Trong thế giới kết nối ngày nay, các tổ chức chịu trách nhiệm về các hoạt động bảo mật mạng của họ cũng như của các nhà cung cấp bên thứ ba. Với các kịch bản quản lý rủi ro ngày càng phức tạp, tác động của việc vi phạm dữ liệu có thể là thảm họa đối với toàn bộ chuỗi cung ứng.
Theo một nghiên cứu của IBM, 83% công ty Hoa Kỳ tham gia đã nhiều lần gặp phải sự cố rò rỉ dữ liệu, khiến họ thiệt hại hơn 9,44 triệu đô la, cao hơn gấp đôi mức trung bình toàn cầu là 4,35 triệu đô la.
Và nếu bạn nghĩ rằng tất cả những điều này là do các lỗ hổng nội bộ gây ra, thì bạn đã nhầm. Nhiều vi phạm an ninh mạng trong năm 2022 bắt nguồn từ rủi ro của bên thứ ba, với 51% tổ chức báo cáo vi phạm dữ liệu do bên thứ ba gây ra.
Tác động tài chính của việc vi phạm dữ liệu là rất lớn, nhưng đó chỉ là phần nổi của tảng băng chìm. Chi phí thực tế của việc vi phạm dữ liệu không chỉ là về tiền mặt. Hãy xem xét sự phân nhánh của cuộc tấn công mạng này.
Hiểu về thiệt hại khi vi phạm an ninh mạng
Mối đe dọa lớn nhất mà vi phạm an ninh mạng gây ra cho doanh nghiệp của bạn là những hệ lụy về tài chính, khiến bạn phải trả những thiệt hại không lường trước được về dữ liệu, thời gian ngừng hoạt động, mất việc kinh doanh, mất lương và thậm chí cả tiền phạt theo quy định.
Thiệt hại về dữ liệu
Báo cáo của IBM tiết lộ rằng chi phí toàn cầu cho một vụ vi phạm dữ liệu lên tới 4,35 triệu đô la, khiến chi phí cho mỗi bản ghi là 164 đô la. Các cuộc tấn công bằng mã độc tống tiền là một trong những thủ phạm lớn nhất, tần suất tăng 41% trong năm nay và khiến các công ty thiệt hại trung bình 4,54 triệu đô la.
Mặt khác, các cuộc tấn công phá hoại cũng tăng về tần suất và chi phí, ở mức 5,12 triệu đô la, cao hơn khoảng 430.000 đô la so với năm trước.
Tùy thuộc vào thời gian các công ty mất bao lâu để xác định và ngăn chặn vi phạm, chi phí có thể tăng cao hơn nữa. Vào năm 2022, thời gian trung bình để các công ty xử lý vi phạm dữ liệu là 9 tháng (khoảng 277 ngày), khiến họ phải trả thêm 1,12 triệu USD.
Thiệt hại về mặt thời gian ngừng hoạt động
Việc tính toán chi phí vi phạm không chỉ liên quan đến chi phí dữ liệu bị mất mà còn cả hậu quả của nó—một trong số đó là thời gian ngừng hoạt động.
Vi phạm dữ liệu có thể nhanh chóng buộc các hoạt động phải dừng lại, với mọi nỗ lực tập trung vào việc ngăn chặn vi phạm và khôi phục sau cuộc tấn công. Trong thời gian này, doanh nghiệp cũng sẽ tăng chi phí.
Theo báo cáo Xu hướng bảo vệ dữ liệu năm 2022 của Veeam, chi phí trung bình cho thời gian ngừng hoạt động là 88.000 đô la mỗi giờ hoặc 1.467 đô la mỗi phút. Tùy thuộc vào ngành mà doanh nghiệp thuộc về, chi phí có thể cao hơn.
Ví dụ, chi phí thời gian chết khoảng 22.000 đô la mỗi phút trong ngành công nghiệp ô tô, trong khi các nhà sản xuất công nghiệp lớn mất 10.000 đến 250.000 đô la mỗi giờ do thời gian chết.
Doanh nghiệp bị ảnh hưởng
Một hậu quả khác của việc vi phạm dữ liệu là thiệt hại về uy tín cho công ty, điều này cuối cùng dẫn đến việc kinh doanh bị mất. Theo một cuộc khảo sát do PCI Pal thực hiện, người tiêu dùng có khả năng từ bỏ các doanh nghiệp không bảo mật được dữ liệu của họ.
