De kosten van een datalek stijgen. Dat schrijft IBM in een jaarlijkse studie waarin het bedrijf de financiële impact van datalekken op organisaties bekijkt. Volgens het rapport is de kost van een datalek over de voorbije vijf jaar met 12 procent gestegen. Gemiddeld verliest een bedrijf zo'n 3,92 miljoen dollar, en heeft een lek impact over meerdere jaren. Vooral KMO's zouden veel te verliezen hebben. In de studie moet blijken dat bedrijven met minder dan 500 werknemers gemiddeld 2,5 miljoen dollar verliezen bij een datalek, pijnlijk voor een bedrijf dat meestal niet veel meer dan 50 miljoen dollar per jaar aan inkomsten binnenhaalt.

Hackers versus ongelukken

De studie werd uitgevoerd door het Ponemon Institute, op vraag van IBM Security. Ze is gebaseerd op interviews met meer dan 500 bedrijven wereldwijd, die het voorbije jaar een datalek hebben meegemaakt. Daarvan was de helft te wijten aan een kwaadaardige oorzaak, zoals een cyberaanval. Kwaadaardige lekken, waarvan je ervan uit kan gaan dat er iemand effectief plannen heeft met die ata, kosten een bedrijf gemiddeld een miljoen dollar meer dan lekken die het gevolg zijn van een menselijke fout of een bug in de software.

Volgens IBM (en zowat elke andere securityleverancier), zijn die aanvallen ook in opmars. Het percentage van effectieve aanvallen als de oorzaak van een datalek ging in de laatste zes jaar van 42 procent naar 51 procent, zo meldt de studie. Dat houdt niet tegen dat ongelukken, software bugs en menselijke fouten zoals vergeten de S3 bucket op 'private' te zetten, nog altijd verantwoordelijk zijn voor de helft van de datalekken. Het fout configureren van cloud servers (niet alleen die van Amazon, uiteraard) leidde in 2018 tot het lekken van 990 miljoen gegevens, zo'n 43 procent van alle documenten die dat jaar gelekt werden, zo schrijft IBM.

150 dollar per gelekt document

Het Ponemon Institute berekent dat een datalek bedrijven gemiddeld 150 dollar kost per gelekt document. Hoe meer data gelekt, hoe groter ook de verliezen. Dat bedrag bestaat deels uit boetes en regulerende uitgaven, maar ook voor een groot deel uit klanten die het vertrouwen kwijt zijn en elders gaan. In die zin kan het verlies van data een impact hebben die jaren aansleept. Uit het rapport moet blijken dat de impact van een lek groter is in het tweede en derde jaar, als het bedrijf in een erg gevoelige sector zit, zoals financiën en gezondheidszorg. Net die sectoren waar je van bedrijven verwacht dat ze bijzonder goed op de beveiliging van gegevens letten.

De studie bekijkt dan ook factoren die de kost van een lek naar beneden kunnen halen. De belangrijkste daar is, niet echt verbazingwekkend, encryptie. Zorgen dat gelekte data ten minste niet open en bloot op het net wordt gegooid, vermindert de kost van een lek met 360.000 dollar. Business continuity management haalt het bedrag gemiddeld naar beneden met 280.000 dollar.

Over het algemeen moet blijken dat hoe een bedrijf reageert op het lek, en hoe snel, een belangrijke factor is in het uiteindelijke kostenplaatje. Het voorbije jaar duurde het gemiddeld 279 dagen om een lek te sluiten, 206 om te merken dat er iets mis is, en nog eens 73 dagen op een oplossing te vinden. Bedrijven die minder dan 200 dagen nodig hadden om het hele proces te doorlopen, verloren gemiddeld 1,2 miljoen dollar minder. Het hebben van een incident response team, en een goed uitgewerkt en uitgetest incident response plan, wordt dan ook gezien als een manier om de uiteindelijke gevolgen van een lek zo veel mogelijk te drukken. Volgens simulaties in het rapport: met gemiddeld 1,2 miljoen dollar. Met andere woorden: wees voorbereid.

De studie werd uitgevoerd door het Ponemon Institute, op vraag van IBM Security. Voor de studie werden meer dan 3.000 mensen ondervraagd van net iets meer dan vijfhonderd bedrijven die het voorbije jaar met een datalek te maken kregen. De bedrijven komen van over heel de wereld, waaronder Duitsland, Frankrijk, Italië en Scandinavië, maar niet uit België.