مؤسسه IBM گزارشی از هزینههای ناشی از نقض دادهها برای سازمانها و صنایع در سال ۲۰۲۲ منتشر کرد.
اختصاصی افتانا: مؤسسه IBM گزارشی از هزینههای ناشی از نقض دادهها برای سازمانها و صنایع در سال ۲۰۲۲ منتشر کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات) به نقل از Tripwire، حجم و تأثیر نقض دادهها در سال ۲۰۲۲ تا حد زیادی شتاب گرفته است و پیامدهای نامطلوب زیادی برای مشاغل داشته است. Tc بر چندین عامل بهروز شده تأکید دارد که هزینههای زیادی را در ۱۷ کشور و منطقه و ۱۷ صنعت ایجاد کرده است. این گزارش شامل حوزههای تحلیلی مرتبط جدیدی مانند تشخیص و پاسخ گسترده (XDR)، تکنیکهای کمیسازی ریسک و فناوریهایی است که به یک چارچوب امنیتی بدون اعتماد کمک میکنند مانند مدیریت هویت و دسترسی (IAM) و تأیید اعتبار چند عاملی (MFA).
گزارشهای ۲۰۲۲ بالاترین افزایش هزینه جهانی ناشی از نقض دادهها را در تمام سالهای گذشته نشان میدهد. میانگین هزینه جهانی نقض اطلاعات به ۴.۳۵ میلیون دلار رسید که ۱۲.۷ درصد نسبت به سال گذشته افزایش یافته است و بالاترین میزان ثبت شده در تاریخ گزارشهای IBM است. برای دوازدهمین سال متوالی، ایالات متحده با میانگین کل هزینه نقض دادهها یعنی ۹.۴۴ میلیون دلار، بالاترین هزینه را ثبت کرده است. دومین منطقه نیز منطقه خاورمیانه با ۷.۴۶ میلیون دلار است. آلمان با کمترین هزینه به میزان ۴.۸۵ میلیون در جایگاه پنجم قرار دارد.
سه صنعت اول تحت تأثیر هزینههای نقض دادههای ذکر شده در این گزارش، مراقبتهای بهداشتی، مالی و دارویی هستند. صنعت مراقبتهای بهداشتی با ۹.۴ درصد افزایش نسبت به سال قبل با ۱۰.۱۰ میلیون دلار مقام اول را به خود اختصاص داد. بخش مالی با ۴.۴ درصد افزایش نسبت به سال ۲۰۲۱ رتبه دوم را با ۵.۹۷ میلیون دلار کسب کرد. میانگین کل هزینه در صنعت داروسازی ۵.۰۱ میلیون دلار بود که اندکی کاهش داشت. هر کدام از اینها قسمتی از بخشهای زیرساختی حیاتی هستند و قریب به ۶۰ درصد سازمانها در نتیجه هزینههایی که از نقض دادهها متحمل شدند، قیمت خدمات و محصولات خود را برای مصرفکننده افزایش دادند.
چهار بردار اصلی حمله اولیه نقض دادهها در گزارش ۲۰۲۲ شبیه به گزارش سال قبل نشان داده شده است. متداولترین بردار حمله اولیه با سهم ۱۹ درصد مربوط به اعتبارنامهها با هزینه متوسط ۴.۵۰ میلیون دلار بود. حملات فیشینگ ۱۶ درصد از نقضها را تشکیل میدهند که ۴.۹۱ میلیون دلار هزینه داشته است. بقیه بردارهای حمله اولیه مانند پیکربندی نادرست ابری با ۱۵ درصد و آسیبپذیریهای نرمافزار شخص ثالث با ۱۳ درصد به ترتیب در رتبههای بعدی هستند.
در عین حال، یک علامت مثبت که هزینه نقض دادهها را کاهش میدهد در گزارش مشاهده میشود. به عنوان مثال، پلتفرمهای هوش مصنوعی هزینه نقض داده را به طور متوسط ۳۰۰ هزار و ۷۵ دلار از میانگین هزینه نقض داده ۴.۳۵ میلیون دلار کاهش دادند. رویکردهای DevSecOps هزینهها را بهطور متوسط ۲۷۶ هزار و ۱۲۴ دلار کاهش دادند و برای عامل سوم، تشکیل تیم واکنش به حادثه (IR) میانگین هزینههای نقض دادهها را تا ۲۵۲ هزار و ۸۹۷ دلار کاهش داد. با در نظر گرفتن کنترلهای امنیتی خودکار هوش مصنوعی، اقدامات امنیتی کاملاً خودکار مستقر شده ۳.۱۵ میلیون دلار هزینههای کمتری نسبت به اقداماتی دارند که در آن هیچ روش امنیتی خودکارسازی وجود ندارد. مواردی که امنیت و اتوماسیون هوش مصنوعی به کار گرفته نشد، هزینه بالاتری معادل ۶.۲۰ میلیون دلار داشت. سازمانهایی که کنترلهای امنیتی خودکار هوش مصنوعی را به طور کامل مستقر کرده بودند، بهطور متوسط دو ماه و نیم زودتر از سازمانهایی که کنترلهای امنیتی مستقر نکرده بودند، یک نقض را شناسایی کردند.
