Tietomurroista puhuttaessa viitataan yleensä vain "tietueisiin", jotka paljastuivat. Ongelmana tässä on se, että ilman tietomurtojen kustannusten huomioon ottamista meiltä puuttuu asiayhteys. Loppujen lopuksi on vain harvoja selkeämpiä esimerkkejä liiketoiminnan vaikutuksista kuin se, kuinka paljon se vaikuttaa tulokseen.
Tässä artikkelissa tarkastelemme:
- Miksi tietomurtoja tapahtuu.
- Tärkeimmät tekijät, jotka vaikuttavat tietomurtokustannuksiin.
- Tietomurron keskimääräiset kustannukset.
- Esimerkkejä tietomurroista vuosina 2020 ja 2021.
- Kuinka paljon nämä tietomurrot ovat voineet maksaa.
- Mitä organisaatiosi voi tehdä vaikutusten lieventämiseksi.
(Jos sinulla on vähän aikaa, artikkelin lopussa on tiivistelmä).
Miksi tietomurtoja tapahtuu?
Tietomurtojen syitä on kolme pääluokkaa: inhimillinen erehdys, ilkivaltainen hyökkäys ja järjestelmähäiriöt.
Tietomurtojen kustannuksia käsittelevän IBM Securityn raportin ansiosta voimme kuitenkin todeta, että harvoin asioiden tekninen puoli on täysin syyllinen. Ei, 75 prosentissa tapauksista vika on teknologiaa käyttävässä lihassa. Joko inhimillisen erehdyksen tai jonkinlaisen pahansuovan hyökkäyksen vuoksi.
Lähde: Tietomurtoraportti 2020, IBM Security.
Kun tarkastellaan ilkivaltaisten hyökkäysten luokkaa hieman tarkemmin, voidaan havaita, että suuri osa syyllisyydestä kohdistuu epäselviin pilvikonfiguraatioihin ja heikkoihin salasanoihin. Molempia voidaan itse asiassa lieventää säännöllisellä tietoturvakoulutuksella ja tehokkaalla tietoturvakäytännöllä.
Lähde: Tietomurtoraportti 2020, IBM Security.
Nykyaikaisten turvajärjestelmien monimutkaisuus on epäilemättä lisännyt turvaryhmien haasteita. Kun organisaation eri osien on käytettävä yhä useampia ulkoisia ohjelmistoja, se avaa uuden uhkavektorin, jota vastaan on suojauduttava. On myös vaikea sivuuttaa phishing-hyökkäyksiä potentiaalisena uhkavektorina, sillä niiden osuus on 14 prosenttia ilkivaltaisista tietomurroista.
Tietomurtojen kustannusten laskeminen
On monia huomioon otettavia tekijöitä, jos haluamme yrittää selvittää, kuinka paljon tietomurto todennäköisesti maksaa, mutta pohjimmiltaan voimme jakaa sen neljään keskeiseen kustannuskeskukseen:
- Havaitseminen ja eskalointi: kaikki, mitä yritys tekee havaitakseen tietoturvaloukkauksen, kuten esimerkiksi auditointipalvelut.
- Ilmoittaminen: Kun organisaatio on havainnut ongelman, sen on oltava yhteydessä rekisteröityjen lisäksi myös sääntelyviranomaisiin, lakiasiantuntijoihin ja sääntelykonsultteihin.
- Menetetty liiketoiminta: Tietomurron luonteesta riippuen organisaatiolle voi aiheutua käyttökatkoksia, jotka heikentävät tuloja, ja pidemmällä aikavälillä se joutuu kärsimään brändin vahingoittumisesta.
- Jälkikäteinen reagointi: kun tietoturvaloukkaus on tapahtunut ja siitä on ilmoitettu asianomaisille käyttäjille, tulee kyselyjen tulva, mahdolliset oikeuskulut, sakot ja ehkä tarjoukset ja alennukset, joilla pyritään palauttamaan hieman tahrattua hyvää mainetta.
Näiden pääkustannuspaikkojen lisäksi voimme ottaa huomioon muutamia muita tekijöitä. Esimerkiksi tietuekohtaiset kustannukset vaihtelevat maittain ja toimialoittain, ja yhdysvaltalaiset terveydenhuollon tietueet ovat kaikkein kalleimpia.
Sitten on vielä itse tietotyyppi. Asiakkaan PII (henkilökohtaisesti tunnistettavat tiedot) on kallein ja ylivoimaisesti eniten vaarantunut tietotyyppi. Kaikkiaan pienten ja suurten tietomurtojen keskimääräiset kustannukset tietuetta kohti ovat kuitenkin huolestuttavat 146 dollaria.
