10 minute read
Alarmující statistiky ze světa kyberbezpečnosti
MICHALA BENEŠOVSKÁ
Kybernetická bezpečnost a především incidenty pramenící z jejího nedostatečného zajištění se pro podniky staly každodenním problémem. Současné trendy v oblasti bezpečnosti, nárůst mobilních zařízení na pracovišti, home office i další „vedlejší účinky“ globální pandemie měly dopad na obrovský nárůst počtu hacknutých systémů a kompromitovaných dat. Prostor pro kybernetické útoky se zvětšil a společnosti musejí okamžitě reagovat.
Výzkumy ukazují, že většina společností má nechráněná data a nedostatečné postupy kybernetické bezpečnosti, což je činí zranitelnými vůči bezpečnostním incidentům. Je proto nezbytné, aby společnosti reagovaly a zvyšovaly povědomí o kybernetické bezpečnosti a prevenci a aplikovaly osvědčené bezpečnostní postupy.
Pokud stále pochybujete o vážnosti hrozeb a téma kybernetické bezpečnosti vás nezajímá, projděte si tyto statistiky, které jasně ukazují, že kybernetická bezpečnost bude muset být v roce 2022 i v letech následujících tématem číslo jedna pro všechny subjekty bez ohledu na velikost nebo obor.
Roky 2020 a 2021 s sebou přinesly několik výzev – covid-19 donutil společnosti urychlit digitalizaci a přejít k modelu práce na dálku. Zavedení 5G způsobilo, že připojená zařízení jsou propojenější než kdykoli předtím. Odvětví kybernetické bezpečnosti nikdy nebylo důležitější. To ukazují i statistiky, které vyplývají z průzkumů renomovaných společností působících v oblasti kybernetické bezpečnosti.
Práce na dálku jako otevřené dveře pro kyberzločince
Vedlejším efektem práce na dálku bude podle předpokladů odborníků nárůst narušení cloudových služeb. Obrovským problémem přitom bude i nadále nedostatek dovedností v oblasti kybernetické bezpečnosti. V důsledku 5G, které zvyšuje šířku pásma připojených zařízení, budou zařízení internetu věcí zranitelnější vůči kybernetickým útokům.
Podle společnosti Gartner dosáhne celosvětový trh s informační bezpečností v roce 2022 hodnoty 170,4 miliardy dolarů. To je z velké části způsobeno tím, že se organizace zaměřují na svou obranu proti kybernetickým hrozbám. Bude to ale stačit? Podle společnosti Cybint je 95 % narušení kybernetické bezpečnosti způsobeno lidskou chybou. Pojďme si přiblížit další statistiky, které vypovídají o stavu i budoucnosti kybernetické bezpečnosti.
V roce 2019 se 88 % organizací na celém světě setkalo s pokusy o spear phishing. (Proofpoint).
Až 68 % vedoucích pracovníků podniků má pocit, že se jejich rizika v oblasti kybernetické bezpečnosti zvyšují. (Accenture)
V průměru je řádně chráněno pouze 5 % firemních složek. (Varonis)
V důsledku úniku dat bylo v první polovině roku 2020 kompromitováno 36 miliard záznamů. (RiskBased)
Až 86 % narušení bylo motivováno finančně a 10 % špionáží. (Verizon)
Ve 45 % případů narušení docházelo k hackerským útokům, v 17 % případů šlo o malware a ve 22 % případů o phishing. (Verizon)
V období od 1. ledna 2005 do 31. května 2020 bylo zaznamenáno 11 762 případů narušení bezpečnosti. (ID Theft Resource Center)
Nejčastějšími typy škodlivých příloh e-mailů jsou .doc a .dot, které tvoří 37 %, další nejvyšší podíl má .exe s 19,5 %. (Symantec)
Odhaduje se, že lidé a stroje na celém světě používají 300 miliard hesel. (Cybersecurity Media)
Narušení bezpečnosti je drahá sranda
Zvyšující se počet rozsáhlých a medializovaných narušení bezpečnosti naznačuje, že narůstá nejen počet bezpečnostních incidentů, ale také jejich závažnost. Při narušení bezpečnosti dat dochází k odhalení citlivých informací, které často vystavují ohrožené uživatele riziku krádeže identity, ničí pověst společností a téměř vždy vedou k odpovědnosti společnosti za porušení předpisů. Následující statistiky pomáhají vyčíslit dopady, motivace a příčiny těchto škodlivých útoků.
