עלות דליפת הנתונים מארגונים ממשיכה לצמוח, בעיקר באזור שלנו

העלות השנתית הממוצעת של דליפת נתונים מארגון מגיעה השנה לשיא של 4.88 מיליון דולר – כך עולה ממחקר שפרסמה יבמ באחרונה. הנתון משקף עלייה של 10% לעומת העלות בשנה שעברה, שעמדה על 4.45 מיליון דולר.

חוקרי הענק הכחול בחנו 604 פריצות לארגונים ודליפות נתונים בארגונים ברחבי העולם בין מרץ 2023 לפברואר 2024. הפריצות קרו ב-16 מדינות וב-17 מגזרי תעשייה, ובכל אחד מהאירועים דלפו או נגנבו בין 2,100 ל-113 אלף רשומות. עוד רואיינו 3,556 מנהלי אבטחה וסמנכ"לי ארגונים. כך, בתוך ארבע שנים, העלות הממוצעת של אירוע דליפה גדלה מ-3.86 מיליון דולר ל-4.88 השנה – נתון המשקף זינוק של יותר מחמישית – 26%.

במזרח התיכון: צמיחה של יותר מחצי מיליון דולר בעלות לאירוע

בהיבט הגיאוגרפי, מדינות המזרח התיכון חוו את הגידול הכי גבוה בעלויות: עלות אירוע שכזה עומדת השנה באזור שלנו על 8.75 מיליון דולר לעומת 8.07 מיליון ב-2023 – נתון המשקף גידול של יותר מ-8%. לעומת זאת, בארצות הברית נרשמה ירידה – מ-9.48 מיליון דולר אשתקד ל-9.36 מיליון השנה.

מהדו"ח עולה כי הפריצות לארגונים ודליפות הנתונים הופכות לגורם שיבוש עסקי משמעותי יותר, כי האובדן העסקי והנזק ההיקפי – ללקוחות ולגורמי צד ג' – החמיר. 70% מהארגונים שנפרצו דיווחו שהפריצה גרמה לשיבוש עסקי משמעותי או משמעותי מאוד. ההשפעות המשבשות של אירועי דליפת נתונים, ציינו החוקרים, "לא רק מגדילות את העלויות המיידיות אלא גם את העלויות המשניות, שלאחר הפריצה".

סוגי האירועים העיקריים

כמעט מחצית מהאירועים (46%) היו כרוכים בדלף או גניבת נתונים אישיים של לקוחות ומידע מזהה (PII), דוגמת מספרי זיהוי, מיילים, מספרי טלפון וכתובות. ב-43% מהמקרים הודלפו או נגנבו פרטי קניין רוחני (IP). העלות של הנזק מדליפת רשומות זינקה: מ-156 דולר אשתקד ל-173 דולר השנה.

משך הזמן הממוצע שלקח לזהות את וקטור התקיפה ולהכיל דליפות או פריצות שבהם היו מעורבים אישורי גישה גנובים עמד על 292 ימים. מתקפות פישינג נמשכו 261 ימים ואלה שכללו הנדסה חברתית – 257 ימים.

עוד נתון שממחיש למה חשוב לא לשלם דמי כופר

הנתון הבא ממחיש את חשיבות הקריאה של ה-FBI לארגונים שלא לשלם דמי כופר במקרה של מתקפת כופרה: לפי חוקרי יבמ, ארגונים חוסכים בממוצע כמיליון דולר כאשר הם מערבים את גורמי אכיפת החוק במתקפות אלה. זאת, בצד החיסכון מאי תשלום דמי הכופר. עירוב של גורמי אכיפת החוק סייע לקצר גם את הזמן הנדרש לזהות ולהכיל מתקפות – מ-297 ל-281 ימים.

נתון נוסף מהמחקר מראה שיותר ממחצית מהארגונים התמודדו עם מחסור חמור בכוח אדם, בהשוואה לשנה הקודמת – זינוק של 26%. עלות הנזק שנגרם להם הייתה גבוהה בממוצע ב-1.76 מיליון דולר לעומת ארגונים שלא סבלו ממצוקת כוח אדם. "נתון זה בולט ברקע הדהירה של ארגונים לאמץ טכנולוגיות בינה מלאכותית יוצרת, שצפויות להציף סיכוני סייבר חדשים", ציינו החוקרים.

ואם כבר בבינה מלאכותית עסקינן, המחקר מראה ששניים מתוך שלושה ארגונים נעזרים ביישומי AI ובאוטומציה במרכזי תפעול האבטחה שלהם. עלות הנזקים לארגונים אלה הייתה נמוכה בממוצע ב-2.2 מיליון דולר – לעומת ארגונים שלא משתמשים בטכנולוגיות החדשות. כמו כן, ארגונים שהפעילו כלי AI ואוטומציה באבטחה זיהו והכילו אירועי פריצה ודליפות נתונים 98 ימים מהר יותר בממוצע – לעומת ארגונים שלא משתמשים בהן.

לסיום, 40% מהפריצות כללו אובדן נתונים שאוחסנו בתשתיות מחשוב מגוונות, לרבות ענן ציבורי, ענן פרטי ובשרתי הארגון. דליפות נתונים מסביבות מגוונות אלה עלו בחמישה מיליון דולר יותר בממוצע, ודרשו את הזמן הארוך ביותר עד לזיהוי והכלה של האירוע – 283 ימים.