Затраты на утечку данных в Австралии растут — что могут сделать ИТ-лидеры?
9 сентября 2023 г.Есть веская причина, по которой австралийские организации более чем когда-либо осознают риск утечки данных в 2023 году. В последние годы старшие ИТ-специалисты, а также многие обычные австралийцы стали свидетелями ряда громких инцидентов, включая шокирующий взлом крупных местных телекоммуникационный провайдер Optus и ведущая компания медицинского страхования Medibank.
Предприятия также лучше осведомлены о стоимости. Согласно отчету IBM о стоимости утечки данных за 2023 год, средняя стоимость утечки данных в Австралии выросла на 32% за пять лет до 4,03 миллиона австралийских долларов (2,57 миллиона долларов США). Лидирует сектор финансовых услуг со средней стоимостью взлома в 5,56 млн австралийских долларов (3,55 млн долларов США), за ним следуют секторы технологий и образования с 5,06 млн австралийских долларов (3,23 млн долларов США) и 4,61 млн австралийских долларов (2,94 млн долларов США). соответственно.
По мере роста риска инцидентов, связанных с утечкой данных, ИТ-руководители имеют возможность минимизировать стоимость утечки данных, внедряя DevSecOps, используя искусственный интеллект и автоматизацию, уделяя первоочередное внимание планированию и тестированию реагирования на инциденты, оптимизируя обнаружение утечек данных и оформляя адекватное страхование кибербезопасности для когда случается самое худшее.
Перейти к:
- Как будет выглядеть ситуация с утечкой данных в Австралии в 2023 году?
Насколько выросли затраты на утечку данных в Австралии?
Какие расходы вы можете понести из-за утечки данных?
Как австралийские компании могут минимизировать затраты на утечку данных?
Принятие упреждающего подхода к снижению затрат на утечку данных
Как будет выглядеть ситуация с утечкой данных в Австралии в 2023 году?
Массовые утечки данных были характерной чертой заголовков новостей в Австралии в последние годы.
В сентябре 2022 года в результате взлома местного телекоммуникационного провайдера Optus киберпреступники украли личные данные, включая документы, удостоверяющие личность, 9,8 миллиона австралийцев в результате инцидента, который, как утверждали многие, разбудил Австралию перед угрозой киберпреступности. Инцидент, который затронул большую часть населения, привел к тому, что Optus стал предметом коллективного иска, а исследовательская фирма Roy Morgan назвала Optus брендом, которому меньше всего доверяют в Австралии.
В том же году за этим последовало столь же громкое нападение на крупную местную компанию медицинского страхования Medibank. В результате этой атаки хакеры разместили в даркнете данные 9,7 миллионов нынешних и бывших клиентов Medibank. Среди других недавних нарушений — атака на компанию Latitude Financial, предоставляющую финансовые услуги, в марте 2023 года — крупнейшая утечка данных в истории Австралии — в результате которой были раскрыты персональные данные 14 миллионов бывших и нынешних клиентов.
СМОТРИТЕ: Узнайте больше о том, как утечка данных влияет на отрасль здравоохранения.
В отчете Управления комиссара по информации Австралии за сентябрь 2023 года о схеме уведомляемого нарушения данных в Австралии установлено, что с января по июнь 2023 года было получено 409 уведомлений об утечке данных. Это на 16% меньше, чем за предыдущие шесть месяцев, несмотря на то, что этот период включал крупнейшую утечку данных в Австралии и наибольшее количество утечек данных зафиксировано за месяц (100 уведомлений в марте). Большинство нарушений (70%) были злонамеренными или преступными атаками. Из-за человеческой ошибки было получено 107 уведомлений, 46% из которых были вызваны отправкой электронного письма не тому человеку.
Поскольку Национальная схема утечки данных не распространяется на иностранные организации, работающие в Австралии, фактическое влияние нарушений на австралийских клиентов может быть гораздо большим.
Насколько выросли затраты на утечку данных в Австралии?
