det ser ud til, at hver gang vi læser nyhederne i disse dage, er der en anden rapport oplysninger om millioner af mennesker, der bliver overtrådt. Så hvor alvorligt er spørgsmålet om databrud, og hvilken indvirkning har det på enkeltpersoner og virksomheder? Vi afslører de mest interessante og seneste data brud statistik og fakta, hvoraf mange er meget foruroligende.
vi vil også se på lovene omkring databrud, og hvad enkeltpersoner kan gøre for at overvinde virkningerne af et databrud. Lad os komme til fakta.
- dataovertrædelsesstatistik og fakta
- 49% af amerikanske virksomheder har oplevet et databrud
- Californien har lidt flere databrud end nogen anden stat i de sidste 10 år
- 3. Et hackingangreb forekommer hvert 39.sekund
- en af de første datalækager i 2020 involverede 250 millioner poster
- mindst fire 2020-overtrædelser involverede over en milliard lækkede poster
- virksomheder, der har oplevet et brud, underpresterer markedet med mere end 15% tre år senere
- 26% af amerikanske virksomheder har oplevet et databrud inden for det sidste år
- halvdelen af organisationer bruger kun 6-15% af deres sikkerhedsbudget på datasikkerhed
- 28 procent af databrud ramte ofre for små virksomheder
- 7 ud af 10 skyinfrastrukturer overtrædes inden for et år
- organiserede kriminelle grupper er ansvarlige for 55 procent af overtrædelserne
- 22% af brud på datasikkerheden medfører phishing-angreb
- Opdagelsestid for 60% af databrud er måneder eller længere
- næsten 8.000 hjemmesider per kvartal er kompromitteret med formjacking kode
- angreb på løsepenge fra virksomheder er stigende
- amerikanske Ekspreskortoplysninger Hent $35 i den underjordiske økonomi
- Gmail-kontooplysninger er i gennemsnit $156
- antallet af databrud faldt i de første tre kvartaler af 2020
- $8,64 millioner er, hvor meget det gennemsnitlige amerikanske databrud koster
- hver stjålet post i et databrud repræsenterer en pris på $150
- anvendelse af et incident response team kan reducere de gennemsnitlige omkostninger ved et databrud med $2 millioner
- mistet forretning på grund af et databrud koster i gennemsnit $1.52 millioner
- et brud, der involverer 1 million til 10 millioner poster, koster i gennemsnit $50 millioner
- menneskelig fejl er årsagen til 23% af databrud
- det tager i gennemsnit 280 dage at identificere og indeholde et brud
- næsten to tredjedele af virksomhederne efterlader mere end 1.000 følsomme filer åbne for alle
- medarbejdere i store organisationer kan få adgang til 20 millioner filer
- i 2019 var antallet af personer, der var påvirket af databrud, faldet med 66% sammenlignet med 2019
- Phishing er den mest almindelige type cyberangreb involveret i et brud
- cyberangreb og datasvindel er navngivet som nogle af de største globale risici
- rapportering af databrud
- Hvad kan enkeltpersoner gøre ved brud på datasikkerheden?
dataovertrædelsesstatistik og fakta
vi har samlet de mest interessante dataovertrædelsesstatistikker og fakta fra nylige undersøgelser:
49% af amerikanske virksomheder har oplevet et databrud
2020 Thales Data Threat Report udført af International Data Corporation (IDC) undersøgte 1.200 ledere fra ni lande, der repræsenterer en række brancher. Det fandt ud af, at næsten halvdelen af amerikanske virksomheder tidligere har lidt et databrud, skønt dette antal kunne være højere, da mange overtrædelser ikke opdages i lange perioder. Dette er en reduktion fra sidste år, hvor 65 procent af virksomhederne havde oplevet et brud.
