Ameriška proizvodna in komunalna podjetja so leta 2022 razkrila skoraj 38 milijonov zapisov v 136 kršitvah podatkov.
V zadnjih treh letih so ameriška podjetja, specializirana za proizvodnjo in komunalne storitve, utrpela 562 kršitev podatkov, ki so vplivale na skoraj 91 milijonov zapisov. Na podlagi povprečnega stroška na prekršen zapis (kot ga vsako leto poroča IBM) ocenjujemo, da so te kršitve ta podjetja morda stale več kot 14,7 milijarde USD. Samo leta 2022 naj bi 136 kršitev podatkov stalo več kot 6 milijard dolarjev.
Leta 2021 so kršitve podatkov o proizvodnji in komunalnih storitvah dosegle najvišjo vrednost vseh časov, in sicer 252 kršitev – kar je 45-odstotno povečanje števila kršitev, ki so se zgodile leta 2020 (174). Leta 2022 se je število kršitev znatno zmanjšalo (za 46 odstotkov) na samo 136 kršitev, vendar so ocenjeni stroški ostali visoki, povprečno število vpletenih zapisov pa je eksponentno naraslo.
Leta 2020 je bilo vdrenih v 2,4 milijona zapisov. Leta 2021 je bilo število vdorov v nebo naraslo na skoraj 50,8 milijona zapisov, leta 2022 pa na dodatnih 37,7 milijona. Velika večina teh prizadetih zapisov je nastala zaradi dveh kršitev podatkov v istem podjetju – T-Mobile – kjer je bilo 47,8 milijona in Porušenih je bilo 37 milijonov zapisov.
Če pogledamo povprečno število izgubljenih zapisov na kršitev, je bilo za leto 2020 samo 20.453. To se je leta 2021 povečalo za več kot 10-krat na 283.564, nato pa se je še dodatno povišalo na 433.319 leta 2022. To kaže, da so se podatki, izgubljeni med vsako od njih, kljub manjšemu številu kršitev v letu 2022 znatno povečali. Podobno se resničnega obsega kršitev pogosto ne čuti več mesecev, če ne celo let, zato bi se lahko povprečno število prizadetih zapisov na kršitev letos še povečalo.
Torej, koliko te kršitve stanejo proizvodna podjetja in komunalna podjetja, kako so se razvijale skozi čas in kakšno grožnjo predstavlja leto 2023 za kršitve podatkov v teh sektorjih?
Naša skupina raziskovalcev je zbrala informacije o kršitvah podatkov o proizvodnji/uporabnosti v zadnjih treh letih. Iskali smo po državnih poročilih o kršitvah podatkov, novicah, sporočilih za javnost in industrijskih poročilih, da bi ustvarili obsežen seznam kršitev, ki so prizadele podjetja po Združenih državah.
Ključne ugotovitve iz leta 2022
- 136 proizvodnih/komunalnih podjetij je utrpelo kršitve podatkov
- Zaradi teh kršitev je bilo prizadetih 37.698.781 zapisov
- Stroški teh prizadetih zapisov so bili več kot 6,18 milijona dolarjev
- Povprečno število porušenih zapisov v letu 2022 je bilo 433.319 na kršitev (53-odstotno povečanje v primerjavi s povprečnimi porušenimi zapisi v letu 2021 – 283.564)
- Kalifornija je imela skupno največ kršitev (17), sledita Ohio (12) in New York (10).
- Washington je imel največ prizadetih zapisov (37 milijonov), velika večina izhaja iz kršitve podatkov T-Mobile novembra 2022
- Kalifornija in Kolorado sta bili edini drugi državi, ki sta poročali o več kot 100.000 porušenih rekordih: 201.977 oziroma 200.000
- Najpogostejša vrsta kršitve je bilo vdiranje z 62 vdori v entitete, ki mu je sledila izsiljevalska programska oprema s 50
Najhuje prizadete države glede kršitev podatkov o proizvodnji in komunalnih storitvah leta 2022
Kalifornija je poročala o največjem številu kršitev podatkov v letu 2022 s skupno 17. Ohio je poročal o 12 kršitvah, New York pa o 10. Tesno sta jima sledila Illinois in Wisconsin s po 8 ter Washington in Virginia s po 7. V 11 zveznih državah leta 2022 ni prišlo do kršitve podatkov o proizvodnji/uporabnosti (Aljaska, Delaware, District of Columbia, Havaji, Idaho, Kansas, Montana, Nova Mehika, Severna Dakota, Zahodna Virginija in Wyoming).
