Quanto costa un data breach? Ce lo dice IBM (ed è tanto)

Si dice spesso che le persone investano sulla sicurezza solo dopo essersi scottati. L'assicurazione contro il furto? Si tende a farla dopo che qualcuno è entrato in casa. Idem per estendere la copertura della polizza dell'auto contro la grandine. E, spesso, questo avviene anche per i data breach, cioè quando qualcuno trafuga dati dai sistemi informatici. Ma quanto costa, in media, rimediare a un incidente di questo tipo? A fare i conti ci ha pensato IBM nel suo Cost of a Data Breach Report, un'analisi basata sulle informazioni relative a 553 organizzazioni su base mondiale, effettuata tra marzo 2022 e marzo 2023.

Aziende, investite sulla sicurezza informatica! Gli attacchi possono costare molto cari

IBM stima che a livello globale un data breach costi alle aziende qualcosa come 4,45 milioni di dollari. Un dato aggiornato sulla base dei dati del 2023 e superiore del 15% ai precedenti tre anni. In Italia, invece, la cifra è leggermente più bassa, ma sempre molto elevata: parliamo infatti di 3,55 milioni di euro (3,92 mln di dollari, al cambio attuale).

Prevenire è evidentemente fondamentale, e l'unico modo di farlo è incrementare gli investimenti in sicurezza. A quanto emerge dell'analisi di IBM, però, questa non è la norma. Anzi: nonostante il 95% delle aziende prese a campione abbiamo subito più di una violazione, più della metà (57%) ha preferito scaricare i costi sui propri clienti invece che aumentare il budget destinato alla cybersecurity.

Lo spaccato italiano

Lo studio di IBM evidenzia come il costo medio complessivo causato da una violazione dati sia di 3,55 milioni e sia in costante crescita. Nel 2021 questo valore era di 3,03 milioni, mentre nel 2022 di 3,40. IBM evidenzia anche un altro dettaglio, cioè il costo per ogni singola informazione trafugata, che equivale a 147 euro nel 2023 (era 135 euro nel 2021 e di 95 euro nel 2013). 

Possono sembrare costi molti elevati, difficilmente sopportabili dalla tipica PMI italiana, ma ad alzare la media sono i settori più colpiti, cioè servizi finanziari (4,11 milioni), il farmaceutico (4,08 milioni) e il settore energetico (4.01 milioni). Tutti settori altamente regolamentati e di importanza critica. 

Un dato positivo è relativo al tempo necessario per individuare e contenere un incidente, che nel 2023 è stato di 235 giorni, in calo rispetto ai 250 giorni dei due anni precedenti. Andando più nel dettaglio, servono 174 giorni per scoprire la violazione e ulteriori 61 per contenere l'incidente. Nel 2019 il valore era ancora più elevato, e si raggiungevano i 283 giorni complessivi, 70 dei quali sono per il contenimento.

Per quanto riguarda le modalità, le principali sono ancora relative alle identità: il 12% degli attacchi scaturiscono dal furto o dalla compromissione di credenziali, il 14% sono legati al phishing e il 15% ad attività di social engineering. Il 10% sono attacchi di tipo BEC (Business E-mail Compromise) mente solo il 6% è dovuto a malware.

La soluzione è nell'IA 

Adottare l'intelligenza artificiale è, secondo Big Blue, una delle soluzioni più efficaci: Le aziende che fanno uso esteso dell'AI e dell'automazione hanno rilevato gli attacchi con 108 giorni di anticipo (ovvero 214 giorni contro 322 giorni) rispetto alle organizzazioni che non hanno adottato queste tecnologie. Non solo: anche i costi per contenere la violazione risultano inferiori: le aziende che hanno introdotto l'IA in ambito cybersecurity hanno speso mediamente 2,97 milioni di euro per contenere gli attacchi, contro i 4,53 milioni di chi non l'ha ancora adottata. Anche l'approccio DevSecOps può dare un contributo: le realtà che hanno adottato questa metodologia in maniera significativa hanno sostenuto un costo medio per violazione dei dati inferiore di 162.408 euro rispetto a quelle che l’hanno integrato in maniera limitata o nulla. 

"Il tempo è la nuova valuta nella sicurezza informatica sia per chi protegge l’azienda sia per i cybercriminali. Come indica il report, un rilevamento precoce e una risposta rapida possono ridurre significativamente l'impatto di una violazione", spiega Chris McCurdy, General Manager Worldwide di IBM Security Services. "I responsabili della sicurezza devono focalizzarsi sulle aree di maggior successo degli hacker in modo da prevenire le loro azioni e fermarli prima che raggiungano i loro obiettivi. Gli investimenti impiegati per rilevare le minacce e per definire risposte rapide, grazie all'AI e all'automazione, sono fondamentali per mitigare al meglio gli attacchi".