Se la violazione espone i dati dei consumatori o è il risultato di un attacco malevolo il costo sale

Data breach: qual è il costo di una violazione di dati?
Tempo di lettura: 3 minuti

Il costo medio di un data breach è diminuito del 1,5% anno su anno, costando alle aziende 3,86 milioni di dollari, secondo il report di IBM 2020 Cost of a Data Breach.

Lo studio, che viene realizzato con cadenza annuale, ha analizzato i dati provenienti da 524 aziende che, sebbene collocate in 17 Paesi e 17 settori diversi, hanno un fattore in comune: tutte hanno subito una violazione dei dati nell’ultimo anno.

Per la prima volta quest’anno, lo studio, condotto da IBM Security e da Ponemon Institute, ha preso in esame i costi per tipologia di dati compromessi, includendo le PII (Personally Identifiable Information) dei consumatori, quelle dei dipendenti di azienda e la proprietà intellettuale (PI).

L’analisi ha mostrato come i dati dei consumatori siano di gran lunga il più comune tipo di informazioni ricercate dagli hacker, con l’80% delle aziende vittime di attacchi che segnalano di aver subito violazioni delle PII dei propri utenti. “Mentre il costo medio per dati persi o rubati è di 146 dollari, quelle contenenti PII dei clienti costano alle imprese 150 dollari per ogni dato compromesso” dice il report.

Tuttavia, le ricadute finanziarie variano anche a seconda di una serie di altri fattori. Per esempio, se la violazione è causata da un attacco malevolo, il costo sale fino a 175 dollari. Mentre se la violazione ha intaccato dati anonimi dei consumatori il costo medio è di 143 dollari, ma aumenta a 171 dollari se è il risultato di un attacco fraudolento.

Gli attacchi malevoli rappresentano di poco la maggioranza delle violazioni (52%), seguiti da problemi di sistema (25%) e dall’errore umano (23%) rispettivamente in un distante secondo e terzo posto. “Oltre alle credenziali rubate o compromesse, server cloud configurati in modo errato sono la causa iniziale e più frequente delle violazioni causate da attacchi fraudolenti, al 19%” ha affermato IBM.

Sullo stesso argomento: How much is personal data worth on the dark web?

La perdita di fatturato rimane uno degli effetti più costosi di una violazione dei dati, rappresentando quasi il 40% del costo e con un aumento da 1,42 milioni di dollari l’anno scorso a 1,52 milioni di dollari. La cifra tiene conto dell’aumento del turnover degli utenti, della perdita di entrate e del costo più elevato per l’acquisizione di nuove attività a causa di una reputazione offuscata.

Il ciclo di vita medio di una violazione dei dati è stato di 280 giorni con 207 giorni necessari per identificare la violazione e altri 73 per contenerla. Questi numeri sono rimasti sostanzialmente invariati nel corso dell’anno.

Allo stesso tempo, esiste una disparità tra i settori per quanto riguarda la durata del ciclo di vita, chiamato anche “tempo di permanenza”. Il settore sanitario ha il ciclo di vita più lungo con 329 giorni, mentre il settore finanziario ha “solo” 233 giorni. Delle 17 industrie intervistate, la sanità sostiene anche il costo medio più elevato con 7,13 milioni di dollari per incidente, mantenendo la sua posizione di vertice per il decimo anno consecutivo

Vale la pena ricordare che le aziende che avevano testato un piano di preparazione per la risposta agli incidenti (IR) o che impiegano un team IR sono state in grado di risparmiare in media 2 milioni di dollari rispetto alle aziende che non l’hanno fatto. In effetti, un nostro recente articolo ha offerto approfondimenti su come le misure preventive possono salvare le aziende da costosi “mal di testa”.

Gli Stati Uniti rimangono il “leader” nei costi di violazione dei dati con un costo medio di 8,64 milioni di dollari per incidente. Il Medio Oriente è arrivato secondo con un prezzo di 6,52 milioni di dollari per violazione. E mentre la maggior parte delle violazioni dolose vengono eseguite da criminali informatici mossi da motivazioni economiche (53%), le presunte violazioni sponsorizzate da uno stato nazionale (13%) sono considerate le più costose, con una media di 4,43 milioni di dollari.

A cura di Amer Owaida, Content Writer, ESET Security Community