امنیت ابری و دورکاری سازمانهایی که رویههای امنیتی ابری بالغ داشتند، بیش از نیم میلیون دلار کاهش هزینه را نسبت به سازمانهایی که در مراحل اولیه ایمنسازی محیطهای ابری خود بودند، نشان دادند. بالاترین سطح بلوغ در استفاده از شیوههای امنیت ابری هزینه ۳.۸۷ میلیون دلار را نشان میداد، در حالی که پایینترین سطح بلوغ در شیوههای امنیت ابری که در آن هیچ کنترلی استفاده نمیشود، هزینه بالاتری معادل ۴.۵۹ میلیون دلار داشت.
با ای حال، دورکاری به عنوان عاملی که باعث نقض دادهها میشود در نظر گرفته شد، هزینه آن ۴.۹۹ میلیون دلار محاسبه شد که بیش از نیم میلیون دلار بالاتر از میانگین جهانی است. هنگامی که به عنوان عامل ایجاد نقض دادهها در نظر گرفته نشد، هزینه آن ۴.۰۲ میلیون دلار محاسبه شد.
فاکتورهای کلیدی جدید هزینههای ناشی از نقض دادهها
فناوری های XDR برای اولین بار در تاریخ گزارش IBM، فناوریهای تشخیص و پاسخ گسترده (XDR) تجزیه و تحلیل میشوند. سازمانهایی که از فناوریهای XDR استفاده کردهاند، به طور متوسط ۴.۱۵ میلیون دلار هزینه کمتری نسبت به سازمانهایی که فناوریهای XDR را به کار نگرفتهاند، تجربه کردهاند. آن شرکتها هزینه ۴.۵۵ میلیون دلاری را متحمل شدند که بالاتر از میانگین جهانی هزینه نقض داده است.
واکنش به حادثه (IR) گزارش امسال همچنین بر استفاده از تیمهای IR و آزمایش طرحهای IR تمرکز دارد. استفاده از هر دو روش هزینه پایین قابل توجهی ۳.۲۶ میلیون دلار از میانگین هزینه نقض داده را نشان داده است، در حالی که نداشتن تیم IR یا مکانیسمهای آزمایش IR منجر به هزینه هنگفت ۵.۹۲ میلیون دلار شده است.
کمیسازی ریسک روشهای کمیسازی ریسک بر اثرات مالی، زیانها و در دسترس بودن دادهها با یکپارچگی دادهها تمرکز دارند. چنین عواملی برای CISOها، مدیران ریسک و تیمهای امنیتی برای تعیین کمیت این ریسکها در منابع مالی بسیار سودمند هستند. سازمانهایی که از کمیسازی ریسک در مقابل تهدیدهای امنیتی استفاده کردند، به طور متوسط ۲.۱۰ میلیون دلار کاهش هزینه را به همراه داشته که مجموع هزینهها در این سازمانها ۳.۳۰ میلیون دلار است، در حالی که عدم استفاده از هیچ روش کمی ریسک باعث هزینه ۵.۴۰ میلیون دلار شده است.
اعتماد صفر تأثیر چهارچوب امنیتی صفر اعتماد بر نقض دادهها برای دومین بار از گزارش سال قبل مورد تجزیه و تحلیل قرار گرفته است. سازمانها با به کارگیری اعتماد صفر نزدیک به ۱ میلیون دلار در هزینهها صرفه جویی کردند. سازمانهایی که چهارچوب اعتماد صفر داشتند به طور متوسط ۴.۱۵ میلیون دلار هزینه داشتند، در حالی که سازمانهایی که از این چهارجوب استفاده نکردند، هزینه ۵.۱۰ میلیون دلار را متحمل شدند.
کلام آخر میلیونها دلار به دلیل نقض اطلاعات در ۱۷ کشور مختلف و ۱۷ صنعت مختلف در سال ۲۰۲۲ از بین رفت. این گزارش تأکید میکند که فقدان کنترلها و رویههای امنیتی دلیل اصلی همه زیانهای ناشی از این نقضهای داده است. هزینههای جهانی به بالاترین حد خود رسیده است که توجه به نیاز به ملاحظات بهتر و محکم در مورد امنیت صنایع و سازمانها را مورد تأکید قرار میدهد.
فاکتورهای جدیدی که در گزارش امسال تحلیل شدهاند نیز نشانههای خوبی از کاهش بسیاری از زیانها را نشان میدهند. این ما را به این نتیجه میرساند که پیشرفت بردارهای حمله مختلف و فناوریهایی که برای نقض دادهها هدف قرار میگیرند در حال افزایش است و پیچیدهتر از همیشه میشوند. با این حال، این گزارش همچنین نشان میدهد که اتخاذ رویههای امنیتی مختلف فناوری مانند امنیت خودکار هوش مصنوعی، DevSecOps، تیمهای IR و دیگر برنامهها همگی در کاهش بسیاری از هزینهها نقش داشتهاند.