За пять лет в Австралии расходы на утечку данных выросли на 32% и составили 4,03 миллиона австралийских долларов (2,57 миллиона долларов США). В исследовательском отчете IBM за 2023 год, проведенном Институтом Ponemon, говорится, что затраты на обнаружение и эскалацию достигли 1,68 миллиона австралийских долларов (1,07 миллиона долларов США) — самая высокая часть затрат на локальные нарушения, — что указывает на переход к более сложным расследованиям нарушений.
Данные, которые были взломаны, чаще всего хранились в различных типах сред (32%), за ними следовали частное облако (28%) и локально (21%). Двумя наиболее распространенными типами атак были фишинговые атаки (более 22%) и кражи или компрометации учетных данных (более 17%).
Хотя крупные нарушения, такие как Optus, Medibank и Latitude Financial, происходят относительно редко, они обходятся намного дороже, чем средние затраты на утечку данных. В отчете IBM показано, что в глобальном масштабе стоимость крупного нарушения от одного до 10 миллионов записей обходится организациям примерно в 36 миллионов долларов США, в то время как нарушение от 10 до 20 миллионов записей может привести к тому, что организации потеряют в общей сложности около 36 миллионов долларов США. до 166 миллионов долларов США.
В целом Австралия является 13-й страной или регионом в мире по затратам на утечку данных. IBM обнаружила, что средняя глобальная стоимость утечки данных достигла рекордного уровня в 4,45 миллиона долларов США. Средняя стоимость выросла на 15,3% с 3,86 миллиона долларов США в 2020 году, при этом в США зафиксирован самый высокий средний ущерб от утечки данных — 9,48 миллиона долларов США, за ним следуют Ближний Восток (8,07 миллиона долларов США) и Канада (5,13 миллиона долларов США). Средняя стоимость одной записи, связанной с утечкой данных, выросла со 146 долларов США в 2020 году до 165 долларов США сегодня.
Какие расходы вы можете понести из-за утечки данных?
Общие непосредственные и более отдаленные последствия утечки данных трудно оценить. IBM использует подход к оценке затрат на основе деятельности, который распределяет затраты по четырем общим этапам жизненного цикла утечки данных на основе обширных исследований реальных утечек данных. Эти этапы включают обнаружение и эскалацию, уведомление, реагирование после взлома и потерю бизнеса.
- Обнаружение и эскалация: эти расходы включают в себя следственные действия, услуги по оценке и аудиту, антикризисное управление и связь с руководителями и советами директоров.
Деятельность по уведомлению: определение нормативных требований, связь с регулирующими органами, привлечение экспертов и коммуникация являются затратами на этом этапе.
Реагирование после взлома: службы поддержки, кредитный мониторинг и услуги защиты личности, выпуск новых счетов или кредитных карт, юридические расходы, скидки на продукты и штрафы.
Потерянный бизнес. Эти затраты включают в себя попытки минимизировать потерю клиентов, затраты на приобретение новых, продолжающийся репутационный ущерб и снижение деловой репутации.
После утечки данных Optus и Medibank в 2022 году Австралия представила новую поправку к Закону о конфиденциальности, которая может сделать утечку данных более дорогостоящей в будущем. Законопроект о внесении поправок в законодательство о конфиденциальности (принудительные и другие меры), нацеленный на организации, которые не обеспечивают должного ухода за данными своих клиентов, увеличил максимальные штрафы за серьезные или неоднократные нарушения конфиденциальности с 2,22 миллиона австралийских долларов до 50 миллионов австралийских долларов.
Как австралийские компании могут минимизировать затраты на утечку данных?
Решения, которые принимают руководители ИТ-отделов и бизнеса, а также стратегии, которые они применяют в отношении своих данных и безопасности, могут сильно повлиять на затраты, которые они платят в случае утечки данных (рис. A).
