Kosten van een datalek bedragen gemiddeld 3,86 miljoen dollar

Heb je je ooit afgevraagd hoeveel een gemiddeld datalek ongeveer kost? IBM Security en het Ponemon Institute rekenden uit dat de gemiddelde kosten op zo’n 3,86 miljoen dollar liggen per lek. Maar ze onderscheiden ook een categorie ‘megalekken’, waarbinnen 1 tot 50 miljoen dossiers buitgemaakt worden. Die kosten tussen de 40 en 350 miljoen dollar.

Voor het onderzoek spraken IBM Security en het Ponemon Institute met securitypersoneel van bijna vijfhonderd bedrijven die te maken hebben gehad met een datalek. Er is daarbij informatie over honderden kostenfactoren verzameld. Denk aan directe kosten rond herstel, het op de hoogte stellen van slachtoffers en weer optuigen van de beveiliging. Maar ook zijn er indirecte kosten meegerekend, waaronder het verlies van klanten en reputatie.

Grote kostenposten

Uit het onderzoek blijkt dat vooral de indirecte kosten die voortkomen uit een datalek veel schade aan bedrijven toebrengen. Denk aan de verloren klanten, de reputatieschade en de personeelsleden die aan het herstel moeten werken. Een derde van de kosten bij een ‘megalek’ komt voort uit verloren klanten.

De gemiddelde kosten van een datalek bedragen dit jaar 3,86 miljoen dollar. Dat is 6,4 procent meer dan een jaar geleden. Verder is er voor het eerst gekeken naar ‘megalekken’. Als er 1 miljoen dossiers gestolen worden, kost dat ongeveer 40 miljoen dollar om te herstellen. Een lek waarbij 50 miljoen dossiers gestolen zijn, kost algauw 350 miljoen dollar.

Vooral reputatieschade

Volgens Wendi Whitmore, die leiding geeft aan de IBM X-Force Incident Response and Intelligence Services, komt dat vooral doordat er veel verborgen kosten gemaakt worden. Het gaat dan onder meer om de eerder genoemde reputatieschade, klanten die verdwijnen en operationele kosten die gemaakt worden.

Het aantal megalekken nam volgens Whitmore fors toe. In 2013 waren er nog negen die in deze categorie vielen, in 2017 waren dit er al zestien. Gemiddeld waren er 365 dagen nodig om dit soort lek te detecteren en in te dammen – honderd dagen langer dan een klein lek, waar 266 dagen voor nodig waren.