هشدار: هزینه‌های نشت داده رو به افزایش است

مطالعات شرکت IBM نشان می‌دهد که هزینه‌های نشت داده رو به افزایش است و پیامدهای اقتصادی آن تا سال‌ها باقی می‌ماند. رخنه‌های اطلاعاتی، تهدیدی جدی برای مشاغل کوچک هستند و هزینه آن‌ها معادل 5 درصد از درآمد سالیانه این مشاغل است.

در تاریخ (23 جولای 2019) IBM (NYSE: IBM) Security نتایج مطالعه سالیانه این شرکت در رابطه با پیامدهای اقتصادی نشت داده‌ها برای سازمان‌ها را منتشر کرد. طبق این گزارش هزینه نشت داده طی 5 سال گذشته 12 درصد افزایش یافته و حالا هزینه آن به طور میانگین 3.92 میلیون دلار است. هزینه‌های روزافزون این حوادث نشان‌دهنده پیامدهای اقتصادی چندجانبه، افزایش قوانین و مقررات و فرایندهای پیچیده مقابله با حملات مجرمانه است.

پیامدهای نشت داده

عواقب و پیامدهای اقتصادی نشت داده می‌تواند برای مشاغل کوچک و متوسط بسیار مهلک باشد. در این مطالعه کمپانی‌هایی با کمتر از 500 کارمند به طور میانگین خسارتی بیش از 2.5 میلیون دلار را متحمل شدند – رقمی که می‌تواند برای مشاغل کوچک که درآمد آن‌ها در سال به طور میانگین 50 میلیون دلار یا کمتر است، فلج‌کننده باشد.

آمار هزینه نشت داده در سال 2019

تاثیر نشت داده‌ تا سال‌ها باقی می‌ماند

هزینه نشت داده: 2014 – 2019

چه عواملی بر هزینه نشت داده تأثیرگذار هستند؟

برای اولین بار در گزارش امسال پیامدهای اقتصادی طولانی‌مدت نشت داده‌ها و هزینه‌ نشت داده مورد بررسی قرار گرفت و مشخص شد که پیامدهای چنین حوادثی تا سال‌ها باقی می‌مانند. هرچند 67 درصد از هزینه‌های نشت داده در یک سال اول پس از حادثه به سازمان‌ها تحمیل می‌شوند اما 22 درصد این هزینه‌ها در سال دوم و 11 درصد بعد از سال دوم ایجاد می‌شوند. هزینه‌های سال دوم و سوم برای سازمان‌هایی که در محیط‌های به شدت قانونمند کار می‌کنند مثل حوزه مراقبت‌های بهداشتی، خدمات مالی، انرژی و داروسازی بیشتر است.

Wendi Whitmore مدیر سرویس‌های اطلاعاتی و واکنش به حوادث در IBM X-Force می‌گوید: «جرائم سایبری برای مجرمین معادل با یک پول هنگفت است و متأسفانه این برای کسب‌وکارها معادل با خسارتی چشمگیر است… با توجه به اینکه سازمان‌ها فقط در 3 سال گذشته با سرقت یا از دست دادن 11.7 میلیارد رکورد مواجه شده‌اند، تمام کمپانی‌ها باید از اثرات و پیامدهای اقتصادی نشت داده بر سود و زیان خودشان آگاه باشند – و بر راهکارهای کاهش این هزینه‌ها متمرکز شوند.»

گزارش «هزینه سالیانه یک نشت داده» که با پشتیبانی مالی IBM Security و توسط موسسه Ponemon انجام شد، بر اساس مصاحبه‌های مفصل با بیش از 500 کمپانی در سراسر دنیا انجام شده که طی سال گذشته یک نشت داده را تجربه کرده‌اند. در این تحلیل صدها فاکتور هزینه از جمله هزینه‌های قانونی، فعالیت‌های فنی و مقرراتی، کاهش ارزش سهام برند، از دست دادن مشتریان و کاهش بهره‌وری کارمندان مورد بررسی قرار گرفته است. برخی از یافته‌های این گزارش عبارتند از:

