סימנטק: סקר Cost of Data Breach 2013

חברת סימנטק (Symantec) וחברת המחקר מכון Ponemon חושפות את סקר Cost of Data Breach 2013 המראה כי טעויות אנוש וכשלי מערכת הביאו לשני-שליש מפרצות המערכת ב-2012, והעלו את המחיר העולמי הממוצע ל-136 דולר לרשומה.

(מכון פונימון רואה נתוני לקוח או צרכן – כולל מידע על טרנזקציות תשלומים, רשומות עובדים, תושבים, ומידע על מטופלים וסטודנטים, כרשומת נתונים. העלות לרשומה היא העלות הממוצעת לרומה שנחשפה או נגנבה).

הנושאים כללו טיפול לקוי של עובדים במידע חסוי, חוסר בקרות מערכת, והפרות של תקנות של התעשיה והממשל. תחומים בעלי רגולציה כבדה, כולל שירותי בריאות, התחום הפיננסי וחברות תרופות חוו עלויות של פרצות גבוהות ב-70% יותר מאשר בתעשיות אחרות.

העלות הגלובלית של רשומת לקוח שנפגעה עלתה לעומת השנה הקודמת, בעוד העלות הכוללת לאירוע של פריצת נתונים בארה"ב ירדה במעט ל-5.4 מיליון דולר. ירידה זו מיוחסת למינויים של קציני אבטחת מידע ראשיים (CISO) בעלי אחריות כלל ארגונית, תוכניות תגובה מקיפות לאירועים, ותוכניות אבטחה כוללות חזקות יותר.

"בעוד תוקפים חיצוניים והשיטות המתפתחות שלהם מהווים איום גדול לחברות, הרי הסכנות הקשורות לאיומים הפנימיים יכולות להיות הרסניות וחתרניות באותה מידה," אמר לארי פונימון, יו"ר מכון Ponemon. "שמונה שנות מחקר על עלויות פרצות מידע הראו כי התנהגות של עובדים היא אחד הנושאים הדחופים ביותר שארגונים מתמודדים איתם כיום, עם עלייה של 22% מאז הסקר הראשון."

"בהתחשב בכך שארגונים עם מערכי אבטחה חזקים ועם תוכניות תגובה למקרים חוו 20% עלויות פריצה נמוכות יותר מאשר אחרים, חשיבותה של גישה מתואמת-היטב והוליסטית היא ברורה," אומר שמוליק אנג'ל, מנכ"ל סימנטק ישראל. "חברות חייבות להגן על המידע הרגיש של לקוחותיהן, ללא חשיבות למיקום בו הוא שוכן, בין אם במחשב נייח, מכשיר נייד, רשת ארגונית או מרכז נתונים (Data Center)."

הדוח הגלובלי השמיני מבוסס על נתוני פרצות מידע אקטואליים של 277 חברות בתשע מדינות (ביניהן: ארה"ב, בריטניה, צרפת, גרמניה, איטליה, הודו, יפן, אוסטרליה, וברזיל). ניתן למצוא את הדוח המלא, וכן את הניתוח על-פי מדינות בקישור: [קישור]. כל מקרי פרצות המידע שתועדו התרחשו במהלך 2012. כדי לעקוב כראוי אחר מגמות נתונים, מכון Ponemon אינו מכליל "מגה פרצות מידע" (Mega Data Breaches) של יותר מ-100,000 רשומות תחת סיכון.

חברות יכולות לחשב את רמת הסיכון שלהן על-ידי שימוש ב-Data Breach Risk Calculator של סימנטק אשר לוקח בחשבון את גודל הארגון, תחום התעשיה שלו, מיקום, ואת נוהגי האבטחה כדי לבצע הערכה שהיא גם לכל רשומה בנפרד וגם במבט כלל ארגוני.

