Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > 3 Kostenverhogende factoren en risico op datalekken in IBM’s 2023 Cost of a Data Breach Report
3 Kostenverhogende factoren en risico op datalekken in IBM’s 2023 Cost of a Data Breach Report

3 Kostenverhogende factoren en risico op datalekken in IBM’s 2023 Cost of a Data Breach Report

by Patrick Spencer updated september 1, 2025 Beheer van cyberbeveiligingsrisico's
Reading Time: 7 minutes

Het IBM 2023 Cost of a Data Breach Report biedt cruciale inzichten in het veranderende landschap van cyberbeveiligingsdreigingen en de bijbehorende kosten voor organisaties wereldwijd. Net zoals professionals op het gebied van cyberbeveiliging en risicobeheer het Verizon Data Breach Investigations Report gebruiken om dreigingstrends te identificeren, geldt het rapport van IBM, uitgevoerd door het Ponemon Institute, als graadmeter voor de financiële, merkreputatie- en nalevingsimpact van de resulterende datalekken. De twee rapporten bieden ons samen betrouwbare meetgegevens voor het bepalen van de risicopositie.

Kosten van datalekken en het meten van privacy en naleving bij communicatie van gevoelige inhoud

Het rapport van IBM van dit jaar, dat al 18 jaar op rij wordt gepubliceerd, introduceert enkele belangrijke ontwikkelingen op het gebied van aanvalsvectoren en kostenimplicaties die nader onderzoek vereisen. Deze Blog Post heeft als doel de belangrijkste bevindingen uit het rapport te bespreken en samen te vatten, met de focus op de gemiddelde kosten van datalekken, het effect van diverse beveiligingspraktijken op deze kosten, de verschillende soorten gegevens waarop cybercriminelen en malafide staten zich richten, en de opkomst van software supply chain-aanvallen. Enkele van de meest opvallende overkoepelende inzichten zijn:

  • De kosten van datalekken bereikten een recordhoogte van US$4,45 miljoen
  • De zorgsector stond opnieuw bovenaan, voor het 13e jaar op rij, met een gemiddelde kostprijs van US$10,93 miljoen per datalek
  • 82% van de datalekken betrof gegevens in de cloud—publiek, privaat of in meerdere omgevingen
  • Hoe langer de verblijftijd, hoe hoger de kosten van een datalek: het gemiddelde kostenverschil tussen datalekken die meer dan 200 dagen duurden om te ontdekken en op te lossen en die minder dan 200 dagen duurden: US$1,02 miljoen
  • Slechts de helft van de organisaties is bereid meer uit te geven aan beveiliging

Tegelijkertijd, nu wij ons jaarlijkse Sensitive Content Communications Privacy and Compliance Report hebben gepubliceerd, zullen lezers het waarschijnlijk interessant vinden om enkele van onze bevindingen naast die uit het IBM-rapport te leggen. De gedetailleerde analyse duikt dieper in de belangrijkste bevindingen van het IBM-rapport en brengt de parallellen en verschillen in hun conclusies in kaart, waardoor een volledig beeld ontstaat van het huidige cyberbeveiligingslandschap.

Software supply chain-aanvallen

Een van de meest opvallende observaties uit het IBM-rapport was het aantal software supply chain-aanvallen als bron van datalekken. Bij deze aanvallen dringen kwaadwillenden het netwerk van een softwareleverancier binnen en manipuleren ze de software om de gegevens of systemen van klanten te compromitteren. Waar dreigingen voorheen vaak werden gezien als externe aanvallen die direct op de infrastructuur van een bedrijf waren gericht, is de nieuwe golf van aanvallen veel sluwer.

Uit het IBM-rapport blijkt dat de software supply chain het afgelopen jaar verantwoordelijk was voor 12% van de datalekken. Dit geeft een duidelijke verschuiving in cyberaanvalmethoden weer en benadrukt dat organisaties hun beveiligingsmaatregelen voor hun software supply chains moeten heroverwegen. Software supply chain-aanvallen laten zien hoe kwetsbaarheden in het digitale ecosysteem wijdverspreide schade kunnen veroorzaken.