Država z največjim številom podrtih rekordov v letu 2022 je bila Washington z več kot 37 milijoni. Velika večina teh izvira iz kršitve T-Mobilea, ki se je zgodila novembra 2022 in je po hekerskem incidentu razkrila 37 milijonov zapisov strank. Vendar je pomembno omeniti, da čeprav je glavni urad T-Mobile v ZDA v Washingtonu, so ljudje, ki jih je prizadela kršitev, po vsej državi. To verjetno velja tudi za številna druga podjetja. Vendar sta bila vsaka kršitev in število prizadetih zapisov dodeljena državi, v kateri je sedež organizacije.
Kalifornija je imela drugo največje število podrtih rekordov leta 2022 s skoraj 202.000. Ta količina zapisov izvira iz dveh napadov z izsiljevalsko programsko opremo, ki sta se zgodila leta 2022: Nvidia februarja (71.335 porušenih zapisov) in Omnicell, Inc. maja (126.000 porušenih zapisov). Kolorado je bil edina druga država, ki je presegla mejo 100.000 za prekoračene številke zaradi kršitve pri podjetju Colorado Springs Utilities (200.000 zapisov).
Kršitve proizvodnih in komunalnih podatkov ter evidence, na katere vpliva leto in država
Država | Skupno število kršitev | Skupno število zapisov | Število kršitev | # prizadetih zapisov | Število kršitev | # prizadetih zapisov | Število kršitev | # prizadetih zapisov |
Alabama | 9 | 50.241 | 5 | 45,146 | 3 | 4,332 | eno | 763 |
Aljaska | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Arizona | 6 | 33.123 | 2 | 4,131 | 3 | 28.992 | eno | 0 |
Arkansas | 4 | 157.355 | 3 | 155.455 | 0 | 0 | eno | 1.900 |
Kalifornija | 69 | 413.235 | enaindvajset | 142.886 | 31 | 68.372 | 17 | 201.977 |
Kolorado | 7 | 210.117 | 2 | 4,982 | 3 | 5,135 | 2 | 200.000 |
Connecticut | 10 | 7.090 | 3 | 0 | 4 | 5,669 | 3 | 1,421 |
Delaware | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Okrožje Columbia | eno | 8.500 | eno | 8.500 | 0 | 0 | 0 | 0 |
Florida | 19 | 492.994 | enajst | 38.460 | 6 | 454.534 | 2 | 0 |
Georgia | petnajst | 177.244 | 3 | 96.127 | 7 | 28.649 | 5 | 52,468 |
Havaji | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Idaho | 2 | 45.673 | 2 | 45.673 | 0 | 0 | 0 | 0 |
Illinois | 30 | 186.327 | 10 | 22.454 | 12 | 109.798 | 8 | 54.075 |
Indiana | 9 | 13.689 | 3 | 4,909 | 5 | 8,288 | eno | 492 |
Iowa | 9 | 52.481 | 2 | 5,412 | 4 | 6,052 | 3 | 41.017 |
Kansas | 5 | 870.861 | eno | 857.611 | 4 | 13.250 | 0 | 0 |
Kentucky | 5 | 14.899 | 2 | 530 | 2 | 14.114 | eno | 255 |
Louisiana | 5 | 24.196 | 2 | 2,073 | 2 | 22.004 | eno | 119 |
Maine | 4 | 786 | 0 | 0 | 2 | 130 | 2 | 656 |
Maryland | 7 | 124.332 | eno | 102.800 | 4 | 19.613 | 2 | 1.919 |
Massachusetts | 35 | 52.785 | 10 | 15.824 | 19 | 32.136 | 6 | 4,825 |
Michigan | petnajst | 30.553 | 8 | 16.861 | 5 | 12.891 | 2 | 801 |
Minnesota | 14 | 97.757 | 6 | 43.229 | 5 | 51.587 | 3 | 2,941 |
Mississippi | 3 | 9,375 | 0 | 0 | 2 | 8,860 | eno | 515 |
Missouri | 12 | 12,307 | 4 | 5,403 | 7 | 5,561 | eno | 1,343 |
Montana | eno | 2,976 | eno | 2,976 | 0 | 0 | 0 | 0 |
Nebraska | 5 | 6.920 | eno | 0 | 2 | 2,937 | 2 | 3,983 |
Nevada | 5 | 1.481.280 | 3 | 0 | eno | 1.481.280 | eno | 0 |
