För moderna företag i alla former och storlekar är de ekonomiska konsekvenserna av ett dataintrång betydande.
IBM:s senaste rapport Cost of a Data Breach visade att den genomsnittliga kostnaden för ett dataintrång globalt under 2023 nådde en rekordhög nivå på 4,45 miljoner dollar. Denna siffra motsvarar en ökning med 2,3 procent från föregående år och en ökning med 15,3 procent från 2020.
Faktorer som incidenttyp och allvarlighetsgrad, regleringsstandarder, företagsstorlek, sektor och region kan ha stor inverkan på hur mycket ett dataintrång kan kosta ett företag, men alla organisationer måste noggrant bedöma och förbereda sig för de ekonomiska konsekvenser som kan vänta runt hörnet om de blir offer. Vissa är potentiellt mycket mer skadliga (och mindre uppenbara) än andra.
Faktorer som påverkar kostnaderna
I IBM:s 2023-rapport nämns flera bidragande komponenter som påverkar kostnaderna för dataintrång.
Till exempel ökade den genomsnittliga kostnaden för dataintrång inom hälso- och sjukvården under 2023 till 10,93 miljoner dollar vilket är den högsta kostnaden för någon bransch, medan finansiella organisationer noterade de näst högsta kostnaderna, i genomsnitt 5,90 miljoner dollar (en liten nedgång från förra året). Den genomsnittliga kostnaden för ett dataintrång för läkemedelsorganisationer i allmänhet var 4,82 miljoner dollar.
De fem länder och regioner som hade den högsta genomsnittliga kostnaden för ett dataintrång var: USA med 9,48 miljoner dollar, Mellanöstern med 8,07 miljoner dollar, Kanada med 5,13 miljoner dollar, Tyskland med 4,67 miljoner dollar och Japan med 4,52 miljoner dollar. Storbritannien såg en betydande minskning av den genomsnittliga kostnaden till 4,21 miljoner dollar – en nedgång med 16,6 procent från förra året – och placerade sig precis utanför topp fem.
2023-undersökningen visade också att det ledde till högre kostnader att utesluta brottsbekämpande myndigheter från ransomware-incidenter. Medan 63 procent av de tillfrågade uppgav att de anlitade rättsvårdande myndigheter, betalade de 37 procent som inte gjorde det 9,6 procent mer och upplevde en 33 dagar längre livscykel för intrånget.
Dessutom visade sig AI och automatisering vara viktiga investeringar för att minska kostnaderna och minimera tiden för att identifiera och begränsa intrång. Organisationer som använde dessa funktioner i stor utsträckning i sin strategi upplevde i genomsnitt en 108 dagar kortare tid för att identifiera och begränsa ett intrång.
De rapporterade också 1,76 miljoner dollar lägre kostnader för dataintrång jämfört med organisationer som inte använde AI- och automatiseringsfunktioner för säkerhet.
Attacker där hotaktörer fick tillgång till flera molnmiljöer kostade i genomsnitt 4,75 miljoner dollar, medan organisationer som rapporterade låg eller ingen komplexitet i säkerhetssystemen hade en genomsnittlig kostnad på 3,84 miljoner dollar för dataintrång 2023. Planering och testning av incidenthantering, IR, visade sig vara en mycket effektiv taktik för att begränsa kostnaden för ett dataintrång.
Organisationer med höga nivåer av planering och testning av incidenthantering sparade 1,49 miljoner dollar jämfört med dem med låga nivåer, enligt rapporten. Dessutom var DevSecOps och utbildning av anställda de mest effektiva åtgärderna för att minska kostnaderna för dataintrång i år, vilket sparade organisationer i genomsnitt 249 278 dollar respektive 232 867 dollar, enligt rapporten.
Under 2023 såg organisationer med fler än 5 000 anställda att den genomsnittliga kostnaden för ett dataintrång minskade jämfört med 2022. Däremot såg de med 5 000 eller färre anställda betydande ökningar av den genomsnittliga kostnaden för ett dataintrång.
Organisationer med färre än 500 anställda rapporterade att den genomsnittliga effekten av ett dataintrång ökade med 13,4procent från 2,92 miljoner dollar till 3,31 miljoner dollar. De med 500-1 000 anställda såg en ökning med 21,4 procent, från 2,71 miljoner dollar till 3,29 miljoner dollar. I intervallet 1 001–5 000 anställda ökade den genomsnittliga kostnaden för ett dataintrång från 4,06 miljoner dollar till 4,87 miljoner dollar, en ökning med nästan 20 procent.