Met name aanvallen op beheerde bestandsoverdracht, zoals die op GoAnywhere en MOVEit, zijn voorbeelden van dit nieuwe type dreiging. Deze aanvallen kunnen gevoelige gegevens in tal van sectoren blootstellen en honderden of zelfs duizenden bedrijven tegelijkertijd treffen. Het is essentieel dat organisaties de beveiligingspraktijken van hun softwareleveranciers evalueren en overwegen om verbeterde cyberbeveiligingsmaatregelen te implementeren om zich te beschermen tegen deze opkomende dreigingen.

Sensitive Content Communications Privacy and Compliance Risk Through the Lens of IBM's 2023 Cost of a Data BreachReport

Business partner/derde partij-aanvallen

Voortbouwend op de bevindingen rond de software supply chain, stelde het IBM-rapport vast dat zakelijke partners van derden ook een aanzienlijk risico op datalekken vormen: 15% van de organisaties identificeerde hen als bron van een datalek. Supply chain-compromitteringen via zakelijke partners kostten gemiddeld US$4,76 miljoen per datalek, 11,8% hoger dan het gemiddelde van een datalek. Een van de redenen hiervoor, aldus IBM, is de lange verblijftijd: het duurde gemiddeld 233 dagen om een supply chain-compromittering via een zakelijke partner te identificeren en 74 dagen om deze in te dammen. Dit is 37 dagen, ofwel 12,8%, langer dan het gemiddelde datalek.

Dit sluit zeker aan bij wat wij rapporteerden in het Kiteworks-onderzoek. Maar liefst 84% gaf aan dat er ten minste enige verbetering nodig is in het risicobeheer van communicatie met derden binnen hun organisatie. Meer dan 4 op de 10 gaf aan dat aanzienlijke verbetering nodig is, en sommigen zeiden zelfs dat ze een volledige “herstart” nodig hebben.

Drie kostenverhogers en datalekrisico

Uit het IBM-rapport blijkt dat de wereldwijde gemiddelde kosten van een datalek zijn gestegen tot $4,45 miljoen, een stijging van 15% in de afgelopen drie jaar. De impact van diverse kostenverhogers op deze gemiddelde kosten werd ook onderzocht door het Ponemon Institute. Er werden vergelijkingen gemaakt tussen organisaties met de hoogste en laagste niveaus van toonaangevende kostenverhogers, wat inzicht geeft in de financiële gevolgen van verschillende niveaus van paraatheid en responsiviteit. De grootste kostenverhogers volgens het IBM-rapport waren complexiteit van het beveiligingssysteem, tekort aan beveiligingsvaardigheden en het niet naleven van regelgeving. Deze bevinding sluit aan bij de conclusie uit het Kiteworks-rapport, waarin werd vastgesteld dat cyberaanvallen bij 62% van de organisaties tot financiële schade hebben geleid.

1. Complexiteit van het beveiligingssysteem en datalekrisico

Organisaties met een hogere mate van complexiteit in hun beveiligingssysteem lopen meer risico, aldus het IBM-rapport. Organisaties met weinig of geen complexiteit in hun beveiligingssysteem hadden een gemiddelde kostprijs van US$3,84 miljoen per datalek. Daarentegen zagen organisaties die toegaven aan een hoge mate van complexiteit een gemiddelde kostprijs van US$5,28 miljoen—een verschil van 31,6%.

Bevindingen in het Kiteworks-rapport lieten vergelijkbare resultaten zien als het gaat om communicatietools die worden gebruikt om gevoelige inhoud te verzenden en te delen. De helft van de respondenten in de enquête gaf aan inhoud te delen via zes of meer kanalen. Het beheren van deze diverse communicatietools is zeer complex, wat wordt versterkt door het grote aantal derden waarmee gevoelige inhoud wordt uitgewisseld; 90% deelt gevoelige inhoud met meer dan 1.000 derden, terwijl 44% dit doet met meer dan 2.500 derden. Bovendien gebruikt 85% van de organisaties vier of meer systemen om communicatie van gevoelige inhoud te volgen, te beheren en te beveiligen. De conclusie: net als het IBM-rapport laat zien, verhoogt complexiteit in communicatie van gevoelige inhoud het risico.

