IBM Cost of a Data Breach study: average Cost of Data Breach exceeds $4.2M
2021/07/28 SecurityAffairs — 今日、IBM Security が発表した Cost of Data Breach は、Ponemon Institute が実施した調査結果を、スポンサーでもある IBM が分析したものである。この調査は、2020年5月から2021年3月の間に、500以上の組織が被ったデータ侵害に関連する、データに基づいて実施された。この調査で明らかになったのは、現在進行中のパンデミックが、データの漏洩およびリカバリーのための労力とコストに、大きな影響を与えていることである。
パンデミック中のリモート・ワークにより、攻撃の対象となる局面が増大し、より深刻なデータ漏洩が発生している。専門家によると、リモート・ワークが要因として挙げられている場合は、この要因がない場合と比較して、平均して $1 million 以上の費用の増大が見られたという ($4.96 million 対 $3.89 million)。分析対象となったインシデントの大半は、個人を特定できる情報 (PII: personally identifiable information) の漏洩に関わるものだった。
調査の対象となる企業は、1件のデータ侵害あたり平均で $4.24 million のコストを負担するようになり、17年間のレポートの歴史の中で最大のコストに至った。多くの組織が、膨大なコスト (前年比 10%増) を費やす一方で、この種のインシデントを封じ込めることは困難になっている。また、1件のインシデントに対して、組織が費やした平均日数は 287日であり、前年に比べて 7日ほど増加した。
このコストだが、成熟したセキュリティ態勢をとっている一部の組織では、著しく抑えられているという傾向がある。その一方で、セキュリティ AI および、自動化、ゼロトラスト、クラウド・セキュリティなどで遅れをとっている組織では、高額になっている。経済的損失の内訳だが、全体の 38% ($1.6 million)を占めるビジネス損失が最も大きい 。また、業種としては、医療機関のコストが最も高く、データ侵害1件あたりの平均額は$9.23 million で、前年の $7.13 million. から大きく増加している。
ランサムウェアなどの破壊的な攻撃は、その他の侵害と比較して、コストが大きくなる傾向がある。この報告書によると、ランサムウェア攻撃のコストは平均 $4.62 million であり、一般的なデータ侵害の平均 $4.24 million よりも高くなっている。IBM Security の Vice President and General Manager である Chris McCurdy は、「データ漏洩コストの増加は、パンデミック中の急速なテクノロジーの変化に伴い、企業にとって新たな支出となっている。データ侵害コストは、過去1年間で最高に達したが、このレポートでは、AI/自動化/ゼロトラストの採用などの、最新のセキュリティ戦術の影響について、ポジティブな兆候も示されている。このようなアプローチが、これらのインシデント・コストを削減する上で実を結ぶ可能性がある」と述べている。
ランサム攻撃のコストが平均 $4.62 million で。一般的なデータ侵害が平均 $4.24 million というのは、ちょっと驚きでしたが、ここには身代金が入っていないということなのでしょうか?あくまでも憶測ですが、JBS は $11 million、Colonial Pipelines は $2.3 million の身代金を支払ったとされています。でも、後者は、当局により暗号通貨が差し押さえられたとのことなので、そんなものなのかもしれません。話は変わりますが、「2021 CyberEdge Cyberthreat Defense Report に見るトレンド Top-5」という調査の結果も、なかなか興味深いです。
IoT OT Security News 