• رخنه‌های مخرب – متداول‌تر و پرهزینه‌تر: بیش از 50 درصد حوادث نشت داده در این مطالعه ناشی از حملات سایبری مخرب بودند و به طور میانگین هزینه این حملات از حوادث تصادفی حدود 1 میلیون دلار بیشتر بود.
• رخنه‌های عظیم منجر به خسارت‌های عظیم می‌شوند: هرچند این رخنه‌ها کمتر مشاهده می‌شوند اما رخنه‌هایی که در آن‌ها بیش از 1 میلیون رکورد افشا می‌شود، حدود 42 میلیون دلار برای کمپانی‌ها خسارت به بار می‌آورند و آن‌هایی که منجر به افشای 50 میلیون رکورد می‌شوند، 388 میلیون دلار برای کمپانی‌ها هزینه ایجاد می‌کنند.
• اثرات تمرین: به طور میانگین کمپانی‌های دارای تیم واکنش به حادثه که طرح‌های واکنش به حادثه خودشان را به صورت گسترده تست می‌کنند، نسبت به کمپانی‌هایی که چنین راهکارهایی را ندارند، در اثر نشت داده 1.23 میلیون دلار کمتر متحمل هزینه می‌شوند.
• دو برابر بودن هزینه نشت داده در امریکا: میانگین هزینه نشت داده در امریکا 8.19 میلیون دلار است، بیش از دو برابر میانگین جهانی.
• هزینه رخنه در صنعت مراقبت‌های بهداشتی از همه صنایع بیشتر است: برای نهمین سال پیاپی سازمان‌های حوزه مراقبت‌های بهداشتی بیشترین هزینه نشت داده را داشتند – به طور متوسط 6.5 میلیون دلار (بیش از 60 درصد بیشتر از سایر صنایع در این مطالعه).

رخنه‌های مخرب تهدیدی رو به رشد هستند؛ رخنه‌های تصادفی همچنان متداول هستند:

این مطالعه نشان داد رخنه‌هایی که ناشی از حملات سایبری مخرب هستند نه تنها متداول‌تر هستند بلکه نسبت به رخنه‌های تصادفی پرهزینه‌تر نیز هستند.

در این مطالعه، حمله‌های مخرب به طور میانگین برای سازمان‌ها 4.45 میلیون دلار هزینه ایجاد کردند – بیش از 1 میلیون دلار بیشتر از حوادثی که در اثر عوامل تصادفی مثل خطای انسانی یا نقص سیستم رخ می‌دهند. این رخنه‌ها یک تهدید رو به رشد هستند زیرا طی 6 سال اخیر در این مطالعه درصد حملات مخرب یا مجرمانه به عنوان ریشه اصلی نشت داده‌ها از 42 درصد به 51 درصد افزایش یافته است.

با این وجود، رخنه‌های غیرعمدی ناشی از خطای انسانی و نقص سیستم هنوز هم ریشه اصلی حدود نیمی (49 درصد) از حوادث نشت داده در این گزارش هستند و به ترتیب برای سازمان‌ها 3.5 و 3.24 میلیون دلار هزینه ایجاد می‌کنند. این رخنه‌های ناشی از خطاهای انسانی و سیستمی نشان‌دهنده وجود یک فرصت برای بهبود و پیشرفت است که می‌توان از طریق برگزاری برنامه‌های آموزشی برای کارمندان، سرمایه‌گذاری در حوزه تکنولوژی و تست سرویس‌ها جهت شناسایی هرچه سریع‌تر رخنه‌های تصادفی با آن‌ها مقابله کرد.

یکی از حوزه‌های نگرانی، تنظیمات نادرست سرورهای ابر است که در سال 2018 منجر به افشای 990 میلیون رکورد اطلاعاتی شد که طبق شاخص IBM X-Force Threat Intelligence 43 درصد از تمام رکوردهای افشاشده در این سال را تشکیل می‌دهد.

پاسخ به رخنه همچنان مهم‌ترین عامل صرفه‌جویی در هزینه‌هاست. طی 14 سال اخیر، موسسه Ponemon عواملی را که منجر به افزایش یا کاهش هزینه نشت داده می‌شوند بررسی کرده و به این نتیجه رسیده که سرعت و کاراییِ عکس‌العمل نشان دادن به یک رخنه تأثیر چشمگیری بر هزینه‌های کلی آن دارد.