Cụ thể, 83% người tiêu dùng Hoa Kỳ nói rằng họ sẽ ngừng chi tiền cho một doanh nghiệp vài tháng sau khi vi phạm an ninh, trong khi 21% cho biết họ sẽ không bao giờ quay lại doanh nghiệp đó. Các con số từ người tiêu dùng Canada, Vương quốc Anh và Úc là tương tự nhau.
Do đó, vi phạm dữ liệu có thể khiến cơ sở người tiêu dùng của doanh nghiệp giảm mạnh, ảnh hưởng trực tiếp đến doanh thu của doanh nghiệp. Một nghiên cứu cho thấy rằng 29% tổ chức bị mất doanh thu sau một vụ vi phạm dữ liệu và trong số những tổ chức là nạn nhân, 38% bị mất hơn 20% doanh thu thông thường.
Nhân viên nhàn rỗi và tiền lương mất mát
Tất cả các nhiệm vụ thông thường được đặt ở phía sau để đối phó với vi phạm an ninh mạng. Nếu không có giải pháp hoàn chỉnh, nhân viên của tổ chức có thể không thể tiếp tục các hoạt động hàng ngày của họ. Điều đó dẫn đến thời gian ngừng hoạt động đáng kể, với những nhân viên nhàn rỗi không được trang bị để giúp quản lý mối đe dọa bảo mật dữ liệu.
Những người duy nhất làm việc vào thời điểm này sẽ là I.T. nhưng, tất nhiên, bạn vẫn có nghĩa vụ phải trả lương cho những nhân viên khác không tham gia vào quá trình giải quyết.
Một số cuộc tấn công mạng có thể khóa máy tính và phần mềm của bạn, điều này cản trở nhân viên của bạn làm bất cứ việc gì hiệu quả (nếu có).
Tiền phạt theo quy định
Các công ty gặp phải vi phạm dữ liệu được coi là tự mãn trong việc bảo vệ dữ liệu của người tiêu dùng. Do đó, các cơ quan quản lý đã áp dụng các hình phạt nghiêm khắc và nghiêm khắc. Vào năm 2021, Amazon đã bị Luxembourg phạt 877 triệu đô la vì vi phạm dữ liệu vi phạm Quy định chung về bảo vệ dữ liệu (GDPR).
Và vào năm 2022, Instagram đã bị Ủy viên bảo vệ dữ liệu (DPC) của Ireland phạt 403 triệu đô la vì vi phạm GDPR liên quan đến việc công khai số điện thoại và địa chỉ email của người dùng trẻ tuổi.
Cũng trong năm đó, Meta (Facebook) gặp sự cố vi phạm dữ liệu làm tổn hại thông tin cá nhân của 500 triệu người dùng, dẫn đến việc bị DPC Ireland phạt 277 triệu đô la.
Tại sao phạm vi thiệt hại lại rộng?
Rất khó để đưa ra giá trị chính xác về tác động tài chính của việc vi phạm dữ liệu đơn giản vì mỗi doanh nghiệp đều khác nhau. Mất dữ liệu có thể tốn kém hơn đối với người này so với người khác vì họ có thể có nhiều dữ liệu có giá trị hơn, sử dụng dữ liệu đó theo cách khác và có các biện pháp bảo vệ đặc biệt hoặc phòng thủ an ninh mạng.
Cuối cùng, thiệt hại do mất dữ liệu có thể được chia nhỏ tùy thuộc vào các yếu tố sau:
- Quy mô tổ chức
- Lượng dữ liệu bị mất
- Giá trị dữ liệu bị mất
- Tác động của vi phạm đối với hoạt động kinh doanh
- Khả năng phục hồi của dữ liệu
- Thời gian ngừng hoạt động
- Tốc độ phục hồi/ngăn chặn/ứng phó sự cố
Tại sao chi phí tấn công mạng ngày càng tăng?
Vi phạm an ninh mạng dự kiến sẽ tăng 15% mỗi năm trong 5 năm tới. Và đến năm 2025, những chi phí này được dự đoán sẽ lên tới con số khổng lồ 10,5 nghìn tỷ đô la hàng năm—chi phí cao hơn thiệt hại do thiên tai và buôn bán ma túy bất hợp pháp trên toàn cầu cộng lại.
