Af Henrik Malmgreen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Det er efterhånden gået op for langt de fleste større virksomheder, at databrud kan betyde økonomiske tab i milliardklassen. Det beviser sidste års angreb mod Mærsk-koncernen, og selv om man er en stor, global aktør, kan tab i den størrelsesorden godt gøre rigtig ondt. Derudover er det selvfølgelig også smertefuldt at måtte sande, at udefrakommende kræfter er i stand til at lamme ens centrale forretningssystemer.
Den gode nyhed er, at eksemplet Mærsk for alvor har været med til at sætte datasikkerhed på dagsordenen i direktioner og bestyrelser, men den dårlige nyhed er til gengæld, at de it-kriminelle for alvor er begyndt at tænke stort og har fået smag for de såkaldte mega breaches, hvor mere end én million personfølsomme filer kompromitteres. Det dokumenterer IBM’s seneste studie af de omkostninger, der følger i kølvandet på disse databrud.
Flere mega breaches
For 13. år i træk har IBM Security nemlig netop udgivet den seneste udgave af en sikkerhedsanalyse, der baserer sig på næsten 500 globale interviews, dog ingen danske. Den sætter netop fokus på, hvad databrud samlet set egentlig koster virksomhederne og i virkeligheden også samfundet. For heller ikke den offentlige sektor går ram forbi, når der stjæles data i stor målestok.
Normalt tager analysen kun udgangspunkt i databrud, hvor mellem 2500 og 100.000 personfølsomme filer kompromitteres, da langt størstedelen hidtil har ligget i dette segment. Men som noget nyt indeholder den i år ligeledes beregninger af omkostningerne ved mega breaches. Årsagen er ganske enkel – der registreres stadig flere mega breaches. 12 af analysens 477 interviews beskriver netop breaches i mega breach-kategorien.
En kostbar affære
”Det er umuligt at beskytte sig fuldstændig mod databrud, for i dag er der ganske enkelt tale om en slags våbenkapløb mellem de kriminelle og virksomhederne. Men rappor-ten konkluderer, at en god start for større virksomheder er at oprette et egentligt Incident Response Team, mens mellemstore virksomheder som minimum bør ansætte en Chief Information Security Officer”, siger Christian Givskov, der er nordisk salgsleder for IBM Security.
Han føjer til, at tab på databrud ikke kun relaterer til eksempelvis direkte tab på forretning, men også en række indirekte omkostninger såsom faldende aktiekurs, kundeflugt samt ikke mindst øget ressourceforbrug, blandt andet i form af medarbejdertimer. Det er faktorer, der i høj grad har fået opmærksomhed fra virksomhedernes ledelse, blandt andet fordi, der altså ikke bare finder flere og flere databrud sted, men fordi de også bliver stadig mere alvorlige.
Hurtig handling betaler sig
Selve antallet af tabte eller stjålne følsomme personlige filer påvirker de samlede omkostninger ved et databrud. Hver stjålet eller tabt fil koster i gennemsnit 148 dollars, og analysen har undersøgt flere faktorer, som kan være med til at reducere omkostningerne.
Det at have et Incident Response Team er den mest besparende faktor og reducerer omkostningerne med 14 dollars pr. fil, mens brugen af en kunstig intelligens platform til cybersikkerhed reducerer omkostningerne med 8 dollars pr. fil. Resultaterne dokumenterer, at de organisationer, der i høj grad har implementeret automatiske sikkerhedsværktøjer, sparer mere end 1,5 millioner dollars på de totale omkostninger.
Omkostninger i kroner
”Inden for de seneste fem år er antallet af mega breaches næsten fordoblet fra blot 9 i 2013 til 16 i 2018, og i analysen medtager vi indirekte omkostninger med henblik på at udregne den samlede effekt på bundlinjen. Resultaterne viser f.eks., at tabt forretning tegner sig for mere end 1/3 af omkostningerne ved mega breaches. Tabt forretning dækker blandt andet over tabt omsætning grundet systemnedbrud, dårligt image, mistede kunder samt manglende tilgang af nye kunder”, siger Christian Givskov videre.
De samlede omkostninger for et normalt databrud ligger i gennemsnit på 3,86 millioner dollars, hvilket er en stigning på 6,4 procent i forhold til 2017 og en stigning på 10 % set over en femårig periode. Det er ikke muligt ud af analysen specifikt at se, hvad et typisk databrud koster en dansk virksomhed, men Christian Givskov vurderer, at det ligger på niveau lige omkring niveauet for England og Tyskland, hvilket vil sige ca. 175 dollars pr. fil.
Tal fra 15 lande
Analysen er sponsoreret af IBM Security og udført af Ponemon Institute. Den del, der omhandler databrud i normal størrelsesorden, er baseret på interviews med mere end 2200 it-professionelle fra 477 organisationer fordelt på 15 forskellige lande og regioner.
Fælles for alle interviewpersonerne er, at de har oplevet et databrud i deres respektive virksomhed inden for de seneste 12 måneder. Mega breaches er undersøgt ved at studere yderligere 12 virksomheder, som har oplevet et mega breach inden for de seneste to år.
Sammenhold gør stærk
”Selv om databrud er alvorlige, er det imidlertid positivt, at virksomhederne i dag selv kan gøre mere og mere for at beskytte sig. Blandt andet fordi it-branchen også har indset, det er nødvendigt at stå sammen. Således har IBM eksempelvis et tæt samarbejde med både Cisco og en række andre it-virksomheder, for i sikkerhedens navn er vi nødt til mere at se os som kolleger end konkurrenter”, siger Christian Givskov.
Det er en udvikling, som blandt andet kunderne finder helt naturlig, men alt andet lige er den også nødvendig. Kigger man specifikt på fænomenet Advanced Persistent Threats er den tid, der går fra et angreb sættes ind, til det opdages nemlig steget med 100 dage. Der skal ikke megen fantasi til at forestille sig, hvad mere end 3 måneders ekstra hærgen i en virksomheds data kan gøre af ubodelig skade.
Rapportens nøgletal
De gennemsnitlige omkostninger ved databrud, hvor 1 million personfølsomme filer kompromitteres, er 40 millioner dollars. Ved 50 millioner kompromitterede personfølsomme filer ligger de estimerede totale omkostninger på 350 millioner dollars. 11 ud af 12 af databrud stammer fra ondsindede og kriminelle angreb i modsætning til systemfejl eller menneskelige fejl, som ellers udgør ca. halvdelen af databruddene i de almindeligste breaches.
Den gennemsnitlige tid til at opdage og isolere et mega breach er 365 dage, hvilket er næsten 100 dage længere end for et databrud i den mindre skala, som er 266 dage. I gennemsnit tager det 197 dage at identificere et databrud og 69 dage at isolere det. Virksomheder, der isolerer et databrud på under 30 dage, sparer mere end 1 million dollars sammenlignet med, hvis det tager længere tid
. Med en gennemsnitlig omkostning på 408 dollars pr. stjålet eller mistet personfølsom fil har sundhedsorganisationer de højeste omkostninger ved databrud. Det er næsten tre gange højere end gennemsnittet på tværs af brancher, som er 148 dollars.