در این گزارش مشخص‌شده که طول عمر یک رخنه 279 روز است که شناسایی آن 206 روز پس از وقوع رخنه زمان می‌برد و مقابله با آن نیز 73 روز زمان می‌برد؛ اما در این مطالعه کمپانی‌هایی که قادر به شناسایی و مقابله با رخنه ظرف کمتر از 200 روز بوده‌اند، به طور میانگین 1.2 کمتر متحمل خسارت شده‌اند.

تمرکز بر واکنش به حادثه منجر به کاهش زمان واکنش به آن می‌شود و در این مطالعه مشخص ‌شده که این اقدامات تأثیر مستقیمی بر هزینه‌های کلی دارند. داشتن یک تیم واکنش به حادثه و آزمایش وسیع طرح‌های واکنش به حادثه دو مورد از سه عاملی بودند که بیشترین تأثیر را در کاهش هزینه‌ها داشتند. کمپانی‌هایی که هردوی این اقدامات را انجام می‌دادند نسبت به کمپانی‌هایی که هیچ یک از آن‌ها را انجام نمی‌دادند، به طور میانگین برای هر نشت داده 1.23 میلیون دلار کمتر متحمل هزینه می‌شدند (3.51 میلیون دلار در مقابل 4.74 میلیون دلار).

سایر عواملی که طبق این مطالعه بر هزینه‌ نشت داده برای کمپانی‌ها تأثیر می‌گذارند، عبارتند از:

• تعداد رکوردهای افشاشده: سرقت یا گم شدن هر رکورد به طور میانگین 150 دلار برای کمپانی‌ها هزینه دارد.
• کمپانی‌هایی که تکنولوژی‌های اتوماسیون امنیت را پیاده‌سازی کرده‌اند، در مقایسه با کمپانی‌هایی که چنین تکنولوژی‌هایی را ندارند تقریباً یک دوم متحمل هزینه شده‌اند (2.65 میلیون دلار در مقابل 5.16 میلیون دلار).
• استفاده گسترده از رمزنگاری یکی دیگر از عوامل تأثیرگذار بر کاهش هزینه‌ها بوده که مجموع هزینه‌های رخنه را حدود 360 هزار دلار کاهش می‌دهد.
• رخنه‌هایی که منشأ آن‌ها یک شخص ثالث – مثل یک همکار یا تأمین‌کننده – هستند، به طور میانگین 370 هزار دلار برای کمپانی‌ها بیشتر هزینه ایجاد می‌کنند که این نشان می‌دهد کمپانی‌ها باید به دقت امنیت شرکت‌هایی را که با آن‌ها همکاری می‌کنند تحت نظر داشته و بر دسترسی‌های اشخاص ثالث نظارت کنند.

گرایشات منطقه‌ای و صنعتی:

در این مطالعه هزینه‌ نشت داده در صنایع و مناطق مختلف هم بررسی شد و مشخص شد که هزینه‌ نشت داده در امریکا بشدت بیشتر است – 8.19 میلیون دلار یا به عبارتی بیش از دو برابر کمپانی‌های سایر کشورها در مطالعه. طی 14 سال اخیر در این مطالعه هزینه‌ نشت داده در امریکا (نسبت به هزینه 3.54 میلیون دلاری در سال 2006) بیش از 130 درصد افزایش یافته است.

بعلاوه بیشترین تعداد رکوردهای افشاشده در هر حادثه متعلق به خاورمیانه بوده است (40 هزار رکورد در هر حادثه در مقایسه با میانگین جهانی که حدود 25 هزار رکورد است). برای نهمین سال پیاپی در این مطالعه، سازمان‌های حوزه مراقبت‌های بهداشتی بیشترین خسارت را در اثر نشت داده متحمل شده‌اند. میانگین هزینه‌ نشت داده در این صنعت حدود 6.5 میلیون دلار است – یعنی بیش از 60 درصد بیشتر از میانگین سایر صنایع.

با ما همراه باشید.