Il costo di un data breach è aumentato del 12% negli ultimi 5 anni e oggi ammonta a 3,92 milioni di dollari in media. Una crescita dovuta all’impatto finanziario pluriennale delle violazioni, all’aumento delle regolamentazioni e al complesso processo di risoluzione degli attacchi criminali.
Le conseguenze finanziarie di una violazione di dati possono essere particolarmente gravi per le piccole e medie imprese. Le aziende con meno di 500 dipendenti hanno subito perdite di oltre 2,5 milioni di dollari in media, un importo penalizzante per questa categoria di imprese.
Inoltre, l’impatto finanziario a lungo termine risultato essere prolungato nel tempo. Circa il 67% dei costi della violazione di dati viene registrato entro il primo anno, il 22% nel secondo anno e un altro 11% si estende oltre i due anni dalla violazione. I costi sono risultati più elevati nel secondo e terzo anno per le aziende operanti in ambienti altamente regolamentati, come la sanità, i servizi finanziari, l’energia e l’industria farmaceutica.
Il report annuale “Cost of a Data Breach” che esamina l’impatto finanziario delle violazioni di dati sulle aziende sponsorizzato da IBM Security e condotto dal Ponemon Institute, si basa su interviste approfondite condotte con più di 500 aziende in tutto il mondo che hanno subito una violazione nell’ultimo anno. L’analisi tiene conto di centinaia di fattori di costo, tra cui attività legali, normative e tecniche dovute a perdite di valore del brand e di produttività dei dipendenti.
“Il cybercrime è fonte di guadagno per i criminali informatici e a questo corrispondono perdite significative per le aziende colpite” ha affermato Wendi Whitmore, Global Lead di IBM X-Force Incident Response and Intelligence Services “Considerando la perdita o il furto di oltre 11,7 miliardi di dati solo negli ultimi 3 anni, le organizzazioni devono essere consapevoli dell’impatto finanziario che una violazione dei dati può avere sui loro profitti e, quindi, concentrarsi su come è possibile ridurre questi costi.”
Data breach più comuni: cyber malevoli, USA e Healthcare
Le violazioni di dati derivanti da attacchi informatici malevoli sono le più comuni e costose: oltre il 50% delle violazioni di dati è stato causato da attacchi cyber malevoli ed è costato alle aziende in media 1 milione di dollari in più rispetto a quelli derivanti da cause accidentali. Tuttavia, le violazioni accidentali dovute a errori umani o anomalie nei sistemi sono ancora la causa di quasi metà (49%) delle violazioni di dati, comportando un costo per le aziende di più di 3 milioni di dollari. Corsi di security awareness, investimenti in strumenti tecnologici e servizi volti a identificare in anticipo le violazioni accidentali possono servire.
Le violazioni negli Stati Uniti costano il doppio: il costo medio di una violazione è di 8,19 milioni di dollari, più del doppio della media mondiale. Inoltre, per il nono anno consecutivo, le aziende sanitarie hanno subito il costo più alto di una violazione: circa 6,5 milioni di dollari in media (oltre il 60% in più rispetto ad altri ambiti presi in considerazione nello studio).
Il ciclo di vita di un data breach: l’impatto sui costi
Lo studio condotto quest’anno ha rilevato che il ciclo di vita medio di una violazione è di 279 giorni. Le aziende ne impiegano 206 per identificare una violazione dopo che è avvenuta, e altri 73 sono necessari per contenere i danni.
Velocità ed efficienza di risposta agli incidenti aiutano a ridurre tempi e costi complessivi. Poter contare su un team e su piani di risposta agli incidenti sono due dei maggiori fattori di risparmio che emergono. Le aziende che hanno messo in atto entrambe le misure hanno speso in media 1,23 milioni in meno rispetto alle aziende che non potevano contare su nessuna delle due (3,51 milioni contro 4,74 milioni).
Altri fattori che hanno un impatto sui costi di una violazione sostenuti dalle aziende nello studio sono:
- numero di dati compromessi: ogni dato perso o rubato a causa di una violazione costa alle aziende in media 150 dollari;
- tecnologie per l’automazione della sicurezza: le aziende che ne hanno fatto uso hanno sostenuto circa la metà dei costi di una violazione (in media 2,65 milioni di dollari) rispetto a quelle che non le hanno adottate (in media 5,16 milioni di dollari);
- encryption: è risultato essere uno dei maggiori fattori di risparmio, riducendo il costo totale di una violazione di 360.000 dollari;
- violazioni derivanti da terze parti, come partner o fornitori: costano alle aziende 370.000 dollari in più della media, il che evidenzia l’importanza di controllare la sicurezza delle aziende con cui si collabora, di allineare gli standard di sicurezza e monitorare attivamente l’accesso di terzi.
