דו"ח IBM: ירידה של 10% בעלויות זליגת נתונים

IBM

חטיבת האבטחה של IBM מציגה תוצאות סקר כלל-עולמי הבוחן את ההשפעות והתוצאות של זליגה ואובדן נתונים בעולם העסקים. הסקר, שנערך במימון IBM על ידי מכון Ponemon, מעלה כי העלות הממוצעת של אירוע הפרת אבטחה וזליגת נתונים בקנה מידה ארגוני עומדת כיום על 3.62 מיליון דולר – ירידה של 10% בהשוואה לתוצאות סקר מקביל שנערך אשתקד. זו הפעם הראשונה מאז החל להתפרסם הדו"ח השנתי, בה נרשמת ירידה כוללת בעלויות אלה. על פי הסקר, נושאות חברות במחיר ממוצע של 141 דולר בגין כל רשומה אבודה או רשומה שנגנבה מהן.

ניתוח הכולל 11 מדינות ושני אזורים גיאוגרפיים, הנסקרים במסגרת הדו"ח, הוביל את מומחי האבטחה של IBM לזהות מתאם גבוה בין העמידה לדרישות הרגולטוריות באירופה ובין המחיר הכולל של דליפת נתונים. מדינות באירופה הציגו ירידה של 26% בעלויות הכוללות של דליפת נתונים בהשוואה לסקר שנערך אשתקד. עסקים באירופה עובדים בסביבה רגולטורית צנטרליסטית יותר, בעוד עסקים בארה"ב נדרשים לעמוד בדרישות ייחודיות, כאשר ב- 48 מבין 50 המדינות בארה"ב נהוגים חוקים שונים זה מזה בתחום. העמידה בדרישות רגולטוריות שונות והדיווח העשוי להידרש למיליוני צרכנים, עלולות להיות עניין יקר במיוחד.

על פי הדו"ח, "כשלי עמידה ברגולציה" ומהירות "חובת הדיווח" היו בין חמש הסיבות הבולטות ביותר לעליית מחיר זליגת הנתונים בארה"ב. ניתוח השוואתי של גורמים אלה מעלה כי הפעילות הרגולטורית בארה"ב עלולה לגרום להוצאה גבוהה יותר בגין כל רשומה גנובה או אבודה, בהשוואה לאירופה. כך למשל, אי-עמידה בדרישות רגולציה עולה לעסקים בארה"ב 48% יותר מאשר אירוע מקביל באירופה, בעוד הדיווח המהיר עולה לעסקים בארה"ב 50% יותר מאשר באירופה. בנוסף, חברות בארה"ב דיווחו כי הוציאו יותר מ- 690 אלף דולר בממוצע על הודעות ללקוחות אודות דליפת נתוניהם – יותר מכפליים בהשוואה לכל מדינה אחרת הנסקרת בדו"ח.

לדברי אלון בילורובסקי, מנהל העסקים של קבוצת ה-Cognitive Solutions ב-IBM ישראל "דרישות רגולטוריות חדשות כמו GDPR באירופה מציגות אתגר והזדמנות כאחד לעסקים המחפשים אחר דרכים טובות יותר לנהל את אופן התגובה שלהם לזליגות מידע. זיהוי מהיר של מה שהתרחש בפועל, החומרים אליהם הצליח התוקף לגשת והאופן שבו ניתן להכיל ולבלום את הגישה של התוקפים, הופכים חשובים מאי-פעם. בניה מראש של תוכנית מקיפה לתגובה לאירועי אבטחה היא עניין קריטי, על מנת שארגון הנחשף לאירוע כזה יוכל להגיב במהירות ובאופן יעיל."

זמן הוא כסף
זו השנה השלישית ברציפות, שבה מעלה הסקר כי ארגונים המפעילים צוותי תגובה מהירה (Incident Response ) לאירועים, מצמצמים משמעותית את עלות אירועי זליגת הנתונים, וחוסכים יותר מ- 19 דולר בגין כל רשומה גנובה. מהירות הזיהוי וההכלה של אירוע אבטחה גבוהה משמעותית בארגונים המפעילים צוותי תגובה מהירה שנערכו ותורגלו מראש, ובכאלה שגיבשו והגדירו פורמאלית תוכנית תגובה. צוותי תגובה יכולים לסייע לארגונים לנווט במסגרת ההיבטים המורכבים של הכלת הפרות הנתונים, על מנת למזער הפסדים נוספים.
על פי המחקר, מהירות ההכלה של אירועי זליגת נתונים משפיעה ישירות על התוצאות הפיננסיות. עלות אירוע אבטחה כזה הייתה זולה בכמעט מיליון דולר בארגונים שהיו מסוגלים להכיל את האירוע בתוך פחות משלושים יום, בהשוואה לארגונים שנדרשו לתקופה ארוכה יותר. מהירות התגובה תהפוך לעניין קריטי עוד יותר, עם החלת תקנות GDPR במאי 2018, הדורשות מעסקים הפועלים באירופה לדווח על אירוע זליגת נתונים בתוך 72 שעות – או להיות חשופים לקנסות של עד 4% מהמחזור העולמי שלהם.
המחקר מצביע על מקום ברור לשיפור בכל הנודע למהירות הזיהוי והתגובה לאירוע זליגת נתונים. בממוצע, נדרשים לארגונים יותר משישה חודשים לזיהוי פרצת אבטחה, ויותר מ- 66 ימים נוספים להכיל את הפרצה לאחר שהתגלתה.

הפעלת צוותי תגובה מהירה, מערכות הצפנה והכשרת עובדי הארגון, הוכיחו עצמם ככלים היעילים ביותר בצמצום עליות זליגת נתונים. ארגונים המפעילים צוותי תגובה רשמו ירידה של 19 דולר במחיר רשומה אבודה או גנובה. שימוש אינטנסיבי בהצפנה מוריד את העליות הממוצעות לכל רשומה אבודה או גנובה ב- 16 דולר, והדרכת עובדים מצמצמת את העלויות האלה ב- 12.50 דולר.
תוכניות הבטחת המשכיות עסקית מצמצמות משמעותית את עלויות דליפת הנתונים והאבטחה. המחיר הממוצע לכל יום זליגת נתונים מוערך ב-5,064 דולר דולר. חברות המפעילות תהליכים ידניים להתאוששות ממצבי חירום ואסון חוו מחיר ממוצע של 6,101 דולר ליום. לעומתן, חברות המפעילות תהליך התאוששות אוטומטי המספק רמה גבוהה של יתירות ותזמור כולל של מהלכי ההתאוששות, חוו מחיר ממוצע נמוך משמעותית העומד על 4,401 דולר ליום – הפרש של 39%.

הדו"ח השנתי של עלויות זליגת נתונים ואבטחה בוחן הן את העלויות הישירות והן את העלויות העקיפות בחברות המתמודדות עם אירוע כזה. באמצעות ראיונות עומק עם יותר מ- 410 חברות ב- 13 מדינות ואזורים, מסכם הדו"ח הן את העלויות הישירות של התגובה לאירוע והטיפול בו, והן את הנזק הנגרם למוניטין של החברה, ואת העסקים אותם היא מפסידה בגין אירוע כזה.