Tillbaka
Utbildning och programvara för cybersäkerhet för företag | MetaCompliance

Produkter

Upptäck vårt utbud av skräddarsydda lösningar för utbildning i säkerhetsmedvetenhet, utformade för att stärka och utbilda ditt team mot moderna cyberhot. Från policyhantering till phishing-simuleringar - vår plattform förser din personal med de kunskaper och färdigheter som behövs för att skydda din organisation.

Cyber Security eLearning

Cyber Security eLearning för att utforska vårt prisbelönta eLearning-bibliotek, skräddarsytt för varje avdelning

Automatisering av säkerhetsmedvetenhet

Planera din årliga medvetenhetskampanj med några få klick

Simulering av nätfiske

Stoppa nätfiskeattacker i deras spår med prisbelönt programvara för nätfiske

Förvaltning av politik

Samla dina policyer på ett ställe och hantera policyernas livscykler på ett enkelt sätt

Förvaltning av sekretess

Kontrollera, övervaka och hantera efterlevnad med enkelhet

Hantering av incidenter

Ta kontroll över interna incidenter och åtgärda det som är viktigt

Tillbaka
Industri

Industrier

Utforska mångsidigheten hos våra lösningar inom olika branscher. Från den dynamiska tekniksektorn till sjukvården - ta del av hur våra lösningar skapar vågor i flera sektorer. 


Finansiella tjänster

Skapa en första försvarslinje för organisationer inom finansiella tjänster

Regeringar

En Go-To-lösning för säkerhetsmedvetenhet för myndigheter

Företag

En lösning för utbildning i säkerhetsmedvetande för stora företag

Arbetstagare på distans

Skapa en kultur av säkerhetsmedvetenhet - även i hemmet

Utbildningssektorn

Engagerande utbildning i säkerhetsmedvetenhet för utbildningssektorn

Arbetstagare inom hälso- och sjukvården

Se vår skräddarsydda säkerhetsmedvetenhet för anställda inom hälso- och sjukvården

Teknikindustrin

Förändrad utbildning i säkerhetsmedvetenhet inom teknikindustrin

Överensstämmelse med NIS2

Stöd era krav på efterlevnad av Nis2 med initiativ för ökad medvetenhet om cybersäkerhet

Tillbaka
Resurser

Resurser

Från affischer och policyer till ultimata guider och fallstudier, våra kostnadsfria medvetenhetstillgångar kan användas för att förbättra medvetenheten om cybersäkerhet inom din organisation.

Medvetenhet om cybersäkerhet för Dummies

En oumbärlig resurs för att skapa en kultur av cybermedvetenhet

Dummies guide till cybersäkerhet Elearning

Den ultimata guiden för att implementera effektiv cybersäkerhet Elearning

Ultimat guide till nätfiske

Utbilda medarbetarna i hur man upptäcker och förhindrar nätfiskeattacker

Gratis affischer för medvetenhet

Ladda ner dessa kostnadsfria affischer för att öka medarbetarnas vaksamhet

Policy mot nätfiske

Skapa en säkerhetsmedveten kultur och öka medvetenheten om hot mot cybersäkerheten

Fallstudier

Hör hur vi hjälper våra kunder att skapa positiva beteenden i sina organisationer

Terminologi för cybersäkerhet A-Z

En ordlista över termer inom cybersäkerhet som du måste känna till

Beteendebaserad mognadsmodell för cybersäkerhet

Granska din utbildning i medvetenhet och jämför din organisation med bästa praxis

Gratis saker

Ladda ner våra kostnadsfria verktyg för att förbättra medvetenheten om cybersäkerhet i din organisation

Tillbaka
MetaCompliance | Utbildning och programvara för cybersäkerhet för anställda

Om

Med 18+ års erfarenhet av marknaden för cybersäkerhet och efterlevnad erbjuder MetaCompliance en innovativ lösning för personalens medvetenhet om informationssäkerhet och automatisering av incidenthantering. MetaCompliance-plattformen skapades för att möta kundernas behov av en enda, heltäckande lösning för att hantera de mänskliga riskerna kring cybersäkerhet, dataskydd och efterlevnad.