Ryktesskador en av de största kostnaderna
Det är en gammal klyscha, men det går verkligen inte att sätta ett pris på kundförtroende, och ett skadat rykte är fortfarande en av de största kostnaderna för dataintrång för organisationer, enligt experter.
– I slutändan är kundförtroende väldigt lätt att bryta ner och väldigt svårt att bygga upp”, säger Allie Mellen, senioranalytiker på Forrester, till vår amerikanska systertidning CSO.
Bob Dutile, Chief Commercial Officer på UST, håller med.
– Den första och främsta farhågan är att ryktet påverkas, och kostnaden för ett dataintrång realiseras vanligtvis i en relativ konkurrensförändring på marknaden, säger han.
– Företagen märker att deras varumärke inte ger samma prispremie, att kostnaderna för kundomställning är högre och att marknadsandelar går förlorade. För ett börsnoterat företag återspeglas den kortsiktiga bedömningen av kostnadseffekten i aktiekursrörelser.
Om man bortser från de största intrången och de minsta ransomware-attackerna, säger Bov Dutile att forskning visar att mellan 8 och 10 miljoner dollar är en bra planeringssiffra i USA för ett medelstort företag som står inför ett blygsamt intrång på under 250 000 poster, och ungefär en tredjedel av denna kostnad kommer att kännas av genom förlust av affärer på grund av ett skadat rykte.
– En särskild kostnad som fortsätter att ha stor inverkan på de drabbade organisationerna är stöld/förlust av immateriella rättigheter, säger Glenn J. Nick, biträdande chef på Guidehouse, till CSO.
– Medierna tenderar att fokusera på kunddata under ett intrång, men att förlora immateriella rättigheter kan förstöra ett företags tillväxt. Stulna patent, tekniska konstruktioner, affärshemligheter, upphovsrätter, investeringsplaner och annan skyddad och konfidentiell information kan leda till förlorade konkurrensfördelar, förlorade intäkter och bestående och potentiellt irreparabla ekonomiska skador för företaget.
Det är viktigt att notera att hur ett företag reagerar på och kommunicerar ett intrång kan ha stor betydelse för hur ryktet påverkas, tillsammans med de ekonomiska konsekvenser som följer, säger Allie Mellen.
– Att förstå hur man upprätthåller förtroendet hos sina konsumenter och kunder är verkligen, verkligen avgörande här. Det finns sätt att göra detta, särskilt när det gäller att skapa transparens och använda empati, vilket kan göra en enorm skillnad i hur dina kunder uppfattar dig efter ett intrång. Om du försöker sopa det under mattan eller dölja det kommer det verkligen att påverka deras förtroende för dig mycket mer än enbart intrånget.
Svåra driftstopp kan kosta miljoner
Driftstopp kan vara mycket kostsamma för en organisation som utsatts för intrång, beroende på nivån och omfattningen av driftstoppet och hur teknikberoende företaget är, säger Coalfires CISO Jason Hicks till CSO.
– Ofta innebär ett intrång inte att ett företag blir helt offline, men det kan hända. Ju fler kritiska system som slås ut, desto större blir kostnaden.
Tillverkningsindustrin tenderar att ha de bästa mätvärdena för detta, eftersom det är relativt enkelt att mäta kostnaden per minut om en monteringslinje ligger nere, säger Jason Hicks.
– Det kan handla om miljontals dollar per dag för ett stort tillverkningsföretag. Det kan vara mer oklart för andra vertikala branscher, men det finns modeller för att få en rimlig känsla som kan tillämpas på varje vertikal.
Lagstiftning och rättstvister ökar kostnaderna
Allt strängare lagar om dataskydd och integritet tillsammans med rättstvister leder till att allt fler företag tvingas betala höga böter, förlikningar och rättegångskostnader efter dataintrång och bristande efterlevnad av lagar och regler.
Detta har inträffat flera gånger på senare tid. Det kinesiska företaget Didi Global fick böta 8,026 miljarder yuan (1,19 miljarder dollar) av Cyberspace Administration of China efter att ha beslutat att företaget brutit mot landets lagar om nätverkssäkerhet, datasäkerhet och skydd av personlig information.