Californien har lidt flere databrud end nogen anden stat i de sidste 10 år
en Comparitech-undersøgelse undersøgte antallet af databrud, som virksomheder i hver stat oplevede, samt det tilsvarende antal eksponerede poster. Californien var langt frontløber med 1.493 overtrædelser og 5,6 milliarder poster udsat siden 2008. På andenpladsen var USA med 729 overtrædelser og 293 millioner poster udsat og tredjepladsen gik til USA med 661 overtrædelser og 288 millioner poster udsat.
3. Et hackingangreb forekommer hvert 39.sekund
computere analyseret i en University of Maryland-undersøgelse blev angrebet i gennemsnit 2.244 gange om dagen. Dette betyder, at en enkelt computer kan blive angrebet mere regelmæssigt end en gang hvert minut.
en af de første datalækager i 2020 involverede 250 millioner poster
Microsoft startede lidt dårligt i 2020. Vi rapporterede i Januar, at det havde lidt en massiv lækage af data, der involverede mere end 250 millioner kundesupportlogfiler, der dateres mere end et årti.Comparitech afslørede datalækagen sammen med sikkerhedsforsker Bob Diachenko i slutningen af 2019, selvom Microsoft ikke afslørede bruddet indtil januar 2020. Oplysningerne i logfilerne var ikke særlig følsomme, selvom kundelogfiler kunne vise sig at være meget værdifulde for svindlere med teknisk support.
mindst fire 2020-overtrædelser involverede over en milliard lækkede poster
mens Microsoft-bruddet var stort, var det på ingen måde det største. Andre bemærkelsesværdige overtrædelser i 2020 involverede CAM4 (10,88 milliarder poster), Advanced Info Service (AIS) (8.3 milliarder poster) og Keepnet Labs (5 milliarder poster). Selvfølgelig er der også Solvindbrud, der blev opdaget i December, hvis fulde nedfald endnu ikke er bestemt.
virksomheder, der har oplevet et brud, underpresterer markedet med mere end 15% tre år senere
en anden Comparitech-undersøgelse undersøgte aktiekurserne for 24 virksomheder, der var noteret på børsen, der havde oplevet store dataovertrædelser. Vi fandt ud af, at aktiekurserne efter to uger (fra datoen for overtrædelsen blev offentliggjort) var faldet med 2.89 procent i gennemsnit. Selvom aktiekurserne har tendens til at komme sig efter det, da vi kiggede på langsigtede resultater, fandt vi ud af, at aktiekurserne for de berørte virksomheder ikke fulgte med gennemsnittet. Et år efter bruddet underpresterede virksomhederne 3,7 procent, og efter tre år underpresterede virksomhederne i gennemsnit 15,58 procent.
26% af amerikanske virksomheder har oplevet et databrud inden for det sidste år
i det forløbne år viste Thales-undersøgelsen ovenfor, at næsten en tredjedel af amerikanske virksomheder rapporterede at have lidt et databrud. Igen kan dette være højere på grund af potentialet for endnu uopdagede overtrædelser.
halvdelen af organisationer bruger kun 6-15% af deres sikkerhedsbudget på datasikkerhed
et af de vigtigste fund i Thales-undersøgelsen var, at på trods af den massive trussel, som databrud repræsenterer, mange organisationer afsætter ikke meget af deres budget til sikring af data.
28 procent af databrud ramte ofre for små virksomheder
rapporten om databrud i 2020 er baseret på analyse af mere end 40,000 sikkerhedshændelser, herunder over 2,000 bekræftede databrud. Det giver os en række interessante fakta, herunder hvem der er involveret i databrud. Næsten en tredjedel af angrebene påvirker små virksomheder, mens langt de fleste målrettede større virksomheder.
