Bij bedrijven die slachtoffer zijn van een datalek is de kans groter is dat ze de kosten van het incident doorberekenen aan klanten dan dat ze hun investeringen in beveiliging verhogen. Dat laatste blijkt in zowat de helft (51 procent) van de situaties het geval, aldus een IBM-onderzoek. Of hoe de andere helft het budget dus niet verhoogt bij datalekken.
Het recente ‘Cost of a Data Breach’-rapport van IBM toont ook aan dat de gemiddelde kost van een datalek in 2023 wereldwijd opliep tot 4,45 miljoen dollar gemiddeld. Dit is een record, en een stijging van 15 procent vergeleken met de afgelopen drie jaar. De kosten voor detectie en opschalen stegen tijdens dezelfde periode met 42 procent en vertegenwoordigen het grootste deel van de totale kosten voor inbreuken.
Het ‘Cost of a Data Breach’-rapport en onderzoek is gebaseerd op een analyse van datalekken bij 553 (grote) organisaties wereldwijd, gedurende de periode van maart 2022 tot maart 2023. Het onderzoek, in opdracht van én geanalyseerd door IBM Security, is uitgevoerd door het Ponemon Institute en wordt al 18 jaar op rij gepubliceerd.
Drie trends
Drie trends staan voorop. Ten eerste heeft artificiële intelligentie (ai) in combinatie met automatisering een grote impact op de snelheid van het identificeren en inperken van een datalek bij de onderzochte organisaties. Organisaties die verregaand gebruikmaken van zowel ai als automatisering ervaren een verkorte doorlooptijd voor het afhandelen van een datalek van gemiddeld 108 dagen minder dan organisaties die deze technologieën niet omarmen (214 dagen versus 322 dagen).
Ten tweede is er de kost van het stilzwijgen. 37 procent van de onderzochte ransomware-slachtoffers schakelde het gerecht niet in bij een ransomware-aanval. Maar slachtoffers van ransomware die de politie wél inschakelden bij het onderzoek, bespaarden 470.000 dollar op de gemiddelde kosten van een inbreuk in vergelijking met de slachtoffers die hier niet voor kiezen.
Daarnaast zijn er de zogenaamde detection gaps, een derde vaststelling. Slechts één derde van de onderzochte datalekken werd ontdekt door het securityteam van de organisatie zelf, terwijl 27 procent werd bekendgemaakt door cybercriminelen. Datalekken die door cybercriminelen worden onthuld, kosten gemiddeld één miljoen dollar meer dan lekken die door organisaties zelf worden ontdekt.
Budgetten
Het onderzoek toont ook aan dat bedrijven verdeeld zijn over hoe ze van plan zijn om te gaan met de toenemende kosten en frequentie van datalekken. Zo blijkt dat, ondanks het feit dat 95 procent van de onderzochte organisaties meerdere malen te maken heeft gehad met een datalek, de kans groter is dat ze de kosten van het incident doorberekenen aan consumenten (57 procent) dan dat ze hun investeringen in beveiliging verhogen (51 procent).
De helft van de bedrijven kan hogere kosten nauwelijks of niet doorberekenen, de andere helft wel.
De kosten van een hack vallen blijkbaar ook onder die hogere kosten, net als andere tegenvallers.
Gevalletje open deuren intrappen lijkt me de conclusie dat de datalekken welke door cybercriminelen worden onthuld gemiddeld één miljoen dollar meer kosten dan lekken die door organisaties zelf worden ontdekt. Het stilzwijgend betalen door 37% van de organisaties omdat de kosten doorbelast worden of gedekt zijn verrast me dan ook niet want een economische afweging tussen de kosten die met 42% stijgen terwijl kans op succes ervan nog geen 33% is geeft aan waar het probleem ligt.
Eigenlijke rapport (link?) komt met nog meer interessante conclusies want de stijging van datalekken in de zorg kent een verdubbeling in de kosten. Verder komt meer dan 80% voort uit het gebruik van de ‘Systems of Collaboration’ in de cloud. Niks Cl0p maar werknemers die van exportfuncties voor data exfiltratie gebruik maken waarna gegevensset buiten het toezicht gedeeld wordt. Immateriële waarde van een klantenbestand is, net als de intellectuele eigendommen, een mooie bruidsschat. De kosten van een ‘mol-inside’ staat nog met stip op één in figuur 10 en het concurrentiebeding geldt niet in bepaalde bestuurlijke kringen;-)