Lähde: Tietomurtoraportti 2020, IBM Security.
Sanomme "pienistä suuriin", koska on olemassa toinenkin, mittakaavaan perustuva kustannustekijä:
Pelätty "megarikkomus".
Mikä tahansa tietomurto, joka koskee yli 1 miljoonaa tietuetta, määritellään megamurroksi; se on ehdottomasti pahin mahdollinen skenaario asianomaisille organisaatioille. Näistä murroista kuulemme myös eniten, koska ne ovat niin suuria.
Lähde: Tietomurtoraportti 2020, IBM Security.
Koska ne ovat niin laajoja, niitä on myös analysoitava erillään pienistä tai suurista rikkomuksista, sillä muuten ne vääristävät lukuja.
Viimeaikaiset tietomurrot ja niiden kustannukset
Edellä esitettyjen lukujen perusteella voimme arvioida, kuinka paljon eräät tunnetuimmista tietomurroista ovat maksaneet näille yrityksille.
Seuraavassa tarkastelemme ilman erityistä järjestystä joitakin suurempia tietomurtoja, joita olemme nähneet viimeisten yli 12 kuukauden aikana, ja niiden kustannuksia.
533 miljoonaa - Facebook, 03. huhtikuuta 2021
Arvioidut kustannukset: 3,7 miljardia dollaria
Altistuvien tietojen tyyppi: puhelinnumerot, syntymäaika, sijainnit (mukaan lukien historialliset tiedot), koko nimi, jotkut sähköpostiosoitteet.
Huhtikuun alussa 2021 kävi ilmi, että yli puolen miljardin Facebook-käyttäjän henkilötiedot olivat vuotaneet. Facebook kieltäytyi ilmoittamasta asianosaisille käyttäjille (ehkä kustannussäästösyistä, sillä tiedämme, että ilmoittaminen ja jälkikäteinen reagointi ovat kaksi tärkeintä kustannuskeskusta) sen jälkeen, kun heidän tietonsa oli kaapattu hyödyntämällä haavoittuvuutta eräässä nyt jo poistuneessa ominaisuudessa.
250 miljoonaa - Microsoft, 22. tammikuuta 2020
Arvioidut kustannukset: 1,8 miljardia dollaria
Altistuneiden tietojen tyyppi: sähköpostiosoitteet, IP-osoitteet, chat-lokit.
Vuosi 2020 oli juuri ja juuri saappaat jalassa, kun Microsoft ilmoitti suuresta tietoturvaloukkauksesta. Vaikka he eivät kertoneet lukuja, arvioiden mukaan altistuneiden tietueiden määrä on 250 miljoonaa. Tietueet sisälsivät sähköposti- ja IP-osoitteita sekä tukihenkilöstön ja asiakkaiden välisiä keskustelulokeja. Microsoft myönsi, että tietoturvaloukkaus johtui "sisäisen asiakastukitietokannan virheellisestä konfiguroinnista".
9 miljoonaa - EasyJet, 12. toukokuuta 2020
Arvioidut kustannukset: 50 miljoonaa dollaria
Altistuneiden tietojen tyyppi: luotto- ja pankkikortit.
Toukokuussa 2020 EasyJet ilmoitti, että 9 miljoonaa asiakastietoa oli joutunut "hyökkäyksen kohteeksi", jota se kuvaili "erittäin kehittyneeksi verkkohyökkäykseksi". Hyökkäys tapahtui EasyJetille huonoon aikaan, kun pandemian vaikutukset alkoivat vaikuttaa, ja se koski luottokorttitietoja. Se johti myös siihen, että 10 000 ihmistä liittyi oikeusjuttuun EasyJetiä vastaan. Jutun lopputuloksesta riippuen 50 miljoonan dollarin arvio voi siirtyä miljardeihin, sillä jokainen uhri voi olla oikeutettu 2 500 dollariin.
5,2 miljoonaa - Marriott, 31. maaliskuuta 2020
Arvioidut kustannukset: 50 miljoonaa dollaria
Altistuneiden tietojen tyyppi: nimet, osoite, jotkut puhelinnumerot ja sähköpostit.
Hotellileviathan Marriott paljasti, että 5,2 miljoonan vieraan tiedot olivat alttiina sen jälkeen, kun hakkerit saivat haltuunsa kahden työntekijän kirjautumistiedot. Tämä tapahtui aikaisemman vuonna 2018 tapahtuneen tietomurron lisäksi, kun yksi Marriottin tytäryhtiöistä hakkeroitiin, jolloin paljastui miljoonia salaamattomia passinumeroita ja luottokorttitietoja.