Samtidigt fick Amazon böta 877 miljoner dollar för brott mot GDPR:s cookie-regler, T-Mobile gick med på att betala 350 miljoner dollar för att lösa en grupptalan efter ett dataintrång i början av 2021, och Google gick med på att betala 60 miljoner dollar i böter för att ha vilselett australiensiska användare om att få tillgång till platsdata.
I IBM:s rapport från 2023 angavs en skillnad på 1,04 miljoner dollar (23 procent) i kostnader för dataintrång mellan höga och låga nivåer av bristande efterlevnad av bestämmelser. Oavsett om det handlar om att bli straffad enligt dataskyddsförordningen, att lösa grupptalan som väckts av en individ eller en grupp, eller att betala för juridisk representation/generaladvokat, är verkligheten den att alla företag bör planera för potentiella kostnader för reglering och rättstvister i samband med dataintrång.
– Reglerade branscher drabbas inte bara av de omedelbara kostnaderna för att reagera på, begränsa och åtgärda sårbarheter, utan även av de långsiktiga effekterna av ytterligare påföljder från sina tillsynsmyndigheter och rättsliga uppgörelser, säger Glenn J. Nick.
Högt reglerade branscher, som hälso- och sjukvård och finansiella tjänster, ligger vanligtvis etta och tvåa i kostnadsordning per intrång eftersom de betalar mer böter för bristande efterlevnad än andra, tillägger han.
– Utredning och dom tar ofta flera år för den drabbade organisationen att nå en monetär uppgörelse med berörda parter.
Juridiska kostnader är en av de största utgifterna som organisationer står inför vid dataintrång, säger Glenn J. Nick.
– Organisationer har sällan den juridiska och integritetsrelaterade expertisen internt. För att säkerställa efterlevnad måste de anlita externa jurister för att leda sin rapportering.
Stigande priser på cyberförsäkringar
Även om kostnaderna för dataintrång i samband med skadat rykte, driftstopp och lagstiftning/juridik fortfarande är betydande, är de inget nytt. En nyare trend är en kraftig ökning av kostnaderna för cyberförsäkringspremier på grund av frekvensen och allvarlighetsgraden av intrång, tillsammans med stora betalningar för ransomware.
Enligt forskning från Huntsmen Security förväntas antalet organisationer som inte har råd med ett adekvat cyberförsäkringsskydd att fördubblas under 2023. Detta är ett resultat av att försäkringsbolagen höjer premiepriserna för att bättre återspegla de risker som organisationerna står inför.
– Vissa organisationer har rapporterat premiehöjningar på cirka 200 procent efter intrång, säger Glenn J. Nick.
Förutom att göra premierna dyrare inför försäkringsbolagen också fler begränsningar i täckningen, vilket innebär att företag även med en policy på plats kan bli ekonomiskt ansvariga för vissa intrångsrelaterade kostnader. Förutom dyrare premier måste företagen alltså också planera för finansiering för att täcka eventuella begränsningar eller undantag som skrivits in i försäkringarna. I IBM:s senaste rapport anges försäkringsskydd som den minst vanliga investeringen efter ett dataintrång (18 procent), vilket i genomsnitt sparar organisationer 196 452 USD i kostnader för dataintrång.
Allie Mellen berättar för CSO att cyberförsäkringslandskapet fortfarande är under utveckling, men att tro att försäkringar kommer att göra det möjligt för organisationer att helt återhämta sig ekonomiskt från en cyberattack är dumt.
– I verkligheten kommer den inte att täcka alla kostnader i samband med någon typ av cyberattack, och vi ser att vissa försäkringsbolag inte ens täcker ransomware vid denna tidpunkt som en del av sina utbetalningar, säger hon.
En annan faktor att ta hänsyn till är att leverantörer av cyberförsäkringar nu vanligtvis har en lista över godkända tjänsteleverantörer som advokater och kriminaltekniska företag, säger Jason Hicks.
– Om din föredragna leverantör inte finns med på deras lista kan du behöva arbeta med dem för att få dem inkluderade, eller eventuellt behöva byta leverantör. Detta kan bli kostsamt, eftersom företagen ofta utnyttjar sina befintliga tjänsteleverantörer för att säkra maximala rabatter baserat på volymen av arbete som utförs med partnerna. Om du av någon anledning inte kan få dem inkluderade kan det dessutom sluta med att du måste betala kostnaderna direkt i stället för att låta din försäkring täcka dem.