2. Cybersecurityvaardigheden en datalekrisico

Het IBM-rapport constateert een verschil van US$1,58 miljoen (34,6%) tussen hoge en lage niveaus van tekort aan beveiligingsvaardigheden. Een hoog tekort aan beveiligingsvaardigheden leidde tot een gemiddelde kostprijs van US$5,36 miljoen, US$910.000 hoger dan het gemiddelde van een datalek. Het rapport suggereert dat investeren in vaardigheidsontwikkeling en het waarborgen van een goed bemand beveiligingsteam de kosten van datalekken aanzienlijk kan verlagen.

Deze bevindingen onderstrepen de duidelijke noodzaak om te investeren in vaardigheidsontwikkeling en het waarborgen van een goed bemand beveiligingsteam, een perspectief dat verder wordt ondersteund door het Kiteworks-rapport. Het Kiteworks-rapport licht toe hoe organisaties moeite hebben met het meten en beheren van beveiligings- en nalevingsrisico’s, voornamelijk door gebrekkig bestuur en beveiliging, wat waarschijnlijk te herleiden is tot een gebrek aan gekwalificeerd personeel.

3. Naleving van regelgeving en datalekrisico

De digitale wereld bevindt zich stevig in een tijdperk van naleving. Dit vraagt om een heroverweging van cyberbeveiliging, digitaal rechtenbeheer en naleving van regelgeving. Volgens het IBM-rapport laten organisaties met een hoog niveau van niet-naleving van regelgeving een gemiddelde kostprijs van US$5,05 miljoen per datalek zien, vergeleken met US$4,01 miljoen voor organisaties met een laag niveau van niet-naleving—een verschil van 23% of US$1,04 miljoen.

Overstappend naar het Kiteworks-rapport is het belangrijk te beseffen dat het risico rond communicatie van gevoelige inhoud niet alleen beperkt is tot datalekken, maar ook sterk draait om naleving. Veel mensen koppelen naleving aan overheidsregulering, en inderdaad, wereldwijde bedrijven die in meerdere rechtsbevoegdheden opereren, zijn onderworpen aan een breed scala aan dergelijke regelgeving. Maar het zijn niet alleen wetten en regels die nalevingsvereisten bepalen. Branche-specifieke voorschriften, zoals PCI DSS voor partijen die betalingstransacties verwerken, spelen ook een rol.

Met al deze nalevingsvereisten worden voorbereidingen op audits een vast onderdeel van de agenda van risicomanagement- of IT-beveiligingsteams. Deze audits kunnen ook plaatsvinden na een cyberincident, wat de potentiële bedrijfsrisico’s van een mislukte audit onderstreept. Onderzoeksresultaten bieden een inkijkje in de stand van zaken rond risicobeheer voor naleving bij communicatie van gevoelige inhoud, waarbij ongeveer een kwart van de respondenten aangeeft dat er geen verbetering nodig is bij het meten of beheren van nalevingsrisico’s.

Identificatie van datalekken

Wat betreft het identificeren van datalekken werd 40% van de lekken ontdekt door een onschuldige derde partij of buitenstaander, terwijl 33% werd opgespoord door interne teams en tools. Opvallend is dat 27% van de datalekken werd gemeld door de aanvaller zelf, vaak als onderdeel van een ransomware-aanval.

Datalekken die door aanvallers werden gemeld, hadden een gemiddelde kostprijs van US$5,23 miljoen, wat 19,5% of US$930.000 hoger was dan het gemiddelde van datalekken die werden ontdekt door interne beveiligingsteams of tools (US$4,30 miljoen). Datalekken die door de eigen beveiligingsteams en tools van een organisatie werden geïdentificeerd, waren aanzienlijk goedkoper, bijna US$1 miljoen minder dan incidenten die door de aanvaller zelf werden gemeld. Deze informatie benadrukt het belang van robuuste interne beveiligingsmaatregelen voor vroege detectie en beperking van datalekken.