Mitä organisaatiosi voi tehdä vaikutusten lieventämiseksi?
On selvää, että kaiken muotoiset ja kokoiset organisaatiot eivät ole täysin immuuneja. Olipa kyse sitten huolimattomuudesta tai ilkivallasta, kun ihmiset ovat vuorovaikutuksessa koneiden kanssa, heikkoja kohtia löytyy aina.
Sinulla on myös ihmisiä, jotka haluavat ja pystyvät hyödyntämään näitä heikkoja kohtia.
Kaikki ei kuitenkaan ole pelkkää tuomiota ja synkkyyttä, sillä on paljon asioita, joita organisaatiosi voi alkaa tehdä heti vähentääkseen tietomurron todennäköisyyttä.
Lähde: Tietomurtoraportti 2020, IBM Security.
- Häiriötilanteisiin reagoimisen testaus: Tieto siitä, mitä tehdä, kun pahin tapahtuu, voi säästää organisaatiollesi yli 230 000 dollaria. Häiriötilanteiden hallintatyökalut auttavat sinua kokoamaan kaikki liikkuvat osat yhteen ja antavat sinulle yleiskuvan häiriön elinkaaresta, kun se tapahtuu. On kuitenkin myös tärkeää, että kaikki tämä testataan simuloitujen hyökkäysten avulla. Testaukseen ei tarvitse osallistua vain IT-tiimin. Kaikkien, myyjistä tukihenkilöstöön, pitäisi olla mukana. Varsinkin kun uhkat, kuten phishing ja ransomware, kehittyvät jatkuvasti. 96 prosenttia tietomurroista on peräisin sähköpostista, mutta simuloitujen phishing-hyökkäysten suorittaminen tiimin valmistelemiseksi ei tarvitse olla kallista tai aikaa vievää.
- Tietoturvakoulutus: Etätyön yleistyminen on lisännyt haavoittuvuutta entisestään, kun työntekijät käyttävät mahdollisesti turvattomia laitteita ja yhteyksiä päästäkseen käsiksi arkaluonteisiin tietoihin. Työntekijöiden kyberturvallisuuskoulutuksella voidaan siis nyt enemmän kuin koskaan vähentää tietomurtojen riskejä (ja mahdollisia kustannuksia).
- Laaja salaus: Salasanat ja luottokorttitiedot ovat toisinaan vain olleet salaamattomina, selväkielisinä, pirstaleina. Koko yrityksen laajuisen salauksen käyttöönotolla voi olla valtava vaikutus, mutta se edellyttää silti, että työntekijät ovat ajan tasalla. Tämä johtaa hienosti seuraavaan ratkaisuun.
- Politiikan hallinta: Jos salauksen kaltaiset ratkaisut ovat toimivia, sinulla on oltava tehokas verkkoturvallisuuspolitiikka ja, mikä vielä tärkeämpää, varmista, että kaikki tietävät, mitä heidän on tehtävä. Perinteiset lähestymistavat käytäntöjen hallintaan johtavat usein siihen, että henkilöstöhallinto joutuu jahtaamaan tiimin jäseniä ja lähettämään yhä vihaisempia sähköpostiviestejä, joissa kysytään, ovatko he lukeneet ja ymmärtäneet uuden kyberturvallisuuspolitiikan. Ja jos tiimin jäsen on lukenut sen, voisiko hän allekirjoittaa sen ja palauttaa sen? Ole kiltti. Sen sijaan ottamalla käyttöön tietoturvapolitiikan hallinta-alustan organisaatiosi voi havaita puutteet henkilöstön tietämyksessä ja politiikassa ja pitää tietomurtojen kustannukset mahdollisimman pieninä.
TL;DR
- Ne voivat olla erittäin kalliita: maailmanlaajuisesti tietomurrot maksavat organisaatioille keskimäärin 2,8 miljoonaa puntaa per tietomurto.
- Useimmat tietomurrot ovat ilkivaltaisia: yli puolet kaikista tietomurroista on seurausta jonkinlaisesta ilkivallasta.
- Kuten äiti aina sanoi, "ennakkovalmistelut ja -suunnittelu estävät huonon suorituksen": Onnettomuuksien torjuntaryhmän perustaminen, onnettomuuksien torjuntasuunnitelman testaaminen, salauksen käyttäminen ja käyttäjien kouluttaminen ovat suurimpia vaikutuksia.