IBM, yıllık Veri İhlali Maliyeti Raporunu yayınlayarak, bir veri ihlalinin küresel ortalama maliyetinin 2023’te 4,45 milyon dolara ulaştığını gösteriyor; bu, rapor için tüm zamanların en yüksek seviyesi ve son 3 yılda %15’lik bir artış.
Tespit ve yükseltme maliyetleri aynı zaman diliminde %42 artarak ihlal maliyetlerinin en yüksek kısmını temsil etti ve daha karmaşık ihlal soruşturmalarına doğru bir kaymaya işaret etti.
Rapora göre işletmeler, veri ihlallerinin artan maliyeti ve sıklığıyla nasıl başa çıkmayı planladıkları konusunda bölünmüş durumda. Çalışma, incelenen kuruluşların %95’inin birden fazla güvenlik ihlali yaşadığını, ancak ihlal edilen kuruluşların güvenlik yatırımlarını artırmaktan (%51) ziyade olay maliyetlerini tüketicilere yansıtma olasılığının (%57) daha yüksek olduğunu ortaya çıkardı.
AI hız kazanıyor
Yapay zeka ve otomasyon, incelenen kuruluşlar için ihlal belirleme ve engelleme hızı üzerinde en büyük etkiye sahipti. Hem yapay zekayı hem de otomasyonu yoğun şekilde kullanan kuruluşlar, bu teknolojileri kullanmayan incelenen kuruluşlara kıyasla 108 gün daha kısa bir veri ihlali yaşam döngüsü yaşadı (322 güne karşı 214 gün).
Kolluk kuvvetlerinin dahil olduğu çalışmadaki fidye yazılımı kurbanları, emniyet teşkilatını dahil etmemeyi seçenlere kıyasla bir ihlalin ortalama maliyetinde 470.000 ABD doları tasarruf sağladı. Bu potansiyel tasarruflara rağmen, incelenen fidye yazılımı kurbanlarının %37’si bir fidye yazılımı saldırısına kolluk kuvvetlerini dahil etmedi.
İncelenen ihlallerin yalnızca üçte biri bir kuruluşun kendi güvenlik ekibi tarafından tespit edilirken, %27’si bir saldırgan tarafından ifşa edildi. Saldırganın ifşa ettiği veri ihlalleri, ihlali kendileri tespit eden incelenen kuruluşlara kıyasla ortalama olarak yaklaşık 1 milyon dolar daha pahalıya mal oluyor.
“Zaman, hem savunanlar hem de saldırganlar için siber güvenlikte yeni para birimidir. Raporun da gösterdiği gibi, erken tespit ve hızlı müdahale, bir ihlalin etkisini önemli ölçüde azaltabilir,” dedi Dünya Çapında IBM Güvenlik Hizmetleri Genel Müdürü Chris McCurdy. “Güvenlik ekipleri, rakiplerin en başarılı oldukları noktalara odaklanmalı ve çabalarını, hedeflerine ulaşmadan önce onları durdurmaya yoğunlaştırmalı. AI ve otomasyon gibi savunucuların hızını ve verimliliğini artıran tehdit algılama ve müdahale yaklaşımlarına yapılan yatırımlar, bu dengeyi değiştirmek için çok önemlidir.”
Her saniye maliyeti
2023 raporuna göre, güvenlik yapay zekasını ve otomasyonunu tamamen devreye alan incelenen kuruluşlar, bu teknolojileri uygulamayan kuruluşlara kıyasla ortalama 108 gün daha kısa ihlal yaşam döngüleri gördü ve önemli ölçüde daha düşük olay maliyetleri elde etti.
Aslında, güvenlik yapay zekasını ve otomasyonunu kapsamlı bir şekilde devreye alan incelenen kuruluşlar, bu teknolojileri uygulamayan kuruluşlara göre ortalama olarak yaklaşık 1,8 milyon dolar daha düşük veri ihlali maliyeti gördü – bu, raporda tanımlanan en büyük maliyet tasarrufu.
Aynı zamanda, saldırganlar bir fidye yazılımı saldırısını tamamlamak için ortalama süreyi kısalttı. Ve incelenen kuruluşların yaklaşık %40’ı henüz güvenlik yapay zekası ve otomasyonunu devreye almadığı için, kuruluşların tespit ve yanıt hızlarını artırması için hâlâ önemli bir fırsat var.
Fidye yazılımları hakkındaki yanılgılar
Araştırılan bazı kuruluşlar, durumu yalnızca karmaşıklaştıracağı algısı nedeniyle bir fidye yazılımı saldırısı sırasında kolluk kuvvetlerine başvurma konusunda endişeli olmaya devam ediyor. IBM raporu bu yıl ilk kez bu konuyu daha yakından inceledi ve aksi yönde kanıtlar buldu.