Varför välja oss

Lär dig varför Metacompliance är den betrodda partnern för utbildning i säkerhetsmedvetenhet

Specialister på medarbetarengagemang

Vi gör det enklare att engagera medarbetarna och skapa en kultur av cybermedvetenhet

Automatisering av säkerhetsmedvetenhet

Automatisera utbildning i säkerhetsmedvetenhet, nätfiske och policyer på några minuter

MetaBlog

Håll dig informerad om ämnen för utbildning i cybermedvetenhet och minska riskerna i din organisation.

Beräkning av de höga kostnaderna för dataintrång 2021

Kostnader för dataintrång

om författaren

Dela detta inlägg

När vi talar om dataintrång är det vanligt att vi bara hänvisar till de "register" som exponerats. Problemet med detta är att om vi inte tar hänsyn till kostnaderna för dataintrång saknar vi ett sammanhang. När allt kommer omkring finns det få tydligare illustrationer av affärseffekter än hur mycket de påverkar resultatet.

I den här artikeln tittar vi på:

  • Varför dataintrång sker.
  • De viktigaste faktorerna som driver kostnaderna för dataintrång.
  • Genomsnittlig kostnad för ett dataintrång.
  • Exempel på dataintrång under 2020 och 2021.
  • Hur mycket dessa dataintrång kan ha kostat.
  • Vad din organisation kan göra för att mildra konsekvenserna.

(Om du har ont om tid finns en sammanfattning i slutet av artikeln).

Varför inträffar dataintrång?

Det finns tre huvudkategorier av orsaker till dataintrång: mänskliga fel, illvilliga attacker och systemfel.

Men tack vare en rapport från IBM Security om kostnaderna för dataintrång kan vi se att det sällan är den tekniska sidan av saker och ting som är helt och hållet ansvarig. Nej, i 75 procent av fallen är det den köttsliga delen som använder tekniken som är fel. Antingen genom mänskligt fel eller någon form av illvilliga attacker. 

Orsaker till dataintrång

Källa: Cost of Data Breach Report 2020, IBM Security.

Om vi tittar lite närmare på kategorin skadliga attacker kan vi se att oklara molnkonfigurationer och svaga lösenord kan ta en stor del av skulden. Båda kan faktiskt minskas med regelbunden utbildning i säkerhetsmedvetenhet och en effektiv säkerhetspolicy.

hotvektorer för dataintrång

Källa: Cost of Data Breach Report 2020, IBM Security.

Komplexiteten hos moderna säkerhetssystem har utan tvekan lett till ökade utmaningar för säkerhetsteam. Eftersom olika delar av organisationen måste använda sig av fler externa programvaror öppnar det upp ytterligare en hotvektor att skydda sig mot. Det är också svårt att bortse från phishing-attacker som en potentiell hotbild, eftersom de står för 14 % av alla skadliga dataintrång.

Beräkning av kostnaderna för dataintrång

Det finns många faktorer att ta hänsyn till om vi vill försöka räkna ut hur mycket ett dataintrång sannolikt kommer att kosta, men i grund och botten kan vi dela upp det i fyra viktiga kostnadsställen:

  • Upptäckt och upptrappning: Det är allt som ett företag gör för att upptäcka en överträdelse, till exempel revisionstjänster.
  • Underrättelse: När en organisation väl har upptäckt att det finns ett problem måste den kommunicera inte bara med de registrerade, utan också med tillsynsmyndigheter, juridiska experter och konsulter.
  • Förlorade affärer: Beroende på hur brottet ser ut kan en organisation drabbas av driftsstopp, vilket påverkar intäkterna, och på längre sikt måste de ta itu med varumärkesskador.
  • Svar i efterhand: Efter att intrånget har inträffat och de drabbade användarna har underrättats kommer inflödet av frågor, potentiella juridiska kostnader, böter och kanske erbjudanden och rabatter för att återställa en del av den skamfilade goodwill som uppstått.

