Een datalek kost een bedrijf gemiddeld 3,5 miljoen euro, of 135,- euro per verloren document. Dat blijkt uit een studie van 'IBM security'
De kosten van een datalek stijgen. Dat schrijft IBM in een jaarlijkse studie waarin het bedrijf de financiële impact van datalekken op organisaties bekijkt. Volgens het rapport is de kost van een datalek over de voorbije vijf jaar met 12 procent gestegen. Gemiddeld verliest een bedrijf zo'n 3,5 miljoen euro, en heeft een lek impact over meerdere jaren. Vooral MKB's zouden veel te verliezen hebben. In de studie moet blijken dat bedrijven met minder dan 500 werknemers gemiddeld 2,25 miljoen euro verliezen bij een datalek, pijnlijk voor een bedrijf dat meestal niet veel meer dan 45 miljoen euro per jaar aan inkomsten binnenhaalt.
Hackers versus ongelukken
De studie werd uitgevoerd door het 'Ponemon Institute', op vraag van 'IBM Security'. Ze is gebaseerd op interviews met meer dan 500 bedrijven wereldwijd, die het voorbije jaar een datalek hebben meegemaakt. Daarvan was de helft te wijten aan een kwaadaardige oorzaak, zoals een cyberaanval. Kwaadaardige lekken, waarvan je ervan uit kan gaan dat er iemand effectief plannen heeft met die Data, kosten een bedrijf gemiddeld 900.000 euro meer dan lekken die het gevolg zijn van een menselijke fout of een bug in de software.
Volgens IBM (en zowat elke andere security leverancier), zijn die aanvallen ook in opmars. Het percentage van effectieve aanvallen als de oorzaak van een datalek ging in de laatste zes jaar van 42 procent naar 51 procent, zo meldt de studie. Dat houdt niet tegen dat ongelukken, software bugs en menselijke fouten zoals vergeten de S3 bucket op 'private' te zetten, nog altijd verantwoordelijk zijn voor de helft van de datalekken. Het fout configureren van cloud servers (niet alleen die van Amazon, uiteraard) leidde in 2018 tot het lekken van 990 miljoen gegevens, zo'n 43 procent van alle documenten die dat jaar gelekt werden, zo schrijft IBM.
135 euro per gelekt document
Het Ponemon Institute berekent dat een datalek bedrijven gemiddeld 135 euro kost per gelekt document. Hoe meer data gelekt, hoe groter ook de verliezen. Dat bedrag bestaat deels uit boetes en regulerende uitgaven, maar ook voor een groot deel uit klanten die het vertrouwen kwijt zijn en elders gaan. In die zin kan het verlies van data een impact hebben die jaren aansleept. Uit het rapport moet blijken dat de impact van een lek groter is in het tweede en derde jaar, als het bedrijf in een erg gevoelige sector zit, zoals financiën en gezondheidszorg. Net die sectoren waar je van bedrijven verwacht dat ze bijzonder goed op de beveiliging van gegevens letten.
De studie bekijkt dan ook factoren die de kost van een lek naar beneden kunnen halen. De belangrijkste daar is, niet echt verbazingwekkend, encryptie. Zorgen dat gelekte data ten minste niet open en bloot op het net wordt gegooid, vermindert de kost van een lek met 323.000 euro. Business continuity management haalt het bedrag gemiddeld naar beneden met 251.000 euro.
Over het algemeen moet blijken dat hoe een bedrijf reageert op het lek, en hoe snel, een belangrijke factor is in het uiteindelijke kostenplaatje. Het voorbije jaar duurde het gemiddeld 279 dagen om een lek te sluiten, 206 om te merken dat er iets mis is, en nog eens 73 dagen op een oplossing te vinden. Bedrijven die minder dan 200 dagen nodig hadden om het hele proces te doorlopen, verloren gemiddeld 1,1 miljoen euro minder. Het hebben van een incident response team, en een goed uitgewerkt en uitgetest incident response plan, wordt dan ook gezien als een manier om de uiteindelijke gevolgen van een lek zo veel mogelijk te drukken. Volgens simulaties in het rapport: met gemiddeld 1,1 miljoen euro. Met andere woorden: wees voorbereid.
De studie werd uitgevoerd door het 'Ponemon Institute', op vraag van 'IBM Security'. Voor de studie werden meer dan 3.000 mensen ondervraagd van net iets meer dan vijfhonderd bedrijven die het voorbije jaar met een datalek te maken kregen. De bedrijven komen van over heel de wereld, waaronder Duitsland, Frankrijk, Italië en Scandinavië.
Het volledig rapport
Bron: IBM Security