Mer öppna för att betala stora lösensummor
När det gäller ransomware finns det tecken på att företag är alltmer öppna för att betala lösensummor som en del av sin hantering av intrång, och till och med avsätter miljontals dollar för detta ändamål.
– En av de första frågorna som jag ofta får är om man ska skapa en Bitcoin-plånbok för att förbereda sig på att behöva betala lösensumma, säger Allie Mellen till CSO.
– I slutändan kan en ransomware-attack vara en existentiell händelse för ett företag om deras säkerhetskopior inte finns på en säker plats eller inte är uppdaterade, så de förbereder sig till 100 procent för att behöva betala lösensumman.
Hotaktörer försöker i slutändan fastställa ett belopp som ett företag kan vara berett att betala för att fortsätta sin verksamhet. Nya uppgifter från ExtraHop visar att 83 procent av de företag som drabbades av ransomware under 2022 valde att betala en lösesumma minst en gång.
IBM:s 2023-rapport visade att organisationer som betalade lösensumman under en ransomware-attack endast uppnådde en liten skillnad i totalkostnad på 5,06 miljoner USD jämfört med 5,17 miljoner USD, en kostnadsskillnad på bara 2,2 procent.
Denna beräkning inkluderar dock inte kostnaden för själva lösensumman, och med tanke på den höga kostnaden för de flesta ransomware-krav, slutade organisationer som betalade lösensumman sannolikt med att spendera mer totalt sett än de som inte gjorde det, enligt IBM. Uppgifterna visade att det totalt sett har blivit allt mindre fördelaktigt att betala en lösensumma, med en minskning av besparingarna med 82,5 procent från rapporterna 2022 till 2023.
Otillräcklig säkerhetspersonal
Enligt IBM:s senaste rapport är bristen på säkerhetskompetens en av de största kostnadsförstärkarna för dataintrång, och den genomsnittliga kostnaden för ett intrång för organisationer med höga nivåer av brist på säkerhetskompetens är 5,36 miljoner dollar. Om otillräcklig säkerhetspersonal leder till högre kostnader för dataintrång bör organisationer ta hänsyn till Allie Mellens varning för den inverkan ett dåligt hanterat dataintrång kan ha på de anställda.
– Om de inte känner att organisationen kan skydda dem eller kunderna i händelse av ett intrång, eller om de anklagar sina anställda för ett intrång, kommer de sannolikt att börja söka jobb någon annanstans eftersom det skapar en lite fientlig miljö för dem, säger hon.
Allie Mellen nämner exemplet med att ”skylla på praktikanten” för ett dataintrång, vilket är ett säkert sätt att få människor att känna sig osäkra i sina roller och som om de är ett steg ifrån att användas som syndabock, vilket kan tvinga dem ut genom dörren.
Detta kan inte bara leda till att ett företag saknar resurser, utan det innebär också att de kommer att behöva betala kostnaderna för att rekrytera och introducera ny personal.
– Det är mycket viktigt att organisationer inser att de måste ta sitt ansvar och skydda både sina anställda och sina kunder.
Beredskap är nyckeln
Oavsett vilka specifika kostnader det handlar om är experterna överens om att beredskap i slutändan är nyckeln till att hantera de ekonomiska konsekvenserna av ett dataintrång.
– Snabbare incidenthantering fortsätter att vara en tydlig drivkraft för att sänka kostnaderna för ett intrång, säger Bob Dutile.
– De värsta förlusterna är de som förblir oupptäckta under en längre tid eller som har en långsam eller ineffektiv respons.
Modern cybersäkerhet kräver ett förhållningssätt där man förstår att ett framgångsrikt dataintrång till slut kommer att inträffa, tillägger Allie Mellen.
– Under sådana förhållanden måste du ta reda på hur du ska hantera det och bygga upp din motståndskraft så att du kan reagera bättre och snabbare. Det handlar inte heller bara om säkerhetsfunktionen, utan den måste spridas över hela organisationen och ta hänsyn till vad marknadsföringen ska göra, vad försäljningen ska göra och så vidare.
– Hur man som företag kan visa att man värdesätter sina kunder och att man vill göra rätt för sig så snabbt och effektivt som möjligt.