פונימון: עלות אירוע אבטחה בארגון היא 3.8 מיליון דולר, גידול של 23% לעומת 2013

העלות הממוצעת של אירוע פגיעה באבטחה ופריצה למערכות IT בארגון עמדה אשתקד על 3.8 מיליון דולר, נתון המשקף עליה של 23% לעומת העלות של אירוע מקביל ב-2013; כך עולה מהדו"ח השנתי על עלויות פגיעות אבטחה בארגונים, אותו פרסם מכון המחקר פונימון (Ponemon).

המחקר, שנערך בהזמנת יבמ (IBM), בחן 350 חברות ב-11 מדינות. הוא ניתח מאות סעיפי הוצאה ועלויות הקשורות באירועי פריצה, גניבת רשומות או אבדן רשומות – והציג מדד המשקלל עלויות אלו במונחים של מחיר בדולרים לכל רשומה.

המחקר מגלה כי העלות הממוצעת של כל רשומה גנובה או אבודה הכוללת מידע רגיש וסודי, עלתה ב- 6%, מ-145 ל-154 דולר. עולם שירותי הבריאות מאופיין בעלות הגבוהה ביותר לכל רשומה גנובה, עם עלות של 363 דולר לרשומה כזאת. בנוסף, מדווחים קמעונאים על זינוק בעלויות הרשומות הנגנבות מהם, מ-105 דולר ב-2013 ל-165 דולר ב- 2014.

החוקרים מזהים שלוש סיבות מאחורי הזינוק בעלויות הקשורות בפרצות אבטחה ודליפת נתונים. ראשית – ניסיונות הפריצה הופכים תכופים יותר ומתוחכמים יותר, באופן המחייב השקעה נוספת בניסיון להתמודד עימם. שנית, ההשפעות הפיננסיות של אובדן לקוחות לאחר גילוי הפריצה וחשיפתה הציבורית, תורמות לעלויות נוספות. ושלישית, חברות רושמות הוצאות גבוהות יותר בתחום הזיהוי הפלילי של מאמצי פריצה, היערכות והקמת צוותי תגובה.

עורכי המחקר קובעים, כי מעורבות של ההנהלה הבכירה בהיערכות למניעת דליפת מידע והתקפות סייבר, כמו גם רכישת פוליסת ביטוח מתאימה, תורמים משמעותית להפחתת עלויות אירועי האבטחה, ככל שאלה מתרחשים בכל זאת. ברוח זאת, גם מדיניות ניהול יעילה בתחום ההתאוששות ושירותי ההמשכיות העסקית – ממלאת תפקיד חשוב בצמצום עלויות האירועים האלה.

עוד מעלה המחקר, כי בארצות הברית ובגרמניה מוציאות חברות את הסכומים הגבוהים ביותר לפתרון בעיות זליגת נתונים לידיים בלתי מורשות, עם 217 ו- 211 דולר לרשומה, בהתאמה. עלות הפתרון של בעיות הנובעות משגיאות אנוש עומדת על 137 דולר לרשומה. העלות הממוצעת לבעיית מערכת עומדת על 142 דולר לרשומה, בעוד עלות ההתמודדות עם ניסיון חדירה זדוני מטפסת ל-170 דולר לרשומה, בממוצע. עלויות הודעות ללקוחות על בעיות אבטחה הנוגעות לפרטיהם ירדו אשתקד מ-190 אלף דולר ל-170 אלף. עם זאת, העלות הממוצעת של אבדן לקוחות ומוניטין בשל פריצות למערכות ואבדן נתונים עלתה מ-1.23 מיליון ב-2013 ל-1.57 מיליון ב-2014.

עורכי המחקר מציינים כי משך הזמן החולף מרגע הפריצה בפועל ועד לזיהויה משפיע ישירות על עלויות אירוע האבטחה. הסקר מציג גם מדד החוזה את הסבירות לאירוע של גניבת רשומות מארגונים בשנתיים הקרובות, על בסיס פילוח גיאוגרפי. על פי תחזית זו, חברות בברזיל ובצרפת חשופות לסיכון הגבוה ביותר לאירוע אבטחה אחד לפחות, שבו ייגנבו 10,000 רשומות ויותר. לעומת זאת, ארגונים בקנדה ובגרמניה חשופים פחות מאשר בכל מדינה אחרת.

לדברי לארי פונימון, מייסד ויו"ר המכון, "בשנה החולפת הסיבה העיקרית לאובדן מידע נבעה מנוזקות או מפריצות בעלות גוון פלילי. זו הייתה הסיבה העיקרית בקרב ארגונים בכל העולם". על פי המחקר, 47% מאירועי האבטחה והפרצות נגרמו על ידי נוזקות או מתקפות פליליות. 29% מהן היו בשל תוצאה של תקלה במערכות ה-IT. רבע מהאירועים נבעו בשל טעות אנוש.