Рисунок А
Наличие необходимых навыков в области кибербезопасности в вашей организации или привлечение внешних партнеров для получения этих знаний также может помочь снизить затраты на утечку данных. В отчете IBM указывается ряд факторов, присутствующих в организациях, которые могут снизить стоимость взлома. С другой стороны, их невыполнение может привести к более высоким издержкам от нарушений.
Ускорьте внедрение DevSecOps
Высокий уровень внедрения DevSecOps привел к наибольшей экономии средств при утечках данных по всему миру. Поскольку упор делается на тестирование безопасности как часть процесса разработки программного обеспечения, организации с высоким уровнем внедрения DevSecOps сэкономили 1,68 миллиона долларов США по сравнению с организациями с низким уровнем внедрения или его отсутствием.
Стремитесь к более короткому жизненному циклу нарушения
Организации, которые хотят минимизировать затраты, должны стремиться к сокращению жизненного цикла нарушений, поскольку время на устранение инцидента является неотъемлемой частью финансовых последствий. Нарушения со временем идентификации и локализации менее 200 дней обходятся организациям в 3,93 миллиона долларов США, а нарушения, длительность которых превышает 200 дней, обходятся организациям в 4,95 миллиона долларов США — разница в 23%.
СМОТРИТЕ: Как избежать утечки данных, защитив данные при передаче.
Развертывание ИИ и автоматизации безопасности
Искусственный интеллект и автоматизация оказали наибольшее влияние на скорость выявления и локализации нарушений. IBM обнаружила, что австралийские организации, которые не использовали ИИ и автоматизацию безопасности для борьбы с киберугрозами, столкнулись с нарушениями, которые обошлись в среднем на 2,14 миллиона австралийских долларов дороже, чем те, которые широко развернули эти технологии.
Расставьте приоритеты в планировании реагирования на инциденты
Экономия средств была достигнута организациями с более высоким уровнем планирования и тестирования IR. Организации с высоким уровнем планирования и тестирования IR сэкономили 1,49 миллиона долларов США по сравнению с организациями с низким уровнем. В отчете IBM показано, что планирование и тестирование IR являются высокоэффективной тактикой сдерживания потерь в случае утечки данных.
Позвоните в правоохранительные органы
В частности, исключение правоохранительных органов из инцидента с программами-вымогателями может привести к более высоким конечным затратам в результате утечки данных. Результаты IBM показали, что, хотя 63% респондентов заявили, что привлекли правоохранительные органы к инциденту с программами-вымогателями, те 37%, которые не заплатили на 9,6% больше, а жизненный цикл взлома увеличился на 33 дня.
Рассмотрите возможность инвестирования в киберстрахование
Хотя киберстрахование не заменяет зрелость и готовность к кибербезопасности, оно может помочь предприятиям напрямую покрыть расходы в случае утечки данных, включая судебно-медицинские расследования, восстановление данных, уведомление клиентов и исправление ситуации, а также компенсацию штрафов, наложенных государственными регулирующими органами. Тем не менее, Страховой совет Австралии заявил, что в 2022 году только 35–70% крупных предприятий имели отдельное киберстрахование.
Принятие упреждающего подхода к снижению затрат на утечку данных
Интересный вывод из отчета IBM «Стоимость утечки данных за 2023 год» заключался в том, что среди организаций, пострадавших от утечки данных по всему миру, только 51% планировали в результате увеличить инвестиции в кибербезопасность. Фактически, вероятным результатом является то, что затраты, связанные с утечкой данных, в конечном итоге будут переложены на клиентов организации: 57% респондентов заявили, что утечка данных привела к последующему повышению цен на их бизнес-предложения.
Самый очевидный способ для австралийских ИТ-руководителей минимизировать издержки, связанные с утечкой данных, в том числе для их бренда и репутации, — это предотвратить возникновение утечки. Нет сомнений в том, что организации с развитой инфраструктурой кибербезопасности с наибольшей вероятностью смогут предотвратить атаки или быстро их обнаружить. Однако даже у зрелых организаций нет повода расслабляться; только треть атак, расследованных IBM, были выявлены внутренними командами и инструментами организации.
Оригинал