Utöver dessa huvudsakliga kostnadsställen finns det ytterligare några faktorer som vi kan ta hänsyn till. Kostnaden per post varierar till exempel beroende på land och bransch, där amerikanska hälsovårdsposter är de mest kostsamma.

Sedan har vi själva typen av data. Kund-PII (personligt identifierbar information) är den kostsammaste och överlägset mest komprometterade typen av data. Men över hela linjen kan vi se att den genomsnittliga kostnaden per post för små till stora dataintrång ligger på oroväckande 146 dollar.

Kostnader för dataintrång per typ

Källa: Cost of Data Breach Report 2020, IBM Security.

Vi säger "små till stora" eftersom det finns ytterligare en skalbaserad kostnadsfaktor:

Den fruktade "megaöverträdelsen".

Varje intrång som omfattar mer än 1 miljon uppgifter definieras som ett megaintrång och utgör det absolut värsta scenariot för de berörda organisationerna. Det är också de överträdelser som vi hör mest om, helt enkelt för att de är så stora. 

Genomsnittlig totalkostnad för dataintrång

Källa: Cost of Data Breach Report 2020, IBM Security.

Eftersom de är så omfattande måste de också analyseras separat från de små och stora överträdelserna, annars skulle de förvränga siffrorna.

Nyligen inträffade dataintrång och hur mycket de kostade

Utifrån siffrorna ovan kan vi uppskatta hur mycket några av de mer uppmärksammade dataintrången har kostat dessa företag.

I ingen särskild ordning följer här en titt på några av de större dataintrång som vi har sett under de senaste 12 månaderna och hur mycket de har kostat.

533 miljoner - Facebook, 03 april 2021

Beräknad kostnad: 3,7 miljarder dollar

Typ av uppgifter som exponeras: telefonnummer, födelsedatum, platser (inklusive historiska uppgifter), fullständigt namn, vissa e-postadresser.

I början av april 2021 framkom det att personlig information om mer än en halv miljard Facebookanvändare hade läckt ut. Facebook vägrade att underrätta de drabbade användarna (kanske för att spara kostnader, eftersom vi vet att underrättelser och efterhandsåtgärder är två av de viktigaste kostnadsställena) efter att deras uppgifter hade skrapats genom att utnyttja en sårbarhet i en funktion som nu har upphört att fungera. 

250 miljoner - Microsoft, 22 januari 2020

Beräknad kostnad: 1,8 miljarder dollar

Typ av uppgifter som exponeras: e-postadresser, IP-adresser, chattloggar.

2020 hade knappt hunnit få sina stövlar på plats innan Microsoft meddelade ett stort intrång. Även om de inte gav några siffror, uppskattas antalet exponerade poster till 250 miljoner. Dessa poster innehöll e-post- och IP-adresser samt chattloggar mellan supportpersonal och kunder. Microsoft medgav att intrånget berodde på en "felkonfiguration av en intern kundsupportdatabas".

9 miljoner - EasyJet, 12 maj 2020

Beräknad kostnad: 50 miljoner dollar

Typ av uppgifter som exponerats: kredit- och betalkort.

I maj 2020 meddelade EasyJet att 9 miljoner kundregister hade "kommit åt" i vad de beskrev som en "mycket sofistikerad cyberattack". Attacken kom vid en dålig tidpunkt för EasyJet, eftersom pandemins effekter började få genomslag och berörde kreditkortsdata. Den ledde också till att 10 000 personer anslöt sig till en stämning mot EasyJet. Beroende på utgången av detta fall kan uppskattningen på 50 miljoner dollar gå upp i miljarder, eftersom varje offer kan ha rätt till 2 500 dollar.

5,2 miljoner - Marriott, 31 mars 2020

Beräknad kostnad: 50 miljoner dollar

Typ av uppgifter som exponeras: namn, adress, viss telefon och e-post.