ממצאים נוספים בסקר כוללים:

• העלות הממוצעות לכל פרצת מידע שונה ברחבי העולם. רוב השינויים הללו נובעים מסוג האיומים שארגונים עומדים מולם, כמו גם מחוקי ההגנה על נתונים במדינות השונות. בחלק מהארצות, למשל גרמניה, אוסטרליה, ארה"ב ובריטניה, יש חוקים ותקנות ממוסדים יותר להגנה על הצרכן, אשר מחזקים את פרטיות המידע ואת אבטחת הסייבר. ארה"ב וגרמניה ממשיכות להיות המוקדים בהם פרצות המידע הן היקרות ביותר (ממוצע העלות לרשומה בסיכון הינו 188 דולר בארה"ב ו-199 דולר בגרמניה). לשתי המדינות הללו היה גם את העלות הכוללת היקרה ביותר עבור פרצות מידע (5.4 מיליון דולר בארה"ב, 4.8 מיליון דולר בגרמניה).

• טעויות שנעשות על-ידי אנשים ומערכות הן הגורמים העיקריים לפרצות מידע. טעויות אנוש וכשלי מערכת יחדיו, מהווים 64% מכלל פרצות המידע על-פי הסקר העולמי, בעוד הסקר הקודם הראה כי 62% מהעובדים מאמינים כי מקובל להעביר מידע ארגוני אל מחוץ לחברה, ומרביתם אינם מוחקים את המידע לעולם, וכך משאירים אותו חשוף לזליגת נתונים. נתון זה ממחיש את המידה הרבה בה גורמים פנימיים תורמים לפרצות המידע ומה יכולה להיות העלות של אובדן כזה לארגונים. חברות ברזילאיות היו אלו בהן מרבית הפרצות נבעו מטעויות אנוש. בהודו מרבית הפרצות נחוו בעקבות תקלות מערכת או כשל בתהליכים עסקיים. תקלות במערכות כוללות כשלים ביישומים, ביצוע רשלני של מחיקת מידע, כשלים לוגיים בהעברת נתונים, כשלי זיהוי או אימות זהויות, כשלים בשחזור נתונים, ועוד.

• מתקפות זדוניות או פליליות הן היקרות ביותר בכל מקום. ממצאי הסקר המאוחדים מראים שמתקפות זדוניות או פליליות גורמות ל-37% מפרצות המידע, והן מקרי הפרצות היקרים ביותר בכל 9 המדינות שנבדקו. החברות האמריקניות והגרמניות חוו את מקרי פרצות המידע היקרים ביותר אשר נבעו מתוקפים זדוניים או פליליים, עם 277$ ו-214$ עבור כל רשומה שנחשפה, בהתאמה, בעוד ברזיל והודו חוו את פרצות המידע הכי פחות יקרות, עם 71$ ו-46$, בהתאמה. חברות גרמניות היו גם בעלות הסיכוי הגבוה ביותר לחוות מתקפות זדוניות או פליליות, כשלאחריהן חברות אוסטרליות וחברות יפניות.

• גורמים ארגוניים מסוימים יכולים להקטין את העלות. חברות אמריקניות ובריטיות חוו את הירידה הגדולה ביותר בעלויות של פרצות מידע. זאת הודות לניסוח גישת אבטחה איתנה, תוכניות מגובשת של תגובות למקרים, ומינוי קציני אבטחת מידע ראשיים. חברות אמריקניות וצרפתיות הפחיתו בזכות מינוי יועצים לטיפול בפרצות מידע.

סימנטק ממליצה על הנוהלים הבאים למניעת פרצות מידע ולהוזלת עלויות במקרה שכן יתרחשו:

1. חנכו את העובדים ותרגלו אותם לגבי אופן הטיפול במידע חסוי.
2. השתמשו בטכנולוגיות למניעת אובדן מידע (DLP) כדי למצוא מידע רגיש ולהגן עליו מפני יציאה מהארגון שלכם.
3. הטמיעו פתרונות הצפנה ואימות חזקים.
4. הכינו תוכנית תגובה לאירועים הכוללות מהלכים הולמים להודעה ללקוחות.