מחקר: העלויות של מתקפות סייבר בארגונים ומה מניב תשואה משמעותית באבטחת סייבר
מאת: מערכת Telecom News, 29.7.20, 14:41

המחקר הסתיים באפריל 2020 ובמסגרתו התקיימו ראיונות עומק עם כ-3,200 אנשי אבטחה מקצועיים מ-500 ארגונים, שנפגעו מגניבת נתונים בשנה האחרונה. תקיפות, שמקורן במדינות ולא פושעי סייבר עצמאיים, היו היקרות ביותר. מהו המגזר, שחווה את מספר התקיפות הגדול ביותר? האם ה-CISO אחראי בסופו של דבר לפריצות?
 
חברת IBM בשיתוף מכון פונימון (Ponemon) פרסמה את המחקר 2020 Cost of a Data Breach Report, שבוצע בין אוגוסט 2019 לאפריל 2020, שמסגרתו התקיימו ראיונות עומק עם כ-3,200 אנשי אבטחה מקצועיים מכ-500 ארגונים מתחומים שונים ב-17 מדינות, ארגונים, שנפגעו מגניבת נתונים בשנה האחרונה.  

העלות הממוצעת לארגון במקרה של מתקפת סייבר, שמסתיימת בגניבת נתונים (Data Breach), היא כ-3.86 מיליון דולרים. ב-80% מהתקיפות נגנבו פרטים אישיים (PII) של לקוחות - נזק, שהתברר בסופו של יום, כיקר יותר מבין כל שאר הנתונים שנגנבו.
מהמחקר עולה, שגניבת פרטים אישים של עובדים בארגון הוא המקור היקר ביותר לנזק. בתקיפות, שבמסגרתן פרצו תוקפים לרשת הארגונית באמצעות הרשאות גנובות של עובדים, הנזקים היו גבוהים בכמיליון דולרים לעומת הממוצע העולמי - עד 4.77 מיליון דולרים לפריצה. ניצול חולשות צד ג' היה המקור השלישי היקר ביותר של מתקפות זדוניות (4.5 מילון דולרים).

עוד עולה מהמחקר, שחברות, שהשתמשו בטכנולוגיות אבטחה אוטומטיות (מינוף בינה מלאכותית, אנליטיקה ותיאום (Orchestration) אוטומטי לזיהוי ותגובה לאירועי סייבר), עלות הנזק שספגו היה קטנה בחצי בהשוואה לחברות, שלא השתמשו בכלים כאלה - 2.45 מיליון דולרים בממוצע לתקיפה לעומת 6.03 מיליון דולרים בממוצע.

המאפיין, שתרם להורדת עלויות הפריצה בחברות, שפרסו פתרונות אבטחה אוטומטיים, הוא התגובה המהירה. הדו"ח מצא, שבינה מלאכותית, למידת מכונה, אנליטיקה וצורות אחרות של מיכון האבטחה מאפשרות לחברות להגיב למתקפות 32% מהר יותר מחברות, שטרם פרסו פתרונות דומים. חברות ללא כלי אבטחה אוטומטיות נזקקות בממוצע ל-74 ימים נוספים לאיתור ובלימת מתקפה.

גם מוכנות התגובה לתקריות סייבר משפיעה על העלות הכספית של הפריצה. חברות ללא צוות תגובה (IR) ייעודי או כאלו, שאינן בודקות את תכניות התגובה שלהן באופן עקבי, ספגו עלויות של 5.28 מיליון דולרים בממוצע.

חברות, שמחזיקות צוות תגובה ועורכות תרגילי מוכנות או סימולציה של תכניות התגובה, משלמות 2 מיליון דולרים פחות במקרה של מתקפה, נתון המאשש, שההשקעה במוכנות מניבה תשואה משמעותית באבטחת סייבר.

העלות של מתקפות, שבהן נגנבו או נפגעו יותר מ-50 מיליון רשומות, עלתה עד 392 מיליון דולרים לעומת 388 מיליון דולרים בדו"ח אשתקד. פריצות, שבהן נגנבו או נפגעו עד 50 מיליון רשומות, גרמו לארגונים נזקים של 364 מיליון דולרים בממוצע - גידול של 19 מיליון דולרים לעומת הדו"ח הקודם.

