måste företaget betala en lösensumma till cyberbrottslingarna, vilket är en extra kostnad utöver att återhämta sig från dataintrånget. Om företaget inte betalar lösensumman kan det bli svårt för det att återfå tillgång till deras system och viktiga filer.

På grund av den extra kostnaden är ransomware-attacker dyrare att återhämta sig från än dataintrång som inte involverar någon utpressning. Under 2022 inkluderade 11% av dataintrång någon form av utpressning.

Även om det kan verka som att du måste betala lösensumman om du blir utsatt för en ransomware-attack, föreslår vi att du inte skickar pengar till cyberbrottslingarna. Detta beror på att du kanske inte får tillbaka dina uppgifter i sitt ursprungliga skick och din betalningsvilja kan uppmuntra framtida attacker. Det bästa du kan göra är att förhindra en attack.

Vi känner alla till uttrycket “Tid är pengar”. Det här uttrycket stämmer extra bra in på dataintrång, då kostnaden ökar för varje dag som intrånget inte upptäcks.

Faktum är att det tar mycket längre tid att upptäcka ett dataintrång, än att hantera det. Men båda processer kan vara långvariga. Under 2022 tog det i genomsnitt 207 dagar att upptäcka ett intrång, och 70 dagar att hantera det. Med andra ord, i genomsnitt tar ett dataintrång ¾ av ett år att återhämta sig från.

Att upptäcka dataintrång blir enklare om du använder dig av SIEM och logghantering. Den här typen av tekniska lösningar kan vara användbara för mindre organisationer som kanske har färre resurser eller mindre personal i IT-avdelningen.

Vi uppskattar alla flexibiliteten med att kunna arbeta hemifrån. Det kan dock ta längre tid att upptäcka och hantera ett dataintrång när stora delar av ett företag jobbar på distans.

Dataintrång som involverar distansarbete kostar i genomsnitt 10,6 miljoner kronor mer än intrång där distansarbete inte var en faktor.

Sanningen är att distansarbete har blivit en permanent del av vår arbetskultur. För att upprätthålla datasäkerheten när anställda jobbar hemifrån, är det viktigt att företag skyddar deras system och de anställda som jobbar på distans. Om distansarbete är vanligt i din organisation kan säkerhetsåtgärder och verktyg som asset management hjälpa stärka ditt säkerhetsskydd.

Om ett dataintrång inträffar i din organisation innefattar GDPR en del krav på den notifiering du måste ge. Du måste till exempel notifiera den nationella tillsynsmyndigheten omgående, och inte senare än 72 timmar efter dataintrånget upptäcktes, såvida det inte är högst otroligt att personuppgifter har blivit komprometterade på grund av intrånget. När du notifierar tillsynsmyndigheten måste du beskriva typen av dataintrång, vad för slags uppgifter som har komprometteras, kontaktinformation till ditt dataskyddsombud, förväntade konsekvenser och de åtgärder du redan har tagit eller kommer ta som en del av din respons. Du måste även notifiera de individer vars uppgifter påverkades av dataintrånget så snart som möjligt om du anser att de tillhör högriskzonen.

Nu när vi har gått igenom hur dataintrång inträffar och varför de är så kostsamma, låt oss gå vidare till hur du kan skydda din organisation mot dataintrång och minska kostnaderna om ett dataintrång skulle inträffa.

Förhoppningsvis kommer din organisation inte att bli offer för ett dataintrång. Men eftersom dataintrång blir allt vanligare är det troligt att din organisation kan bli måltavla för ett dataintrångsförsök.

Vi har lärt oss att våra anställda är vår viktigaste resurs när det kommer till att förhindra och upptäcka dataintrång. Ett sätt att minska risken för att ett dataintrång i din organisation är att skapa en stark IT-säkerhetskultur. Eftersom många dataintrång inträffar på grund av mänskliga fel, som att någon klickar på en suspekt länk i ett mejl, är våra anställda den första försvarslinjen.

Men hur kan du förebygga mänskliga fel? Medvetna anställda är mindre troliga att göra de misstag som leder till dataintrång. Vilket är varför det är viktigt att skapa och upprätthålla medvetenhet om IT-säkerhet och korrekt datahantering i din organisation. Det här kan du göra på många olika sätt, till exempel genom aktiviteter inom medvetenhetsträning, simulationer eller regelbunden exponering av IT-säkerhetsfrågor. Några sätt som CyberPilot kan hjälpa dig uppnå en starkare IT-säkerhetskultur är: