Når vi taler om databrud, er det almindeligt, at vi kun henviser til de "optegnelser", der blev afsløret. Problemet med dette er, at uden at medregne omkostningerne ved databrud mangler vi en sammenhæng. Når alt kommer til alt, er der kun få tydeligere illustrationer af virksomhedens konsekvenser end de store indhug i bundlinjen.
I denne artikel vil vi se på:
- Hvorfor brud på datasikkerheden sker.
- De vigtigste faktorer, der driver omkostningerne ved databrud.
- Gennemsnitlige omkostninger ved et databrud.
- Eksempler på brud på datasikkerheden i 2020 og 2021.
- Hvor meget disse brud på datasikkerheden kan have kostet.
- Hvad din organisation kan gøre for at afbøde virkningerne.
(Hvis du ikke har så meget tid, er der et resumé i slutningen af artiklen)
Hvorfor sker der databrud?
Vi har tre hovedkategorier af årsager til databrud: menneskelige fejl, ondsindede angreb og systemfejl.
Men takket være en IBM Security-rapport om omkostningerne ved databrud kan vi se, at det sjældent er den tekniske side af tingene, der har hele skylden. Nej, i 75 % af tilfældene er det den kødfulde del, der bruger teknologien, der er skyld i det. Enten på grund af menneskelige fejl eller en form for ondsindet angreb.
Kilde: Cost of Data Breach Report 2020, IBM Security
Hvis vi kigger lidt nærmere på kategorien af ondsindede angreb, kan vi se, at tvivlsomme cloud-konfigurationer og svage adgangskoder kan få en stor del af skylden. Begge dele kan faktisk afhjælpes med regelmæssig træning i sikkerhedsbevidsthed og en effektiv sikkerhedspolitik.
Kilde: Cost of Data Breach Report 2020, IBM Security
Kompleksiteten af moderne sikkerhedssystemer har uden tvivl ført til de øgede udfordringer, som sikkerhedsteams står over for. I takt med at forskellige dele af organisationen skal bruge mere ekstern software, åbner det op for endnu en trusselsvektor, som der skal beskyttes mod. Det er også svært at ignorere phishing-angreb som en potentiel trusselsvektor, da de tegner sig for 14 % af alle ondsindede databrud.
Beregning af omkostningerne ved brud på datasikkerheden
Der er mange faktorer at tage hensyn til, hvis vi vil forsøge at regne ud, hvor meget et databrud sandsynligvis vil koste, men grundlæggende kan vi opdele det i fire centrale omkostningscentre:
- Opsporing og optrapning: Det er alt, hvad en virksomhed gør for at opdage et brud, f.eks. revisionstjenester.
- Underretning: Når en organisation har fundet ud af, at der er et problem, skal den ikke kun kommunikere med de registrerede, men også med myndigheder, juridiske eksperter og regulerende konsulenter.
- Tabte forretninger: Afhængigt af arten af bruddet kan en organisation opleve nedetid, hvilket påvirker omsætningen, og på længere sigt skal de håndtere brandskader.
- Efterfølgende reaktion: Efter at bruddet er sket, og de berørte brugere er blevet underrettet, kommer tilstrømningen af forespørgsler, potentielle juridiske omkostninger, bøder og måske tilbud og rabatter for at genoprette en smule af den ødelagte goodwill.
Ud over disse hovedomkostningssteder er der et par andre faktorer, som vi kan tage hensyn til. F.eks. varierer omkostningerne pr. post fra land til land og fra branche til branche, idet amerikanske sundhedsjournaler er de dyreste.
Så er der selve datatypen. PII-oplysninger (personligt identificerbare oplysninger) om kunder er den dyreste og langt den mest kompromitterede datatype. Men over hele linjen kan vi se, at den gennemsnitlige omkostning pr. record for små til store databrud ligger på uhyggelige 146 dollars.
Kilde: Cost of Data Breach Report 2020, IBM Security
Vi siger "små til store", fordi der er en anden omkostningsfaktor, der er baseret på skala:
Det frygtede "mega-brud".
Ethvert brud, der involverer mere end 1 million registreringer, defineres som et mega-brud; det repræsenterer det absolut værste scenarie for de involverede organisationer. Det er også de brud, vi hører mest om, simpelthen fordi de er så store.
Kilde: Cost of Data Breach Report 2020, IBM Security
Da de er så omfattende, skal de også analyseres separat fra de små og store brud, da de ellers vil ende med at forvrænge tallene.
De seneste databrud og deres omkostninger
På baggrund af tallene ovenfor kan vi anslå, hvor meget nogle af de mere kendte databrud har kostet disse virksomheder.
Her er et kig på nogle af de større databrud, som vi har set i løbet af de sidste 12 måneder, og hvor meget de har kostet.
533 millioner - Facebook, 03. april 2021
Anslåede omkostninger: 3,7 milliarder dollars
Type data, der udsættes: telefonnumre, fødselsdato, lokaliteter (inkl. historiske data), fulde navn, nogle e-mail-adresser.
I begyndelsen af april 2021 kom det frem, at personlige oplysninger om mere end en halv milliard Facebook-brugere var blevet lækket. Facebook afviste at underrette de berørte brugere (måske for at spare på omkostningerne, da vi ved, at underretning og efterfølgende svar er to af de vigtigste omkostningssteder), efter at deres data var blevet skrabet ved at udnytte en sårbarhed i en funktion, der nu er udfaset.
250 millioner - Microsoft, 22. januar 2020
Anslåede omkostninger: 1,8 mia.
Type data, der udsættes: e-mail-adresser, IP-adresser, chatlogs.
2020 var knap nok ved at få støvlerne på, før Microsoft annoncerede et stort brud. Selv om de ikke oplyste tal, anslås det, at antallet af udsatte poster er på 250 millioner. Disse optegnelser indeholdt e-mail- og IP-adresser samt chatlogs mellem supportpersonale og kunder. Microsoft indrømmede, at dette brud var resultatet af en "fejlkonfiguration af en intern kundesupportdatabase".
9 millioner - EasyJet, 12. maj 2020
Anslåede omkostninger: 50 millioner dollars
Type data, der udsættes: kredit- og betalingskort
I maj 2020 meddelte EasyJet, at der var blevet "adgang til 9 millioner kundeoplysninger " i det, som de beskrev som et "meget sofistikeret cyberangreb". Dette angreb kom på et dårligt tidspunkt for EasyJet, da pandemiens virkninger var begyndt at slå igennem og involverede kreditkortdata. Det førte også til, at 10.000 personer tilsluttede sig en retssag mod EasyJet. Afhængigt af udfaldet af denne sag kan det anslåede beløb på 50 millioner dollars bevæge sig op i milliarderne, da hvert af ofrene kan være berettiget til 2 500 dollars.
5,2 millioner - Marriott, 31. marts 2020
Anslåede omkostninger: 50 millioner dollars
Type data, der udsættes: navne, adresser, nogle telefoner og e-mails
Den store hotelkoncern Marriott afslørede, at 5,2 millioner gæster havde fået deres data afsløret, efter at hackere havde fået fat i to medarbejderes loginoplysninger. Dette var oven på et tidligere brud i 2018, da et af Marriotts datterselskaber blev hacket og afslørede millioner af ukrypterede pasnumre og kreditkortoplysninger.
Hvad kan din organisation gøre for at afbøde virkningerne?
Det er tydeligt, at organisationer i alle former og størrelser ikke er helt immune. Uanset om der er tale om uforsigtighed eller ond vilje, vil der altid være svage punkter, når mennesker interagerer med maskiner.
Du vil også have folk, der er villige og i stand til at udnytte disse svage punkter.
Det er dog ikke alt sammen dystert, for der er masser af ting, som din organisation kan begynde at gøre med det samme for at reducere sandsynligheden for et databrud.
Kilde: Cost of Data Breach Report 2020, IBM Security
- Test af reaktion på hændelser: Hvis du ved, hvad du skal gøre, når det værste sker, kan din organisation spare over 230.000 dollars. Værktøjer til hændelseshåndtering hjælper dig med at samle alle de bevægelige dele og giver dig et overblik over en hændelses livscyklus, når den opstår. Men det er også vigtigt, at du sætter alt dette på prøve med simulerede angreb. Det er ikke kun it-teamet, der skal involveres i testningen. Alle fra sælgere til supportpersonale bør være involveret. Især i lyset af den konstante udvikling af trusler som phishing og ransomware. 96 % af databrud stammer fra e-mail, men det behøver ikke at være hverken dyrt eller tidskrævende at køre simulerede phishing-angreb for at forberede dit team.
- Uddannelse i sikkerhedsbevidsthed: Den stigende udbredelse af fjernarbejde har tilføjet endnu et lag af sårbarhed, da medarbejdere bruger potentielt usikre enheder og forbindelser til at få adgang til følsomme data. Så nu mere end nogensinde før har uddannelse i cybersikkerhed for medarbejdere potentiale til at reducere risikoen (og de potentielle omkostninger) ved databrud.
- Omfattende kryptering: Mange højt profilerede databrud har involveret tilfælde, hvor følsomme data er blevet gemt i ukrypterede filer, hvor adgangskoder og kreditkortdata nogle gange bare ligger der i klartekst uden at blive skraveret. Udrulning af kryptering i hele virksomheden kan have en massiv effekt, men det afhænger stadig af, at dine medarbejdere er i gang. Hvilket fører fint ind i den næste løsning.
- Forvaltning af politikker: Hvis løsninger som kryptering skal virke, skal du have en effektiv cybersikkerhedspolitik på plads og, endnu vigtigere, sørge for, at alle ved, hvad de skal gøre. Traditionelle tilgange til politikstyring indebærer ofte, at HR skal jagte teammedlemmer og sende stadig mere irriterede e-mails for at spørge, om de har læst og forstået den nye cybersikkerhedspolitik. Og, hvis det pågældende teammedlem har læst den, kan de så venligst underskrive den og returnere den? Vil du ikke nok? Ved at implementere en platform til styring af cybersikkerhedspolitikker kan din organisation i stedet opdage huller i medarbejdernes viden og mangler i politikken og holde omkostningerne ved databrud på et minimum.
TL;DR
- De kan være uhyre dyre: globalt set koster databrud organisationer i gennemsnit 2,8 mio. pund pr. brud.
- De fleste databrud er ondsindet: Mere end halvdelen af alle databrud er resultatet af en eller anden form for ondsindet aktivitet.
- Som mor altid sagde: "Forberedelse og planlægning på forhånd forhindrer dårlige præstationer": At have et beredskabsteam, teste din beredskabsplan, bruge kryptering og uddanne dine brugere har nogle af de største virkninger.