Průměrné náklady na narušení bezpečnosti dat činí od roku 2020 3,86 milionu dolarů. (IBM) Průměrná doba identifikace narušení dat v roce 2020 činila 207 dní. (IBM) Průměrný životní cyklus narušení byl 280 dní od identifikace po zvládnutí. (IBM) Osobní údaje v roce 2020 figurovaly v 58 % případů narušení. (Verizon) Počet narušení bezpečnosti se od roku 2018 zvýšil o 11 % a od roku 2014 o 67 %. (Accenture)
Historicky největší narušení bezpečnosti dat
V roce 2020 došlo na Twitteru k narušení 130 účtů, včetně účtů bývalých prezidentů a Elona Muska, a útočníci tak prostřednictvím téměř 300 transakcí vylákali 121 000 dolarů v bitcoinech. (CNBC) V roce 2020 společnost Marriott zveřejnila narušení bezpečnosti, které mělo dopad na údaje více než 5,2 milionu hotelových hostů. (Marriott) Únik dat společnosti MGM v roce 2019 vedl k úniku záznamů o 142 milionech hotelových hostů ze strany hackerů. (CPO Magazine) Při úniku dat společnosti Marriott-Starwood, který byl zveřejněn v roce 2018, byly ohroženy údaje 500 milionů spotřebitelů, a to již od roku 2014. (CSO Online) V roce 2018 společnost Under Armour oznámila, že její služba „My Fitness Pal“ byla napadena hackery, což se dotklo 150 milionů uživatelů. (Under Armour) V roce 2017 bylo narušením bezpečnosti společnosti Equifax zasaženo 147,9 milionu spotřebitelů. (Equifax) Narušení bezpečnosti společnosti Equifax stálo společnost celkem přes čtyři miliardy dolarů. (Time) V roce 2017 bylo ze stránek Friendfinder odcizeno 412 milionů uživatelských účtů. (Wall Street Journal) V roce 2017 bylo virem WannaCry infikováno více než 400 000 počítačů, což si vyžádalo celkové náklady ve výši přibližně čtyř miliard dolarů. (Technology Inquirer) V roce 2016 společnost Uber oznámila, že hackeři ukradli informace o více než 57 milionech cestujících a řidičů. (Uber) Společnost Uber se snažila hackerům zaplatit, aby smazali ukradené údaje 57 milionů uživatelů a únik utajili. (Bloomberg) Při jednom z největších úniků všech dob byly v roce 2013 hacknuty tři miliardy účtů Yahoo. (New York Times)
Typy útoků
Mezi nejčastější útoky patří phishing, spear-phishing, malware, sociální inženýrství, ransomware a útoky typu DDoS (distributed denial of service). Každý den se přitom objevuje nový malware a viry. Vzrůstá také dostupnost nástrojů pro tvorbu a distribuci vlastních útoků.
Průměrná platba za ransomware vzrostla v roce 2020 oproti roku 2019 o 33 % na 111 605 dolarů. (Fintech News) V roce 2018 bylo denně zablokováno v průměru 10 573 škodlivých mobilních aplikací. (Symantec) Více než 94 % malwaru je doručováno e-mailem. (CSO Online) Průměrné náklady na ransomwarový útok na podniky činí 133 000 dolarů. (SafeAtLast) Až 48 % škodlivých e-mailových příloh tvoří soubory kancelářských aplikací. (Symantec) Zjištění ransomwaru převažují v zemích s vyšším počtem obyvatel připojených k internetu, přičemž na nejvyšší příčce jsou Spojené státy s 18,2 % všech útoků ransomwaru. (Symantec) Většina škodlivých domén, přibližně 60 %, je spojena se spamovými kampaněmi. (Cisco) Asi 20 % škodlivých domén je velmi nových a používá se přibližně týden po jejich registraci. (Cisco) Po poklesu v roce 2019 se phishing v roce 2020 zvýšil a představuje jeden z každých 4 200 e-mailů. (Symantec) Jako primární vektor infekce použilo 65 % hackerských skupin spear-phishing. (Symantec) Každý 13. webový požadavek souvisí s malwarem. (Symantec) Phishingové útoky představují více než 80 % nahlášených bezpečnostních incidentů. (CSO Online) Každou minutu je v důsledku phishingového útoku ztraceno 17 700 dolarů. (CSO Online) Do roku 