Se også: Forbedring af cybersikkerhed for små virksomheder
7 ud af 10 skyinfrastrukturer overtrædes inden for et år
rapporten State of Cloud Security 2020 fra Sophos bemærkede, at store overtrædelser, der involverer skyen, bliver almindelige. 70 procent af IT-fagfolk rapporterede, at deres skyinfrastrukturer oplevede et brud året før. Rapporten afslører, at de fleste cloud computing-sikkerhedshændelser har en af to grundlæggende årsager. De er enten resultatet af stjålne eller phished legitimationsoplysninger, eller fejlkonfigurationer har ført til bruddet.
organiserede kriminelle grupper er ansvarlige for 55 procent af overtrædelserne
rapporten giver også indsigt i, hvem der er ansvarlig for angreb. Interessant nok indebærer mere end en tredjedel af overtrædelserne organiserede kriminalitetsgrupper. Det bemærkes også, at næsten en tredjedel involverede internt personale, og mere end to tredjedele involverede udenforstående. Ikke overraskende er 70 procent af databrud økonomisk motiverede.
22% af brud på datasikkerheden medfører phishing-angreb
i sin undersøgelse forsøgte han at finde ud af, hvordan brud opstår, og fandt, at næsten en tredjedel involverer phishing-angreb, 37 procent medfører hacking og 17 procent centrerer omkring ondsindet program.
Opdagelsestid for 60% af databrud er måneder eller længere
spekulerer du på, hvor lang tid det tager for virksomheder at opdage og reagere på brud? Rapporten afslører, at det ikke er så hurtigt, som du gerne vil, især i betragtning af stjålne legitimationsoplysninger er involveret i 37% af overtrædelserne. Da mere end halvdelen af virksomhederne tager måneder at opdage et brud, når et firma udsender en e-mail-eksplosion, der fortæller kunderne at ændre deres adgangskoder, kunne det allerede være alt for sent.
næsten 8.000 hjemmesider per kvartal er kompromitteret med formjacking kode
Formjacking involverer kriminelle bruger JavaScript-kode til at kapre hjemmeside betalingsformer som dem, der findes på e-handels-sites. Også kaldet Digital card skimming, det bruges som et middel til at stjæle kreditkortoplysninger samt andre værdifulde data. Ifølge Symantec Threat Landscape Trends-1. kvartal 2020 var der 7.836 steder kompromitteret via formjacking i 1.kvartal 2020. Dette steg sammenlignet med 7.663 i det foregående kvartal.
angreb på løsepenge fra virksomheder er stigende
angreb på løsepenge (som holder filer eller systemer som gidsler) udgør en enorm trussel mod datasikkerheden. Ifølge Symantec – Sikkerhedsoversigten-juli 2020 er angribere rettet mod store organisationer, herunder flere Fortune 500-virksomheder, med løsepenge. På tidspunktet for rapporten var der allerede opdaget angreb på 31 organisationer.
i henhold til Symantec – Sikkerhedsoversigten-januar 2021 er der opstået en ny type løseprogram, der er målrettet mod virksomheder. Opdaget af forsker Chuong Dong, babuk Locker løsepenge spredes via menneskedrevne angreb. De eksekverbare er tilpasset til hver corporate offer med løsepenge krav normalt i titusinder af dollars.
amerikanske Ekspreskortoplysninger Hent $35 i den underjordiske økonomi
ifølge rapporter kan et klonet kort med en PIN-kode sælge for $15 – $35, hvor Amerikanske Ekspresoplysninger er de mest værdifulde. I mellemtiden kan online bankoplysninger for konti med $2.000 eller mere sælge for $65.
Gmail-kontooplysninger er i gennemsnit $156
mens dette tal synes højt, giver det mening, når du overvejer, at mange mennesker linker andre konti til deres Gmail-konto. Som sådan kan Gmail-adgang gøre det muligt for en angriber at nulstille adgangskoderne på flere platforme.
antallet af databrud faldt i de første tre kvartaler af 2020
ifølge Identity Theft Resource Center (ITRC) faldt antallet af databrud i de første ni måneder af 2020 30 procent sammenlignet med samme periode i 2019. Antallet af berørte personer var over 292 millioner, ned 60 procent fra 2019. En mulig årsag til faldet er, at da organisationer flyttede til en fjernarbejdsmodel som et resultat af pandemien, de blev mere opmærksomme på cybersikkerhedsproblemer og strammet praksis.