Hotelljätten Marriott avslöjade att 5,2 miljoner gäster hade fått sina uppgifter avslöjade efter att hackare tagit del av två anställdas inloggningsuppgifter. Detta var utöver ett tidigare intrång 2018 då ett av Marriotts dotterbolag hackades och avslöjade miljontals okrypterade passnummer och kreditkortsuppgifter.  

Vad kan din organisation göra för att mildra konsekvenserna?

Det är uppenbart att organisationer i alla former och storlekar inte är helt immuna. Oavsett om det handlar om slarv eller illvilja finns det alltid svaga punkter när människor interagerar med maskiner.

Det finns också människor som är villiga och kapabla att utnyttja dessa svaga punkter. 

Det är dock inte bara dysterhet, för det finns många saker som din organisation kan börja göra direkt för att minska sannolikheten för ett dataintrång.

Kostnadsfaktorer för dataintrång

Källa: Cost of Data Breach Report 2020, IBM Security.

  • Testning av incidenthantering: Att veta vad man ska göra när det värsta händer kan spara din organisation över 230 000 dollar. Verktyg för incidenthantering hjälper dig att samla alla rörliga delar och ger dig en överblick över incidentens livscykel när den inträffar. Men det är också viktigt att du sätter allt detta på prov med simulerade attacker. Det är inte bara IT-teamet som måste delta i testerna. Alla, från säljare till supportpersonal, bör delta. Särskilt med tanke på den ständiga utvecklingen av hot som nätfiske och utpressningstrojaner. 96 % av dataintrång har sitt ursprung i e-post, men att köra simulerade phishing-attacker för att förbereda ditt team behöver inte vara kostsamt eller tidskrävande.

  • Utbildning i säkerhetsmedvetenhet: Det ökande antalet distansarbeten har lagt till ytterligare ett lager av sårbarhet, eftersom anställda använder potentiellt osäkra enheter och anslutningar för att få tillgång till känsliga data. Därför kan utbildning i cybersäkerhet för anställda nu mer än någonsin minska riskerna (och de potentiella kostnaderna) för dataintrång.

  • Omfattande kryptering: Många uppmärksammade dataintrång har gällt fall där känsliga uppgifter har lagrats i okrypterade filer, där lösenord och kreditkortsuppgifter ibland bara ligger där, ohashed, i klartext. Att införa kryptering i hela företaget kan ha en enorm effekt, men det är fortfarande beroende av att de anställda är uppdaterade. Det leder oss in på nästa lösning.

  • Förvaltning av politiken: Om lösningar som kryptering ska fungera måste du ha en effektiv cybersäkerhetspolicy och, ännu viktigare, se till att alla vet vad de ska göra. Traditionella tillvägagångssätt för hantering av policyer innebär ofta att personalavdelningen måste jaga upp teammedlemmar och skicka alltmer irriterade e-postmeddelanden för att fråga om de har läst och förstått den nya cybersäkerhetspolicyn. Och, om den berörda teammedlemmen har läst den, kan de vara snälla och skriva under den och skicka tillbaka den? Snälla? Genom att använda en plattform för hantering av cybersäkerhetspolicyer kan din organisation i stället upptäcka brister i personalens kunskaper och i policyn och hålla kostnaderna för dataintrång på ett minimum.

TL;DR

  • De kan vara förödande dyra: globalt sett kostar dataintrång organisationer i genomsnitt 2,8 miljoner pund per intrång.
  • De flesta dataintrång är skadliga: mer än hälften av alla dataintrång är resultatet av någon form av skadlig verksamhet.
  • Som mamma alltid sa: "Förberedelser och planering förhindrar dåliga prestationer": Att ha en incidentberedskapsgrupp, testa din incidentberedskapsplan, använda kryptering och utbilda användarna har en av de största effekterna.

Medvetenhet om cybersäkerhet för Dummies

Andra artiklar om utbildning i medvetenhet om cybersäkerhet som du kanske finner intressanta