2023 bude celkový počet útoků DDoS na celém světě 15,4 milionu. (Cisco) Útoky na zařízení internetu věcí se v první polovině roku 2019 ztrojnásobily. (CSO Online) Počet škodlivých skriptů PowerShell zablokovaných v roce 2018 na koncovém zařízení vzrostl o 1 000 %. (Symantec) Na 30 % případů narušení dat se podílejí interní aktéři. (Verizon) Zařízení IoT zažívají v průměru 5 200 útoků měsíčně. (Symantec) Až 90 % útoků na vzdálené spuštění kódu je spojeno s kryptoměnou. (Purplesec) Až 69 % organizací nevěří, že hrozby, které zaznamenávají, lze zablokovat jejich antivirovým softwarem (studie Ponemon Institute Cost of Data Breach Study). Na 1 z 36 mobilních zařízení jsou nainstalovány vysoce rizikové aplikace. (Symantec)
Vzhledem k tomu, že se každý den objevují nové hrozby, je riziko nezabezpečení souborů závažnější než kdy jindy, zejména pro firmy a pro společnosti, které využívají model práce na dálku. S tím, jak v regionech po celém světě prochází přísnější legislativa, se setkáváme se stále závažnějšími důsledky. Mezi nejvýznamnější z posledních let patří obecné nařízení Evropské unie o ochraně osobních údajů (GDPR) z roku 2018 a kalifornský zákon o ochraně soukromí spotřebitelů (CCPA) z roku 2020.
Společnosti by měly vzít na vědomí GDPR, jelikož se očekává, že v příštích letech projdou po celém světě další iterace. Zásadní je správně nastavit oprávnění k souborům a zbavit se neaktuálních dat. Udržování klasifikace a správy dat na úrovni je zásadní pro udržení souladu s legislativou o ochraně osobních údajů, jako jsou HIPAA, SOX, ISO 27001 a další.
Až 66 % společností vidí, že mandáty pro dodržování předpisů jsou hnací silou výdajů. (CSO Online)
V roce 2018 vynaložily podniky na splnění požadavků na dodržování předpisů v průměru 1,3 milionu dolarů a očekávalo se, že vynaloží dalších 1,8 milionu dolarů. (IAAP)
Každý zaměstnanec má v průměru přístup k 11 milionům souborů. (Varonis)
V 15 % podniků bylo zjištěno, že každý zaměstnanec má otevřeno více než 1 000 000 souborů. (Varonis)
Až 17 % všech citlivých souborů je přístupných všem zaměstnancům. (Varonis)
Přibližně 60 % společností má více než 500 účtů s nevypršenými hesly. (Varonis)
Více než 77 % organizací nemá plán reakce na incidenty. (Cybint)
Přibližně 88 % společností vynaložilo na přípravu na
GDPR více než milion dolarů. (IT Governance)
V prvním roce platnosti GDPR bylo podáno 144 000 stížností různým orgánům pro prosazování GDPR a zaznamenáno 89 000 případů porušení ochrany osobních údajů. (EDPB)
Celkem 1 000 zpravodajských zdrojů zablokovalo čtenáře z EU, aby se vyhnuli pravidlům pro dodržování GDPR. (Nieman Lab)
Pokuty za GDPR dosáhly v prvním roce jeho platnosti 63 milionů dolarů. (GDPR.eu)
Společnost Google dostala od francouzského úřadu pro ochranu osobních údajů CNIL pokutu 57 miliard dolarů za porušení GDPR. (TechCrunch)
Od zavedení GDPR má 31 % spotřebitelů pocit, že se jejich celkové zkušenosti s firmami zlepšily. (Marketing
Week) Do roku 2019 se pouze 59 % společností domnívalo, že jsou v souladu s GDPR. (ZDNet) Téměř 70 % společností souhlasí s tím, že systémy, které zavedly, nebudou s příchodem nových nařízení GDPR škálovat. (DataGrail)
Nejohroženější odvětví
Pokud jde o kybernetickou bezpečnost, jsou v ohrožení všechna odvětví, nicméně některá jsou pro útočníky přímo zlatý důl. Jde o ta odvětví, která uchovávají cenné informace, jako je zdravotnictví a finančnictví. V bezpečí není ale vlastně nikdo, protože cílem útoků jsou i odvětví s nižším rizikem, jelikož útočníci počítají s tím, že budou mít zavedeno méně bezpečnostních opatření.