Statista Cyber Crime Expected to Skyrocket
Các cuộc tấn công mạng đang trở nên tốn kém hơn đối với các công ty để trải nghiệm và đối phó. Điều này có thể là do những cải tiến về công nghệ, mang đến cho tin tặc những cách mới để khai thác công nghệ mới nhằm thực hiện các chương trình độc hại của chúng.
Một ví dụ là ChatGPT, tin tặc có thể sử dụng để viết phần mềm độc hại mà chúng có thể sử dụng để tấn công các hệ thống của công ty.
Công nghệ mới có nghĩa là các cuộc tấn công tinh vi hơn; do đó các giải pháp phức tạp và đắt tiền hơn được yêu cầu để giải quyết chúng. Tại thời điểm này, rõ ràng là công nghệ đang trở thành con dao hai lưỡi.
Khi các doanh nghiệp phụ thuộc nhiều hơn vào công nghệ để tạo điều kiện thuận lợi cho các hoạt động và giao dịch hàng ngày với các nhà cung cấp bên thứ ba, hệ sinh thái này trở nên dễ bị tổn thương hơn trước các mối đe dọa trên mạng—tất cả chỉ cần một lỗ hổng trong hệ thống máy tính của họ là dừng mọi hoạt động.
Những lý do hàng đầu dẫn đến vi phạm của bên thứ ba là gì?
Làm việc với các nhà cung cấp bên thứ ba là không thể tránh khỏi nhưng có thể gây ra nhiều rủi ro cho doanh nghiệp. Vi phạm của bên thứ ba là loại vi phạm bảo mật phổ biến nhất, xảy ra do các nguyên nhân sau:
Lỗ hổng bảo mật chưa được vá
Các hệ thống IT yêu cầu cập nhật thường xuyên và các bản vá bảo mật để cung cấp khả năng bảo vệ tối ưu trước các cuộc tấn công mạng. Nhưng hầu hết thời gian, quá trình này không được tiến hành hoặc được thực hiện không chính xác.
Các công ty có thể khắc phục những điều này bằng cách cung cấp các chính sách và nguyên tắc nghiêm ngặt để vá lỗi bảo mật, nên áp dụng nội bộ và bên ngoài, bao gồm tất cả các nhà cung cấp dịch vụ và nhà cung cấp bên thứ ba.
Lỗi của con người
Một nghiên cứu do Giáo sư Jeff Hancock của Đại học Stanford thực hiện đã tiết lộ rằng lỗi của con người chiếm 88% các sự cố vi phạm dữ liệu, cho dù là do sử dụng sai dữ liệu cá nhân hay do vô tình nhấp vào một email lừa đảo.
Điều này nhấn mạnh tầm quan trọng của việc đào tạo nâng cao nhận thức về an ninh mạng vững chắc giúp nhân viên nhận thức được các mối đe dọa trên mạng và hướng dẫn họ cách phát hiện các email đáng ngờ và các loại thông tin liên lạc khác.
Phần mềm độc hại
Phần mềm độc hại Phần mềm độc hại có thể cấp cho tin tặc quyền truy cập cửa sau vào mạng máy tính và dữ liệu của bạn. Do đó, chương trình quản lý rủi ro bên thứ ba của bạn phải xem xét mối đe dọa này và vạch ra các bước để ngăn chặn nó.
Các khuyến nghị của CISO để ngăn chặn vi phạm dữ liệu
Là một phần của hệ thống phòng thủ an ninh mạng kiên cường và mạnh mẽ, các doanh nghiệp phải thực hiện các phương pháp hay nhất sau đây để ngăn chặn vi phạm dữ liệu và tự bảo vệ mình khỏi các cuộc tấn công mạng.
Sao lưu dữ liệu
Mất dữ liệu có thể dẫn đến chi phí khó khăn cho một doanh nghiệp. Để giảm thiểu tác động của vi phạm dữ liệu, các tổ chức phải đảm bảo rằng họ đã sao lưu tất cả dữ liệu của mình để sử dụng trong trường hợp dữ liệu bị mất hoặc bị phá hủy.