$8,64 millioner er, hvor meget det gennemsnitlige amerikanske databrud koster
IBM 2020-omkostningerne ved en databrud-rapport centreret omkring samtaler med over 3.200 fagfolk fra mere end 500 virksomheder over hele kloden. Alle repræsenterede virksomheder havde oplevet et databrud inden for 12 måneder før.
selvom det samlede antal rapporterede dataovertrædelser ser ud til at være faldende over tid, bliver individuelle overtrædelser dyrere og medfører tab eller tyveri af et stadig større antal forbrugerregistre.
af alle overtrædelser, der blev undersøgt i undersøgelsen, var de gennemsnitlige omkostninger ved et brud i USA $3,86 millioner, hvor USA havde de højeste gennemsnitlige omkostninger. Disse omkostninger inkluderer ting som mistet forretning, underretningsomkostninger og andre skader. Sektoren med de højeste gennemsnitlige omkostninger var sundhedsydelser på 7, 13 millioner dollars.
hver stjålet post i et databrud repræsenterer en pris på $150
den samme IBM-undersøgelse fandt, at den gennemsnitlige pris for en stjålet post er $150, En smule fra $148 i det foregående år.
anvendelse af et incident response team kan reducere de gennemsnitlige omkostninger ved et databrud med $2 millioner
i det foregående års rapport var virkningen af at have et impact response team ikke for stor, hvilket kun sparer $360.000. De seneste tal tyder på meget større besparelser på $2 millioner på de gennemsnitlige omkostninger ved et brud. Sikkerhedsautomatisering giver endnu større besparelser på $ 3, 58 millioner.
mistet forretning på grund af et databrud koster i gennemsnit $1.52 millioner
IBM opdelte omkostningerne ved databrud i fire hovedkomponenter: detektion og eskalering, anmeldelse, svar efter brud og mistet forretning. Sidstnævnte var i gennemsnit ansvarlig for 1, 52 millioner dollars i omkostninger, hvilket er 39, 4 procent af de samlede gennemsnitlige omkostninger.
detektion og eskalering, anmeldelse og svar efter brud koster i gennemsnit $1,11 millioner (28.8 procent), henholdsvis $0,24 millioner (6,2 procent) og $ 0,99 millioner (25,6 procent).
et brud, der involverer 1 million til 10 millioner poster, koster i gennemsnit $50 millioner
for at sætte tingene i perspektiv afslører IBM de gennemsnitlige omkostninger ved et brud på en given størrelse (med hensyn til poster). Et megabrud, der påvirker 1 million til 10 millioner poster, koster $50 millioner, en stigning på 19 procent i forhold til 2019. Et brud, der involverede mere end 50 millioner poster, kostede i gennemsnit 392 millioner dollars sammenlignet med 388 millioner dollars året før.
menneskelig fejl er årsagen til 23% af databrud
det er ikke altid cyberkriminelle, der er ansvarlige for databrud, og ifølge IBM kunne næsten en fjerdedel af brud have været undgået. Dette tal er faldet lidt fra 24 procent i 2019.
det tager i gennemsnit 280 dage at identificere og indeholde et brud
brud tog lidt længere tid at opdage og indeholde i 2020 (280 dage) end i 2019 (279 dage). Ud af de lande, der blev undersøgt af IBM, havde Brasilien en af de langsomste responstider, hvor virksomheder i gennemsnit tog 380 dage på at identificere og indeholde overtrædelser.
næsten to tredjedele af virksomhederne efterlader mere end 1.000 følsomme filer åbne for alle
2021 Varonis Financial Services Data risk report undersøger risikovurderinger af Data udført af Varonis-ingeniører for at bestemme omfanget af eksponering af kritisk og følsom information inden for finansielle serviceorganisationer såsom banker, forsikringsselskaber og investeringsselskaber.
