De gemiddelde kosten van een datalek is de laatste vijf jaar met twaalf procent gestegen en tikt nu af op bijna vier miljoen dollar. Dat blijkt uit onderzoek van IBM. Met name voor kleine en middelgrote ondernemingen is er een flinke stijging in de kosten te zien.
Uit de studie blijkt dat bij bedrijven die minder dan 500 man personeel hebben, de gemiddelde kosten van een datalek nu op zo’n 2,5 miljoen dollar aftikt. Voor bedrijven die minder dan 50 miljoen dollar jaaromzet draaien, kan dat een levensbedreigende kostenpost zijn. Het gaat om kosten voor onder meer juridische bijstand, verlies van merkwaarde, productiviteitsverlies en klanten die afhaken.
Het blijkt ook dat een datalek vaak nog jaren blijf nazinderen. Ongeveer twee derde van de kostprijs komt boven in het eerste jaar, maar in het tweede en derde jaar is dat nog steeds respectievelijk 22 en 11 procent. Zeker in uiterst gereguleerde bedrijfstakken zoals gezondheid, financiële diensten, energie en farmacie laten die kosten zich lang voelen.
Ongeveer de helft van alle datalekken komt ook voort uit cybercrime, zo weet IBM. Dat soort lekken kosten gemiddeld een miljoen dollar meer dan wanneer een ongeluk aan de basis van het lek lag. Hoe meer data wordt buitgemaakt, hoe duurder ook de kostprijs voor een bedrijf. Een verlies van meer dan een miljoen datarecords komt op zo’n 42 miljoen dollar aan kosten. Vijftig miljoen records die verloren gaan, komt op een verliespost van 388 miljoen.
De kostprijs hangt ook voor een stuk af van waar het bedrijf gevestigd is en in welke sector het actief is. Een Amerikaans datalek (gemiddelde kostprijs: ruim 8 miljoen dollar) kost gemiddeld ongeveer het dubbele van een lek in een ander land. Organisaties in de gezondheidszorg zijn ook het duurst af, hun kostprijs ligt ongeveer 60 procent hoger dan voor bedrijven in andere sectoren.
Bedrijven die beschikken over een ‘incident response’-team en die uitvoerig hun plannen getest hebben, zijn gemiddeld ruim 1,23 miljoen dollar goedkoper af dan bedrijven die deze maatregelen niet hadden voorzien. Ook opmerkelijk: de gemiddelde levensduur van een datalek is 279 dagen: 206 dagen om achter het datalek achter te komen en 73 dagen om de gevolgen in te perken. Bedrijven die er in slagen om die tijd naar 200 dagen of minder te verlagen, besparen ongeveer 1,2 miljoen dollar.