עלות נזקי האבטחה מהמשתמשים הפנימיים – 4.3 מיליון דולר לארגון

אירועי אבטחת מידע הנגרמים על ידי משתמשים פנימיים, בשוגג או בזדון, מסבים לארגון בממוצע שנתי נזק בהיקף של 4.3 מיליון דולר, כך על פי מחקר חדש שפרסם מכון פונימון (Ponemon Institute).

על פי המחקר, עובדים וספקים צד ג', הפועלים בשוגג, אך גורמים נזק – הם המקור הגדול ביותר לאירועי אבטחת מידע בארגונים. אלא, מציינים עורכי המחקר, בהיבט הכספי, ההאקרים למיניהם, העורכים מתקפות חיצוניות – הם אלה שמסבים לארגונים הרבה יותר נזק כספי.

המחקר נערך בקרב 280 מנהלי IT ומנהלי אבטחת מידע ב-54 ארגונים בינוניים וגדולים, במימון ספקית האבטחה Dtex. ממצאי המחקר מעלים כי ארבע שנים לאחר הדלפות הענק של אדוארד סנואודן, עובד קבלן של ה-NSA – הסוכנות לביטחון לאומי בארצות הברית – האיום הפנימי ניצב, כתמיד, כבעיה נטולת פתרון עבור ארגונים רבים.

רשלנות של עובדים

סיכום האירועים שדווחו במחקר מעלה כי בארגונים שנבדקו היו 874 אירועי אבטחת מידע במהלך תריסר החודשים מאפריל 2015. 568 מהם נגרמו כתוצאה מרשלנות של עובד הארגון, או ספק צד ג' או קבלן העובד עם הארגון. 191 אירועי אבטחה נגרמו על ידי עובדים שפעלו בזדון, או על ידי פושעים מקוונים, ואילו 85 מהאירועים נגרמו על ידי מתחזים שגנבו אישורי גישה למערכות המחשב.

במצטבר, אירועי אבטחה שקרו בשל רשלנות של עובדים, עלו הכי הרבה כסף. ארגונים השקיעו כ-2.3 מיליון דולר בשנה על מנת להתמודד עם ההשלכות של אירועים אלה, כאשר העלות הממוצעת של אירוע בארגון עמדה על כ-207 אלף דולר. לעומת זאת, העלות השנתית של אירועי אבטחת מידע הקשורים להתחזות – נעה בין 776 ל-493 אלף דולר – גבוה בהרבה מעלויות אירועי האבטחה שנגרמו על ידי העובדים הפנימיים.

בממוצע, ארגונים הוציאו בשנה החולפת 4.3 מיליון דולר על אירועי אבטחת מידע שמקורם היה פנימי. ארגונים גדולים, המונים יותר מ-75 אלף עובדים הוציאו יותר משבעה מיליון דולר בשנה – בעוד ארגונים קטנים יותר, המונים בין 1,000 ל-5,000 עובדים – הוציאו כשני מיליון דולר. ההוצאות כללו טיפול בהיבטי ניטור ומעקב, חקירה, בניית תגובה, הכלה של האירוע, ניתוח שלו וטיפול בו.