Gegevenstype en kosten van datalekken

Als het gaat om het type gecompromitteerde gegevens, waren klant- en werknemersgegevens met persoonlijk identificeerbare informatie (PII) het duurst, met een gemiddelde kostprijs van respectievelijk US$183 en US$181 per record. Ter vergelijking: het goedkoopste type gecompromitteerde gegevens was geanonimiseerde klantgegevens, met een kostprijs van US$138 per record voor organisaties.

Er werd een stijging geconstateerd in het percentage datalekken waarbij klant-PII betrokken was, van 47% in 2022 naar 52% in 2023, terwijl gecompromitteerde werknemers-PII ook steeg van 26% in 2021 naar 40% in 2023. Dit wijst op een gerichte aanval op waardevollere gegevenstypen, wat het belang onderstreept voor bedrijven om hun cyberbeveiligingsmaatregelen te versterken.

Het risico dat in het IBM-rapport wordt benoemd, wordt bevestigd door bevindingen uit het Kiteworks-rapport. Meer dan de helft van de deelnemers plaatste PII, PHI en juridische documenten in de top drie. Regionale verschillen weerspiegelden diverse nalevingszorgen. In Europa en Azië-Pacific, waar GDPR en vergelijkbare wetgeving geldt, krijgt PII prioriteit. Noord-Amerikanen, waar HIPAA een belangrijke nalevingsvereiste is, maakten zich meer zorgen over PHI. Opvallend is dat in het Midden-Oosten intellectueel eigendom (IP) als een veel groter risico werd gezien, met 60% die het in de top drie plaatste.

Er werden ook branche-specifieke verschillen geconstateerd, hoewel de meeste te verwachten of logisch waren. Er was meer aandacht voor juridische documenten in de financiële sector, het hoger onderwijs en de zorg. Fusies en overnames (M&A) kregen prioriteit bij advocatenkantoren, professionele dienstverleners en farmaceutische/life sciences-bedrijven. Financiële documenten waren een belangrijker aandachtspunt bij lokale overheden, terwijl PHI belangrijker was bij energie- en nutsbedrijven en federale overheidsinstanties. Opvallend is dat de zorgsector minder bezorgd was over PHI, vermoedelijk omdat daar al robuuste beschermingsmaatregelen zijn getroffen.

Belangrijkste inzichten uit beide rapporten op een rij

De bevindingen van het IBM 2023 Cost of a Data Breach Report onderstrepen de voortdurende uitdagingen waarmee bedrijven worden geconfronteerd bij het beveiligen van hun gegevens en netwerken. Software supply chain-aanvallen, tekorten aan beveiligingsvaardigheden en systeemcomplexiteit, naast andere factoren, hebben een aanzienlijke invloed op de kosten van een datalek. Nu cyberdreigingen zich blijven ontwikkelen, is het essentieel dat bedrijven vooroplopen door te investeren in hun cyberbeveiligingsinfrastructuur en -praktijken, zodat ze effectief kunnen reageren op elk scenario van een datalek.

Wanneer de bevindingen uit het IBM-rapport naast die uit het Kiteworks 2023 Sensitive Content Communications Privacy and Compliance Report worden gelegd, komen er interessante inzichten en conclusies naar voren. Persoonlijke PII- en PHI-gegevens zijn een doelwit en naarmate de complexiteit van communicatiesystemen waarmee die gegevens worden verzonden en gedeeld toeneemt, groeit ook het risico. Naleving van regelgeving heeft volgens het IBM-rapport een positief effect op het risicoprofiel. Naarmate het aantal privacy- en cyberbeveiligingsregels toeneemt en de complexiteit ervan groeit, moeten organisaties zorgen dat ze over de juiste technologische hulpmiddelen beschikken om hun risico’s te beheren.

Organisaties die hulp zoeken bij het beheren van hun beveiligings- en nalevingsrisico’s rondom communicatie van gevoelige inhoud, kunnen een op maat gemaakte demo van het Kiteworks Private Content Network aanvragen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks