Co wiemy z nowego raportu IBM dotyczącego kosztów naruszenia bezpieczeństwa danych?

Badanie przeprowadzone niezależnie przez Ponemon Institute, a przeanalizowane i opublikowane przez IBM Security wieńczy osiemnasty doroczny raport o kosztach naruszenia danych. Jest to wiodące badanie porównawcze w branży bezpieczeństwa, a raport ma pomóc liderom IT, zarządzania ryzykiem i bezpieczeństwa zidentyfikować luki w ich politykach i odkryć, jakie środki są najskuteczniejsze w minimalizowaniu szkód finansowych i ochronie reputacji po kosztownych naruszeniach danych.

Wydanie tegorocznego raportu opiera się na analizie zbioru rzeczywistych naruszeń danych w 553 organizacjach. Rozmawiano z tysiącami osób i przeanalizowano setki czynników kosztowych, aby sformułować wnioski zawarte w raporcie. (Badane naruszenia danych miały miejsce między marcem 2022 a marcem 2023, więc wzmianki o latach odnoszą się do roku badania, niekoniecznie do roku wykrycia incydentu).

Najważniejsze wnioski z raportu

Poniżej znajdują się niektóre z najważniejszych wniosków płynących z analizy raportu na temat kosztów naruszenia danych w 2023 roku.

1. Sztuczna inteligencja i automatyzacja zabezpieczeń, podejście DevSecOps oraz plany reagowania na incydenty (IR) przyniosły oszczędności. Niektóre z najskuteczniejszych narzędzi i procesów bezpieczeństwa pomogły obniżyć średnie koszty włamań o miliony dolarów, na czele ze sztuczną inteligencją i automatyzacją. Firmy, które chętnie korzystały z pomocy sztucznej inteligencji i automatyzacji zaoszczędziły średnio 1,76 miliona dolarów w porównaniu z tymi, które używały wymienionych technologii w ograniczonym zakresie lub wcale. Tymczasem organizacje objęte badaniem wykazujące entuzjastyczne podejście do proaktywnego planowania i procesów bezpieczeństwa również odniosły duże korzyści. Wykorzystanie na wysokim poziomie podejścia DevSecOps (metodologia integracji bezpieczeństwa w cyklu tworzenia oprogramowania) pozwoliło organizacjom zaoszczędzić średnio 1,68 miliona dolarów. Korzystne było również wykorzystanie na wysokim poziomie planowania reagowania na incydenty (IR) i testowanie planu IR, co doprowadziło do obniżenia kosztów średnio o 1,49 mln USD.

2. AI i ASM (ang. Attack Surface Management) przyspieszyły identyfikację i powstrzymywanie naruszeń. Organizacje regularnie stosujące sztuczną inteligencję i automatyzację zabezpieczeń wykryły incydent i powstrzymały go średnio o 108 dni szybciej niż organizacje, które nie korzystały z tych metod. Ponadto ASM, czyli rozwiązania pomagające organizacjom dostrzec punkt widzenia atakującego podczas znajdowania słabości w zabezpieczeniach pomogły skrócić czas reakcji średnio o 83 dni w porównaniu z rozwiązaniami bez ASM.

3. Koszty były wysokie, a usuwanie naruszeń trwało dłużej, gdy dane były przechowywane w wielu różnych środowiskach. Dane przechowywane w chmurze stanowiły 82% wszystkich naruszonych danych, przy czym zaledwie 18% naruszeń dotyczyło wyłącznie lokalnego przechowywania danych. 39% naruszeń danych objętych badaniem dotyczyło danych przechowywanych w wielu środowiskach, co było bardziej kosztowne i trudniejsze do powstrzymania niż inne rodzaje naruszeń. Powstrzymanie naruszenia w wielu środowiskach zajęło 292 dni, czyli o 15 dni dłużej, niż wynosi średnia światowa. Dane przechowywane w rozproszonych środowiskach przyczyniły się również do zwiększenia średnich kosztów naruszenia o około 750 000 USD.

4. Organizacje posiadające wewnętrzne zespoły, które zidentyfikowały naruszenie, znacznie lepiej radziły sobie z ograniczaniem kosztów. Zaledwie 33% naruszeń w badaniu zostało zidentyfikowanych przez wewnętrzne narzędzia i zespoły organizacji, podczas gdy neutralne strony trzecie, takie jak organy ścigania, zidentyfikowały 40% naruszeń, a pozostałe 27% naruszeń zostało ujawnionych przez osoby atakujące, na przykład w przypadku ataków ransomware. Jednak te organizacje, które zidentyfikowały naruszenia same, zaoszczędziły wewnętrznie średnio milion dolarów w porównaniu z przypadkami, gdy naruszenia ujawnili atakujący. Inwestycjom w bezpieczeństwo towarzyszyły planowanie i testowanie IR, szkolenia pracowników oraz narzędzia do wykrywania i reagowania na zagrożenia. Chociaż tylko 51% organizacji stwierdziło, że zwiększyło inwestycje w zabezpieczenia po naruszeniu, te, które rzeczywiście to zrobiły, zgodnie z badaniem skoncentrowały się na obszarach, które były skuteczne w ograniczaniu kosztów naruszenia danych, przy znacznym zwrocie z inwestycji. 50% tych organizacji planuje zainwestować w planowanie i testowanie procesów IR; 46% w szkolenia pracowników i 38% w narzędzia do wykrywania zagrożeń i reagowania, takie jak SIEM czy SOAR.

Podsumowanie

Według danych opublikowanych przez IBM organizacje w pierwszej kolejności powinny skupić się na wykryciu swoich słabych punktów, czyli zainwestować w rozwiązania typu zaawansowane skanery podatności, narzędzia audytujące infrastrukturę pod kątem zgodności, czyli właśnie systemy/usługi ASM. Dalej warto zapewnić inteligentną i zautomatyzowaną procedurę odpowiedzi i reakcji na wykryte już zagrożenia. Systemy takie jak SOAR, XDR czy SIEM są tutaj wysoce zalecane.