Tạo mật khẩu mạnh
Mật khẩu yếu chiếm 81% các vụ rò rỉ dữ liệu của công ty. Do đó, các tổ chức phải nỗ lực khuyến khích nhân viên sử dụng mật khẩu mạnh cho tài khoản công ty và giúp ngăn chặn các trường hợp thông tin đăng nhập bị đánh cắp hoặc bị xâm phạm.
Tiến hành đào tạo nâng cao nhận thức về an ninh mạng
Nhân viên là tuyến phòng thủ đầu tiên chống lại một cuộc tấn công mạng. Nhưng thông thường, chúng cũng là mắt xích yếu nhất. Các công ty phải nuôi dưỡng văn hóa công ty có nhận thức về không gian mạng, nghĩa là đầu tư vào đào tạo nâng cao nhận thức về an ninh mạng để giúp nhân viên luôn được cập nhật thông tin, cảnh giác và giáo dục về các mối đe dọa trên mạng cũng như cách ngăn chặn chúng.
Triển khai xác thực đa yếu tố
Xác thực đa yếu tố yêu cầu nhiều hình thức nhận dạng để đăng nhập vào nền tảng hoặc tài khoản. Chiến lược bảo mật này có thể đi một chặng đường dài trong việc ngăn chặn vi phạm dữ liệu, khiến tin tặc khó truy cập mạng của công ty hơn.
Thực hiện các biện pháp an ninh
Các tổ chức nên làm cho kẻ tấn công khó truy cập vào hệ thống, nền tảng và dữ liệu của công ty họ. Bạn có thể thực hiện việc này thông qua nhiều biện pháp bảo mật đã được kiểm chứng và thử nghiệm, bao gồm nhưng không giới hạn ở:
- Tường lừa
- Hệ thống phát hiện xâm nhập
- Mã hóa
Cài đặt một phần mềm diệt virus
Các cuộc tấn công mạng không phải lúc nào cũng xảy ra ngay lập tức. Đôi khi, một phần mềm độc hại nhỏ có thể được ẩn đi trong một hệ thống CNTT. cơ sở hạ tầng, chỉ để tàn phá sau này. Việc sở hữu phần mềm chống vi-rút an toàn và đáng tin cậy có thể ngăn ngừa các trường hợp lây nhiễm như thế này và xác định các mối đe dọa tiềm ẩn trước khi chúng xảy ra.
Cài đặt tường lửa
Tường lửa hoạt động bằng cách chặn mọi truy cập trái phép vào mạng. Là chủ doanh nghiệp, bạn nên thiết lập nó để đảm bảo rằng chỉ những nhân viên và nhân viên được ủy quyền mới có thể vào hệ thống của công ty.
Ai cần quản lý rủi ro an ninh mạng của nhà cung cấp bên thứ ba?
Quản lý rủi ro an ninh mạng của bên thứ ba nên được áp dụng cho tất cả các công ty có đại lý, nhà cung cấp, nhà cung cấp dịch vụ, dịch vụ tài chính hoặc nhà thầu bên thứ ba. Trong các mối quan hệ này, dữ liệu cá nhân, dù nhỏ đến đâu, cũng được chia sẻ để nhà cung cấp bên thứ ba truy cập và sử dụng—khiến dữ liệu dễ bị xâm phạm dữ liệu..
Tác động của việc bỏ qua các mối đe dọa an ninh mạng
Trong thời đại ngày nay, nơi các mối đe dọa mạng lan tràn, vấn đề không còn là “liệu” doanh nghiệp của bạn có trở thành nạn nhân hay không mà là “khi nào”.
Mọi công ty đều có thể hứng chịu một cuộc tấn công mạng có thể tàn phá hoạt động của họ và khiến họ thiệt hại hàng triệu đô la do mất dữ liệu, thời gian ngừng hoạt động và mất doanh thu.
Kết quả của một cuộc tấn công mạng có thể bị đánh thuế tài chính và là thảm họa tổng thể. Chỉ cần một lỗi nhỏ, hành vi trực tuyến không an toàn hoặc phần mềm lỗi thời cũng có thể trở thành nạn nhân của vi phạm dữ liệu. Đây là lý do tại sao các công ty phải nỗ lực chủ động để tự bảo vệ mình.