Útok ransomwaru WannaCry stál Národní zdravotnickou službu (NHS) více než 100 milionů dolarů. (Datto)
Odhaduje se, že v roce 2019 přišlo zdravotnictví kvůli útokům ransomwaru o 25 miliard dolarů. (SafeAtLast)
Více než 93 % zdravotnických organizací zažilo v posledních třech letech únik dat. (Herjavec Group)
Finanční služby mají v průměru 352 771 odhalených citlivých souborů, zatímco zdravotnictví, farmacie a biotechnologie mají v průměru 113 491 souborů, což je při srovnání odvětví nejvíce. (Varonis)
Na 15 % případů narušení bezpečnosti se týkalo zdravotnických organizací, 10 % ve finančním sektoru a 16 % ve veřejném sektoru. (Verizon)
Nejvíce nákladů na kybernetickou kriminalitu v roce 2018 vzniklo v bankovním sektoru, a to 18,3 milionu dolarů (Accenture).
Odvětví finančních služeb si z kyberkriminality odnáší nejvyšší náklady v průměrné výši 18,3 milionu dolarů na jednu zkoumanou společnost. (Accenture)
Téměř dvě třetiny společností poskytujících finanční služby mají otevřeno více než 1 000 citlivých souborů pro každého zaměstnance. (Varonis)
Nejvyšší procento odhalených citlivých souborů mají finanční a výrobní služby, a to 21 %. (Varonis)
V průměru má zaměstnanec ve finančních službách přístup k téměř 11 milionům souborů v den, kdy nastoupí do zaměstnání. U velkých organizací mají zaměstnanci přístup k 20 milionům souborů. (Varonis)
Průměrné náklady na únik dat ve finančních službách činí 5,85 milionu dolarů. (Varonis)
Podnikům v oblasti finančních služeb trvá v průměru 233 dní, než odhalí a zvládnou únik dat. (Varonis)
Téměř čtvrtina všech útoků ransomwaru připadá na výrobní podniky, následují profesionální služby se 17 % útoků a pak vládní organizace s 13 % útoků. (Security Intelligence)
Americká vláda vyčlenila na výdaje na kybernetickou bezpečnost v roce 2021 odhadem 18,78 miliardy dolarů. (AtlasVPN)
V menších organizacích (1–250 zaměstnanců) je nejvyšší podíl cílených škodlivých e-mailů, a to jeden z 323. (Symantec)
Nejčastějšími kategoriemi škodlivých aplikací byly lifestylové (15 %) a zábavní (7 %). (Symantec) Útoky na dodavatelský řetězec vzrostly v roce 2019 o 78 %. (Symantec)
Rozpočet na kybernetickou bezpečnost roste
Průměrné výdaje na kybernetickou kriminalitu strmě rostou a náklady spojené s těmito zločiny mohou ochromit společnosti, které kybernetickou bezpečnost nezařadily do svého běžného rozpočtu. Rozpočet na kybernetickou bezpečnost se neustále zvyšuje, protože stále více vedoucích pracovníků a osob s rozhodovací pravomocí si uvědomuje hodnotu a význam investic do kybernetické bezpečnosti.