et område af interesse er antallet af mapper, der er åbne for alle i virksomheden at se. Varonis fandt ud af, at I 64 procent af finansielle servicevirksomheder har hver medarbejder adgang til mere end 1.000 følsomme filer.
men måske mere om er, når følsomme filer er åben. Følsomme filer inkluderer dem, der indeholder ting som kreditkortoplysninger, sundhedsjournaler eller regulerede oplysninger som dem, der er underlagt GDPR, PCI eller HIPAA. Faktisk fandt undersøgelsen, at 15 procent af alle følsomme filer er tilgængelige for enhver medarbejder.
medarbejdere i store organisationer kan få adgang til 20 millioner filer
Varonis fandt ud af, at hver medarbejder i 2020 har adgang til i gennemsnit 11 millioner filer. For store organisationer er dette tal næsten dobbelt på 20 millioner.
i 2019 var antallet af personer, der var påvirket af databrud, faldet med 66% sammenlignet med 2019
Identity Theft Resource Center (ITRC) undersøger offentligt tilgængelige oplysninger om databrud og offentliggjorde sine vigtigste fund for 2020. Det fandt ud af, at lidt over 300 millioner individer blev påvirket af offentligt rapporterede databrud i 2020. Dette tal faldt med to tredjedele sammenlignet med året før.
i rapporten advarer ITRC-præsident & CEO Eva Velaskes mod selvtilfredshed:
nu er det ikke tid for forbrugerne at tro, at deres risiko er fordampet. Der er stadig hundreder af millioner af poster udsat hvert år, og forbrugerne er nødt til at forstå, at dette er en fortsat risiko, der kan have reel indflydelse på deres liv.
Phishing er den mest almindelige type cyberangreb involveret i et brud
ITRC ser på årsagen til hvert databrud. I 2020 var cyberangreb den grundlæggende årsag til 878 offentligt rapporterede overtrædelser, der ramte i alt næsten 170 millioner individer. Af disse var 44 procent (382) forårsaget af phishing, smishing eller business email kompromisangreb. Yderligere 18 procent var forårsaget af løsepenge.
Verdensøkonomiske Forum Insight Report 2020 skitserer de største globale risici, herunder naturkatastrofer og masseødelæggelsesvåben. Cyberangreb og datasvindel rangerer som tredje med hensyn til de mest bekymrende for virksomheder (forud for smitsomme sygdomsproblemer) og ottende i mest sandsynligt nedfald for verden.
rapportering af databrud
indtil for nylig var det almindeligt at lære om et databrud godt efter det fandt sted. Vi kan lære af en massiv overtrædelse måneder eller endda år efter det faktum. I nogle tilfælde kan dette skyldes, at virksomheden selv ikke opdagede bruddet i lang tid. I andre tilfælde er det imidlertid kommet frem, at virksomheder har skjulte overtrædelser eller fakta omkring dem for at forhindre skade på virksomhedens omdømme.
for eksempel blev det i 2017 afsløret, at Uber havde dækket et databrud i 2016, der påvirkede 57 millioner kunder. Og så sent som i Oktober 2018 indrømmede Google et databrud, der berørte en halv million brugere, der var begyndt tre år tidligere og blev opdaget i Marts 2018.
det er klart, at ikke at underrette kunder om et brud udgør en enorm trussel om privatlivets fred, da de ikke ved at træffe foranstaltninger for at afbøde eventuelle skader. Hvis du f.eks. ved, at din adgangskode er blevet overtrådt, ændrer du din adgangskode.for at beskytte borgernes ret til at vide, hvornår deres privatliv er blevet overtrådt, har mange lande nu faste love på plads, der kræver, hvad virksomheder skal gøre i tilfælde af et opdaget databrud. Disse love handler om rapportering af overtrædelsen og underretning af kunder, men kan også dække ting som, hvordan overtrædelsesoplysninger skal registreres og opbevares.
for eksempel foretog Canada i slutningen af 2018 ændringer i loven om beskyttelse af personlige oplysninger og elektroniske dokumenter (PIPEDA) og skitserede nøjagtigt, hvordan organisationer, der er underlagt loven, skal reagere på et databrud. Også i 2018 blev Alabama den endelige stat i USA for at vedtage en lov om meddelelse om databrud.
Hvad kan enkeltpersoner gøre ved brud på datasikkerheden?
enkeltpersoner er stærkt afhængige af virksomheder for at beskytte deres oplysninger. De har også tillid til, at de vil blive underrettet så hurtigt som muligt, efter at et brud er opdaget. Når det er sagt, er der nogle trin, du kan tage for at beskytte dine data:
- brug stærke, unikke adgangskoder: på denne måde, selvom nogen har dit Brugernavn eller din e-mail, vil det være svært for dem at bryde ind på en konto. Lange strenge af bogstaver, tal og symboler er en god ide. Adgangskoder skal også være unikke for hver konto for at forhindre hackere i at bruge en overtrådt kontos loginoplysninger på andre konti, et angreb kendt som legitimationsoplysninger. Du kan bruge en adgangskodeadministrator til at hjælpe dig med at generere og huske adgangskoder.
- Overhold advarsler: hvis du hører om et brud i nyhederne eller modtager en anmeldelse fra et firma, du handler med, skal du handle med det samme. Skift din adgangskode med det samme, og find ud af, hvilke oplysninger der kan være blevet overtrådt, så du kan handle. For eksempel, hvis dit kreditkortnummer muligvis er lækket, vil du måske udskifte det.
- pas på phishing-e-mails: selvom du bør tage overtrædelsesmeddelelser alvorligt, skal du bemærke, at dette også kan være en taktik, der bruges af cyberkriminelle. Svindlere kan sende phishing-e-mails (under dække af e-mails til nulstilling af adgangskode), der fører til falske (phishing) sider, designet til at stjæle oplysninger såsom loginoplysninger. Hvis du får en e-mail til nulstilling af adgangskode, skal du sørge for, at den er legitim ved at kontrollere for almindelige tegn på en phishing-e-mail, såsom et forkert stavet firmanavn eller dårlig grammatik. Du kan også springe over linkene helt og gå direkte til firmaets hjemmeside for at ændre din adgangskode.
- se efter sikre sider: når du udfører onlineaktiviteter, især dem, der involverer økonomiske eller personlige oplysninger, skal du sørge for at bruge en betroet hjemmeside (en, der begynder med https://). Selv hvis du ser en god handel, er det ikke værd at overdrage dine betalingsoplysninger til et firma, der ikke vil beskytte dine data.
- brug en VPN: undgå ting som netbank og shopping, når du er tilsluttet offentlige trådløse netværk. Brug af en VPN kan kryptere din forbindelse og beskytte dine data mod hackere og andre snoopere, selv på ubeskyttet trådløst internet.
- brug tofaktorautentificering (2FA): hvis dine legitimationsoplysninger udsættes for et databrud, kan 2FA eller Totrinsbekræftelse (2SV) forhindre en kriminel i at få adgang til din konto.
- brug er jeg blevet brugt?: Tilmeld dig denne hjemmeside for at få en hurtig meddelelse, hvis din e-mail-adresse har været involveret i et databrud. Bemærk Du skal tilmelde dig separat for hver e-mail-adresse, du bruger.
- Overvåg dine konti: Du kan ikke altid stole på, at en finansiel institution eller betalingsplatform vil fange noget galt med din konto. Kontroller udsagn regelmæssigt for at sikre, at ingen har adgang, og kontroller din kreditrapport for at sikre, at der ikke er åbnet nye konti i dit navn. Glem ikke at kontrollere loyalitet og belønning konti også; disse er ofte glemt, men kan være af stor værdi for kriminelle. Identitetstyveri beskyttelse tjenester kan automatisere nogle af disse kontroller.