Thiệt hại do tấn công phishing tăng gần bốn lần trong sáu năm qua

0
51

Một trong những mối đe dọa gây thiệt hại lớn nhất là vi phạm email của doanh nghiệp (business email compromise – BEC). Thiệt hại do BEC đã tăng lên đáng kể vào năm 2020 với hơn 1,8 tỷ đô la lấy được từ các tổ chức, doanh nghiệp khi tin tặc thực hiện các cuộc tấn công chớp nhoáng hoặc mạo danh một người/ một tổ chức nào đó để lừa đảo tài chính.

Sụt giảm hiệu suất làm việc là tổn thất lớn nhất đối với doanh nghiệp

Bên cạnh BEC, các vụ tấn công ransomware cũng khiến doanh nghiệp phải chịu tổn thất nặng nề. Các chuyên gia bảo mật đã nhận thấy sự tăng vọt trong mỗi khoản tiền chuộc mà tin tặc yêu cầu.

Tuy nhiên, các khoản tiền chuộc trong các vụ BEC và tấn công ransomware trên thực tế chỉ là một phần trong tổng thiệt hại mà doanh nghiệp phải gánh chịu trong các cuộc tấn công phishing.

“Khi nghe tin một doanh nghiệp phải trả hàng triệu đô cho tin tặc vì bị tấn công ransomware, nhiều người nghĩ rằng đó là toàn bộ tổn thất mà tổ chức này phải chịu. Tuy nhiên, trên thực tế, tiền chuộc chỉ chiếm chưa đến 20% tổng thiệt hại mà vụ tấn công ransomware gây ra.” Larry Ponemon, chủ tịch Viện Ponemon chia sẻ trong một thông cáo báo chí. “Bởi vì các vụ tấn công phishing làm gia tăng rủi ro vi phạm dữ liệu và gián đoạn kinh doanh. Hầu hết chi phí mà doanh nghiệp phải gánh chịu đến từ việc khắc phục vấn đề và sự sụt giảm hiệu suất làm việc hơn là khoản tiền chuộc thực tế trả cho tin tặc”.

Số giờ mỗi nhân viên dành ra để đối phó với các vụ lừa đảo phishing mỗi năm (Nguồn: Viện Ponemon)

Nghiên cứu cho thấy rằng trong một doanh nghiệp có quy mô trung bình của Mỹ với 9.567 nhân viên, hiệu suất làm việc bị mất đi tương ứng với 63.343 giờ mỗi năm. Như vậy, mỗi nhân viên lãng phí trung bình 7 giờ mỗi năm do lừa đảo, tăng từ 4 giờ/ người/ năm vào 2015.

Các khoản thiệt hại về chi phí do tấn công phishing (Nguồn: Viện Ponemon)

Các nhà nghiên cứu bảo mật phát hiện ra rằng, chi phí trung bình hàng năm cho các vụ tấn công phishing đã tăng từ 3,8 triệu đô la vào năm 2015 lên 14,83 triệu đô la vào năm 2021. Nhìn bảng số liệu trên, có thể thấy, thiệt hại về hiệu suất đã tăng vọt, từ 1,8 triệu đô la vào năm 2015 lên 3,2 triệu đô la vào năm 2021 (thông tin về BEC và ransomware không có sẵn trong năm 2015). Trong nghiên cứu mới nhất năm 2021, chi phí hàng năm cho BEC được ước tính là 5,97 triệu đô la, trong khi chi phí trung bình cho ransomware là 996.000 đô la.

Một số thông tin quan trọng doanh nghiệp cần nắm được 

Mỗi năm, một tổ chức lớn tiêu tốn gần 6 triệu đô la cho BEC. Trong đó, các khoản thanh toán bất hợp pháp cho tin tặc là 1,17 triệu đô la.

  • Ransomware hàng năm tiêu tốn của các tổ chức lớn 5,66 triệu đô la. Trong đó, chỉ có 790,000 đô la là dành cho tiền chuộc.
  • Đào tạo kiến thức an ninh mạng giúp giảm hơn 50% chi phí tổn thất cho các vụ tấn công phishing.
  • Chi phí xử lý lây nhiễm mã độc đã tăng hơn hai lần kể từ năm 2015. Tổng chi phí trung bình để giải quyết các vụ tấn công bằng mã độc năm 2021 là 807.506 đô la, trong khi năm 2015 chỉ tốn 338.098 đô la.
  • Chi phí trung bình để ngăn chặn các vụ vi phạm thông tin xác thực do tấn công phishing đã tăng từ 381.920 đô la vào năm 2015 lên 692.531 đô la vào năm 2021. Các tổ chức đã phải chịu trung bình 5,3 lần xâm phạm trong một năm.
  • Các lãnh đạo trong doanh nghiệp nên lường trước tổn thất tối đa có thể xảy ra. Ví dụ, các vụ tấn công BEC có thể làm gián đoạn kinh doanh, gây ra thiệt hại lên tới 157 triệu đô la nếu doanh nghiệp không chuẩn bị trước. Mã độc dẫn đến việc vi phạm dữ liệu có thể khiến doanh nghiệp thiệt hại lên tới 137 triệu đô la.

Ryan Kalember, phó giám đốc điều hành chiến lược an ninh mạng của Proofpoint cho biết, chi phí cho các vụ vi phạm thông tin xác thực đã bùng nổ trong những năm gần đây. Nguyên nhân là do tin tặc nhắm mục tiêu chính vào nhân viên thay vì hệ thống mạng. “Chỉ khi các tổ chức triển khai cách tiếp cận lấy con người làm trung tâm đối với an ninh mạng thì các cuộc tấn công phishing mới có thể giảm bớt”.