Kolluk kuvvetlerinin dahil olmadığı katılımcı kuruluşlar, kanun yaptırımlarının dahil olduğu organizasyonlara göre ortalama 33 gün daha uzun ihlal yaşam döngüleri yaşadı ve bu sessizliğin bir bedeli oldu. Fidye yazılımı kurbanları, kolluk kuvvetlerine başvurmayanlara kıyasla ortalama 470.000 $ daha yüksek ihlal maliyeti ödediğini inceledi.
Kolluk kuvvetlerinin fidye yazılımı kurbanlarıyla işbirliği yapmak için devam eden çabalarına rağmen, yanıt verenlerin %37’si onları getirmemeyi tercih etti. Buna ek olarak, incelenen fidye yazılımı kurbanlarının %47’sinin fidyeyi ödediği bildirildi. Kuruluşların fidye yazılımları hakkındaki bu yanlış kanılardan vazgeçmesi gerektiği açık. Fidye ödemek ve kanun yaptırımından kaçınmak yalnızca olay maliyetlerini artırabilir ve müdahaleyi yavaşlatabilir.
Ortamlar arasında veri ihlali
Tehdit tespiti ve müdahalesi bazı ilerlemeler kaydetti. IBM’in 2023 Tehdit İstihbarat Endeksi’ne göre, savunucular geçen yıl daha yüksek oranda fidye yazılımı saldırılarını durdurabildiler. Ancak, rakipler hala savunma çatlaklarından sıyrılmanın yollarını buluyor. Rapor, incelenen ihlallerden yalnızca birinin kuruluşun kendi güvenlik ekipleri veya araçları tarafından tespit edildiğini, bu tür ihlallerin %27’sinin bir saldırgan tarafından ve %40’ının kolluk kuvvetleri gibi tarafsız bir üçüncü tarafça ifşa edildiğini ortaya koydu.
İhlali kendileri keşfeden yanıt veren kuruluşlar, bir saldırgan tarafından açıklanandan yaklaşık 1 milyon $ daha az ihlal maliyeti yaşadı (5,23 milyon $’a karşı 4,3 milyon $). Bir saldırgan tarafından ifşa edilen ihlallerin de, ihlali dahili olarak tespit edenlere kıyasla yaklaşık 80 gün daha uzun (320’ye karşı 241) bir yaşam döngüsü vardı. Erken teşhisin getirdiği önemli maliyet ve zaman tasarrufları, bu stratejilere yatırım yapmanın uzun vadede karşılığını alabileceğini gösteriyor.
İncelenen veri ihlallerinin %40’ı, genel bulut, özel bulut ve şirket içi dahil olmak üzere birden çok ortamda veri kaybıyla sonuçlandı; bu, saldırganların tespit edilmekten kaçınırken birden çok ortamı tehlikeye atabildiğini gösteriyor. Birden fazla ortamı etkileyen incelenen veri ihlalleri, aynı zamanda daha yüksek ihlal maliyetlerine (ortalama 4,75 milyon dolar) yol açtı.
Sağlık hizmetlerinde incelenen bir ihlalin ortalama maliyeti, 2023’te yaklaşık 11 milyon dolara ulaştı; bu, 2020’den bu yana %53’lük bir fiyat artışı. 2023 X-Force Tehdit İstihbarat Raporu’na göre, siber suçlular çalınan verileri alt kesimdeki kurbanlar için daha erişilebilir hale getirmeye başladı. Tehdit aktörleri, kaldıraç olarak tıbbi kayıtlarla, ihlal edilen kuruluşlar üzerindeki fidye ödeme baskısını artırıyor. Aslında, incelenen tüm sektörlerde, müşterinin kişisel olarak tanımlanabilir bilgileri en sık ihlal edilen kayıt türü ve en maliyetli olanıydı.
Yüksek düzeyde DevSecOps’a sahip tüm sektörlerde incelenen kuruluşlar, bir DevSecOps yaklaşımının düşük düzeyde olduğu/hiç kullanılmadığı incelenen kuruluşlara göre veri ihlalinin küresel ortalama maliyetinin yaklaşık 1,7 milyon $ daha düşük olduğunu gördü. İncelenen kritik altyapı kuruluşları, bir ihlalin ortalama maliyetlerinde geçen yıla göre %4,5’lik bir artış yaşadı – 4,82 milyon dolardan 5,04 milyon dolara yükseldi – küresel ortalamanın 590 bin dolar üzerinde.