עלויות נזקי מתקפות הסייבר – לשיא של כל הזמנים

עלויות הנזק של מתקפות הסייבר הפכו יקרות מאי פעם: לפי דו"ח חדש של יבמ, העלות הממוצעת של מתקפה לארגון שעבר אותה עומדת על 4.35 מיליון דולר – נתון המשקף זינוק של כ-13% בשנתיים.

חוקרי הענק הכחול בחנו 550 חברות ברחבי העולם שחוו לפחות תקיפת סייבר אחת. לפי המחקר, הנזק של תקיפות הסייבר משפיע יותר מתמיד על הצרכנים של קורבנות התקיפה: כ-60% מהחברות שהותקפו העלו את מחירי הסחורות, המוצרים והשירותים שהן מספקות, ובכך גלגלו את העלויות הגבוהות של הנזק לצרכנים שלהן.

לפי המחקר, 83% מהחברות חוו יותר ממתקפת סייבר אחת במהלך חייהן. בנוסף, מתברר שלמתקפות יש השפעה ארוכה יותר משחשבו עד כה: כמעט מחצית מהעלויות של נזקי התקיפות נוצרו יותר משנה לאחר הפריצה.

עוד נתון מעלה ש-28% ממתקפות הסייבר על ארגוני תשתיות קריטיות היו באמצעות כופרות או התקפות הרסניות. "מתקפות אלה מעידות, שוב, על השאיפה של התוקפים למנף את המשבר העולמי בשרשראות האספקה, שאותם ארגונים נסמכים עליהן", ציינו אנשי יבמ.

אין אמון בקריאה לאמץ את אסטרטגיית האמון אפס?

חרף הקריאה מצד סוכנויות סייבר ממשלתיות ברחבי העולם להגברת ערנות, ושנה לאחר שממשל ביידן הוציא צו נשיאותי שמדגיש את החשיבות של אימוץ אסטרטגיית אמון אפס (Zero Trust) לחיזוק אבטחת הסייבר המדינתית, המחקר מעלה שרק 21% מארגוני התשתיות הקריטיות מאמצים גישה זו. כ-17% מפרצות האבטחה בארגונים הללו החלו עקב תקיפה של שותף עסקי, או ספק – נתון המדגיש את הסיכון הגלום באמון יתר בשותפים ובספקים.

המחקר מצא גם שעלויות תקיפות הסייבר הממוצעות של ארגונים שטרם אימצו את גישת אמון אפס הסתכמו ב-5.4 מיליון דולר לתקיפה – 1.17 מיליון דולר יותר מחברות שכן אימצו את גישת האבטחה המחמירה הזו.

לא משתלם לשלם דמי כופר

על פי נתון אחר, קורבנות של מתקפות כופרה שבחרו לשלם לתוקפים אמנם ניזוקו ב-610 אלף דולר פחות בממוצע בהשוואה לחברות שבחרו לא לשלם, אבל העלות הזו לא לקחה בחשבון את היקף תשלום הכופר. לפי דו"ח של סופוס, ההיקף הממוצע של דמי כופר ששולמו ב-2021 עמד על 812 אלף דולר, כך שהמחיר הכלכלי האמיתי של מענה לדרישות התוקפים היה יקר הרבה יותר. בנוסף, תשלום זה התברר כאסטרטגיה לא יעילה, שגם מעודדת את התוקפים להמשיך ולתקוף – ומממנת את המשך פעילותם.

הכופרות יותר קצרות (במשכן). צילום: BigStock

כמו כן, המחקר של יבמ מעלה שמשך מתקפות הכופר על ארגונים התקצר משמעותית – מחודשיים לקצת פחות מארבעה ימים. מדובר בירידה של 94% (!) בשלוש שנים.

יש לארגונכם צוות אבטחה חסר? תשלמו יותר

נתון אחר מראה שעל חוסר בשלות באבטחת ענן משלמים יותר: 43% מהארגונים נמצאים בשלבים מוקדמים או שטרם החלו ליישם אבטחה בסביבות הקלאוד שלהם. ארגונים אלה נדרשו לשלם כ-660 אלף דולר יותר כתוצאה ממתקפות סייבר לעומת ארגונים שמפעילים מערך אבטחה הדוק יותר בסביבות הענן שלהם.

עוד דבר שגורם לחברות לשלם יותר הוא קיומו של צוות אבטחה חסר: 62% מהחברות הצהירו שצוותי אבטחת המידע שלהן סובלים ממחסור בכוח אדם ואינם ערוכים לתת מענה מלא לצרכי האבטחה הארגוניים. חברות אלה ישלמו בממוצע 550 אלף דולר יותר במקרה של תקיפה, לעומת החברות שאיישו את מערך האבטחה שלהן באופן מלא ובהתאם לצרכי הארגון.

איך אפשר לחסוך בהוצאות על מתקפות סייבר? ביבמ מצאו שהתשובה לכך היא בהטמעת אבטחה מבוססת בינה מלאכותית ואוטומציה, שמובילה לחיסכון של מיליוני דולרים. חברות שמפעילות מיכון ובינה מלאכותית במערך האבטחה שלהן חסכו קצת יותר משלושה מיליון דולר בממוצע בנזקי מתקפה, בהשוואה לחברות שלא עשו כך.

נזקי המתקפות על ענן היברידי נמוכות מאשר על עננים אחרים

סביבות ענן היברידיות הן התשתית הנפוצה ביותר בקרב חברות (45%). אחד הנתונים המעניינים במחקר של יבמ הוא שהעלות הממוצעת של נזקי תקיפות הסייבר על סביבות אלה עומדת על 3.8 מיליון דולר – נתון נמוך לעומת ארגונים שמפעילים סביבת ענן ציבורית או פרטית, שספגו נזקים של 5.02 מיליון דולר ו-4.24 מיליון דולר בממוצע, בהתאמה.

מסתבר שמתקפות על ענן היברידי עולות לארגון המותקף פחות. צילום: BigStock

בנוסף, ארגונים בעלי אבטחה מותאמת לסביבת ענן היברידי הצליחו לזהות ולהכיל פרצות אבטחה 15 ימים מהר יותר מאשר הממוצע העולמי, שעומד על 277 ימים. הדו"ח גם מצא שלחברות שלא יישמו נהלי אבטחה בסביבות הענן שלהן נדרשו 108 ימים יותר בממוצע כדי לזהות ולהכיל פרצות אבטחה. זאת, לעומת חברות שמיישמות באופן עקבי נהלי אבטחה בכל התחומים.

לסיום, הנתונים מראים שמתקפות פישינג הן אלה היקרות ביותר עבור הארגונים: בעוד שהרשאות גנובות ממשיכות להיות הסוג השכיח ביותר של פרצות האבטחה (19%), מתקפות הדיוג דורגו במקום השני (16%) ועלות הנזק כתוצאה מהן עלולה להגיע ל-4.91 מיליון דולר.