הרשאות גישה, שנחשפו, והגדרה שגויה של שירותי ענן שונים היו 2 הסיבות השכיחות ביותר למתקפות זדוניות, וגרמו לכ-40% מהתקריות. נוכח יותר מ-8.5 מיליארד רשומות, שנחשפו ב-2019, והעובדה, שתוקפים משתמשים במיילים וסיסמאות, שנחשפו ב-1 מכל 5 תקריות, שנחקרו בדו"ח, ארגונים בוחנים כיום מחדש את אסטרטגיות האבטחה שלהם ומאמצים גישת "אפס אמון" בטכנולוגיות אימות הזהות של בעלי הרשאות, והיקף הגישה, שהם מעניקים למשתמשים.

ב-9 החודשים, שנבחנו במחקר, תקיפות, שמקורן במדינות ולא פושעי סייבר עצמאיים, היו היקרות ביותר מבין האיומים שנבחנו. למרות שהן מהוות 13% בלבד מכלל המתקפות הזדוניות, מתקפות אלו הובילו לנזקים בסך של 4.43 מיליון דולרים בממוצע לתקיפה.

האופי הטקטי, "חיי המדף" של הנתונים ושיטות העבודה הנהנים ממימונן של מדינות, בשילוב עם החשיפה של נתונים בעלי ערך גבוה במיוחד, מובילים לעתים קרובות לפגיעה נרחבת מאוד. לשם השוואה, מתקפות, שנערכות ממניעים פיננסיים (53%), אינן מתורגמות לנזקים פיננסיים גבוהים יותר לעסקים שנפגעו.

ממצאים נוספים בדו"ח:

• המגזר, שחווה את מספר התקיפות הגדול ביותר, היה תחום הבריאות. שירותי בריאות ממשיכים לסבול מעלויות הפריצה הגבוהות ביותר: 7.13 מיליון דולרים, גידול של 10% לעומת הדו"ח של 2019.
• מידע אישי שווה יותר: בעוד שהעלות הממוצעת לכל רשומה, שאבדה או נגנבה, עמדה על 146 דולרים בכל פריצה, אלו המכילות פרטים אישיים של הלקוחות עלו לעסקים 150 דולרים לכל רשומה שנחשפה.
• הסיכון של העבודה מהבית עולה הרבה: מודלים של עבודה היברידית יוצרים סביבות פחות מבוקרות. הדו"ח מצא, ש-70% מהחברות, שאימצו עבודה מרחוק עקב המגפה, מצפות, שעלויות ההתאוששות מפריצות תגדלנה עקב כך.
• 46% מהמשיבים אמרו, שמנהלי אבטחת המידע בארגונם הם האחראים בסופו של דבר לפריצה, למרות שרק 27% ממנהלי האבטחה מקבלים את ההחלטות לגבי מדיניות וטכנולוגיית האבטחה בחברה. הדו"ח מצא עוד, שמינוי מנהל ראשי של אבטחת מידע חוסך לחברות 145,000 דולרים מהעלות הממוצעת של פריצה.
• הדו"ח מצא, שביטוח סייבר מפחית את עלויות הפריצה בקרוב ל-200 אלף דולרים לעומת העלות הממוצעת. לאמיתו של דבר, מבין הארגונים, שניצלו את ביטוח הסייבר שלהם, 51% הפעילו את הפוליסה כדי לכסות דמי ייעוץ ושירותים משפטיים, בעוד ש-36% מהארגונים השתמשו בכסף לפיצוי קורבנות הפריצה. רק 10% מדמי הפוליסות שהופעלו שימשו לכיסוי דמי כופר או סחיטה.
• ארה"ב ממשיכה להוביל את רשימת המדינות הנפגעות עם עלויות המתקפות הגבוהות בעולם של 9.64 מיליון דולרים בממוצע.

וונדי וייטמור, סגנית נשיא ב-IBM Securityהמובילה את חטיבת מודיעין איומי הסייבר IBM X-Force: "כשמדובר ביכולתם של ארגונים להקטין את תג המחיר של פגיעה בנתונים, אנו עדים ליתרון ברור של חברות, שהשקיעו בטכנולוגיות אוטומטיות. בתקופה בה עסקים מרחיבים את טביעת הרגל הדיגיטלית שלהם בקצב מואץ והמחסור בעובדים מקצועיים נמשך, צוותי האבטחה לא עומדים בעומס האירועים והמשימות, הטיפול במערכות והיקף הנתונים הביתיים, שנוספו לרשתות. אוטומציה של פעילות אבטחת הסייבר מקלה על העומס הזה ומלבד תגובה מהירה יותר - היא חוסכת לחברות הרבה כסף".