Odhaduje se, že v roce 2020 budou bezpečnostní služby tvořily 50 % rozpočtů na kybernetickou bezpečnost. (Gartner)
Průměrné náklady na útok malwaru na společnost činí 2,6 milionu dolarů. (Accenture)
Nejvyšší průměrné náklady na únik dat vznikají ve zdravotnictví, a to 7,13 milionu dolarů. (IBM)
Průměrné roční výdaje na zabezpečení na zaměstnance se zvýšily z 2 337 dolarů v roce 2019 na 2 691 dolarů v roce 2020. (Deloitte)
Náklady na ztracené podnikání činily v průměru 1,52 milionu dolarů. (IBM)
Průměrné časové náklady na útok malwarem činí 50 dní. (Accenture)
Nejnákladnější složkou kybernetického útoku je ztráta informací ve výši 5,9 milionu dolarů. (Accenture)
Průměrné náklady na jeden ztracený nebo odcizený záznam na jednotlivce činí 146 dolarů. (IBM)
Úniky dat stojí podniky v průměru 3,92 milionu dolarů. (CSO Online)
Průměrné celkové náklady na únik dat v menších podnicích (do 500 zaměstnanců) se v roce 2020 snížily z 2,74 milionu dolarů v roce 2019 na 2,35 milionu dolarů v roce 2020. Průměrné celkové náklady ve velmi velkých podnicích (více než 25 000 zaměstnanců) se rovněž snížily, a to z 5,11 milionu USD v roce 2019 na 4,25 milionu dolarů. (IBM)
V roce 2019 oproti roku 2020 došlo k největšímu nárůstu celkových nákladů na narušení bezpečnosti dat ve Skandinávii, a to o 12 %, zatímco v Jihoafrické republice došlo k největšímu poklesu o 7,4 %. (IBM)
Nejvyšší náklady na narušení bezpečnosti dat na světě zažívají Spojené státy, a to v průměru 8,64 milionu dolarů, následované Středním východem s 6,52 milionu dolarů. (IBM)
Přibližně 50 % velkých podniků (s více než 10 000 zaměstnanci) vynakládá na bezpečnost 1 milion dolarů nebo více ročně, 43 % vynakládá 250 000 až 999 999 dolarů a pouze 7 % vynakládá méně než 250 000 dolarů. (Cisco)
V roce 2018 dosáhly výdaje v odvětví kybernetické bezpečnosti přibližně 40,8 miliardy dolarů. (Statista) Předpovědi nákladů na kybernetickou bezpečnost
Celosvětové náklady na kybernetickou kriminalitu dosáhly v roce 2021 výše až šest bilionů dolarů. (Cybersecurity Ventures) Náklady na škody způsobené ransomwarem vzrostly v roce 2021 na 20 miliard dolarů a každých 11 sekund se stala jedna firma obětí útoku ransomwaru. (Cybersecurity Ventures) Škody spojené s kybernetickou kriminalitou dosáhnou do roku 2025 podle odhadů 10,5 bilionu dolarů ročně. (Cybersecurity Ventures)
Kybernetická bezpečnost a covid-19
Covid-19 zasáhl všechna odvětví a kouty světa a kybernetický prostor není výjimkou. Globální pandemie otevřela kyberzločincům cestu k mnoha novým obětem: zdravotnictví, lidé pracující na dálku a další. Zde je několik nejvýznamnějších statistik kybernetické bezpečnosti souvisejících s pandemií.
Od začátku pandemie zaznamenala FBI 300% nárůst počtu nahlášených kybernetických zločinů. (IMC
Grupo)
Až 27 % kybernetických útoků související s nemocí covid-19 je zaměřeno na banky nebo zdravotnické organizace a pandemii se připisuje 238% nárůst kybernetických útoků na banky v roce 2020. (Fintech
News)
Potvrzené úniky dat ve zdravotnictví vzrostly v roce 2020 o 58 %. (Verizon)
Američané přišli kvůli podvodům týkajících se témat spojených s covidem-19 o více než 97,39 milionu dolarů. (AtlasVPN)
V dubnu 2020 společnost Google denně zablokovala 18 milionů e-mailů s malwarem a phishingem souvisejících s koronavirem. (Google)
Od vypuknutí pandemie se 52 % vedoucích pracovníků v oblasti práva a dodržování předpisů obává kybernetických rizik třetích stran v důsledku práce na dálku. (Gartner)
Práce na dálku zvýšila průměrné náklady na únik dat o 137 000 dolarů. (IBM)
Až 47 % zaměstnanců uvedlo jako důvod, proč při práci z domova naletěli phishingovému podvodu, rozptýlení. (Tessian)
Přibližně 81 % odborníků na kybernetickou bezpečnost uvedlo, že se jejich pracovní funkce během pandemie změnila. (ISC)
V dubnu 2020 bylo kompromitováno a prodáno na darkwebovém fóru půl milionu uživatelských účtů
Zoom. (CPO Magazine)
Kybernetické útoky založené na cloudu vzrostly mezi lednem a dubnem 2020 630 %. (Fintech News)
Vzdálení pracovníci způsobili narušení bezpečnosti ve 20 % organizací. (Malwarebytes)
Zdroj: Varonis