New hampshire | 9 | 3,824 | 0 | 0 | 6 | 3,761 | 3 | 63 |
New Jersey | 17 | 84.829 | 5 | 7,636 | 10 | 77.193 | 2 | 0 |
Nova Mehika | eno | 0 | 0 | 0 | eno | 0 | 0 | 0 |
New York | 33 | 283.544 | 9 | 263.871 | 14 | 16.649 | 10 | 3,024 |
Severna Karolina | enajst | 12.444 | 3 | 7,432 | 7 | 5,012 | eno | 0 |
Severna Dakota | eno | 12.212 | 0 | 0 | eno | 12.212 | 0 | 0 |
Ohio | 26 | 60.956 | 4 | 8,262 | 10 | 39.895 | 12 | 12.799 |
Oklahoma | 10 | 55.387 | 2 | 25.372 | 7 | 30.015 | eno | 0 |
Oregon | 10 | 58.832 | 3 | 44.735 | 4 | 8,513 | 3 | 5,584 |
Pennsylvania | 17 | 68.204 | 7 | 49.876 | 9 | 17.581 | eno | 747 |
Rhode Island | 3 | petnajst | 0 | 0 | eno | petnajst | 2 | 0 |
juzna Carolina | 5 | 34.126 | 0 | 0 | 3 | 8,099 | 2 | 26.027 |
Južna Dakota | 3 | 6,064 | 0 | 0 | 0 | 0 | 3 | 6,064 |
Tennessee | 6 | 1,551 | 2 | 451 | 3 | 1.100 | eno | 0 |
Teksas | 32 | 593.954 | 13 | 288.392 | petnajst | 301.267 | 4 | 4,295 |
Utah | 6 | 6,493 | 3 | 4,921 | 2 | 897 | eno | 675 |
Vermont | 3 | 10.542 | eno | 10.341 | 0 | 0 | 2 | 201 |
Virginia | 13 | 26.740 | 2 | 6,262 | 4 | 14.300 | 7 | 6,178 |
Washington | 30 | 84.862.209 | 7 | 30.796 | 16 | 47.827.804 | 7 | 37.003.609 |
Zahodna Virginija | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Wisconsin | 19 | 111.132 | 5 | 43.685 | 6 | 9,402 | 8 | 58.045 |
Wyoming | eno | 0 | eno | 0 | 0 | 0 | 0 | 0 |
Kršitve podatkov o stroških proizvodnje in komunalnih storitev po letih
Po navedbah IBM-a je povprečni strošek na zapis, vpleten v kršitev, leta 2022 znašal 162 USD – kar je rahlo povečanje glede na strošek leta 2021, ki je znašal 161 USD. Številka za leto 2022 je najvišja, kar jih je IBM kdaj zabeležil, in s pomočjo teh številk smo lahko ocenili, koliko so te kršitve stale proizvodna/komunalna podjetja.
Od leta 2020 do 2022 so skupni stroški teh vrst kršitev podatkov znašali približno 14,7 milijarde USD.
V zadnjih 2 letih so ocenjeni stroški teh kršitev močno narasli – leta 2020 so bili ocenjeni stroški kršitev 352,4 milijona USD. To se je povečalo za več kot 23-krat in leta 2021 doseglo ogromnih 8,17 milijarde USD. Lani smo sicer videli majhen padec (24 odstotkov) na 6,18 milijarde USD, vendar, kot je bilo že omenjeno, z odkritjem/poročanjem več kršitev v prihodnjem mesecih se bo to verjetno povečalo.
Čeprav so številke že izjemno visoke, so dejanski stroški verjetno precej višji. To ni le zaradi vseh drugih stroškov, povezanih s kršitvijo podatkov (npr. stroški obnovitve in plačila odkupnine), temveč zato, ker nekatere številke niso na voljo za število zapisov, vključenih v kršitve.
Top 5 največjih kršitev proizvodnih/komunalnih podatkov v letu 2022
- T-Mobile – 37 milijonov zapisov: Hekerji so lahko dostopali do imen, naslovov, datumov rojstva in nekaterih podrobnosti o njihovih telefonskih paketih strank T-Mobile. T-Mobile ni našel dokazov, da so zlonamerni akterji pridobili dostop do sistemov ali omrežja podjetja in vse zlonamerne dejavnosti so bile ustavljene že po enem dnevu.
- Colorado Springs Utilities – 200.000 zapisov: Do podatkov o strankah, shranjenih pri enem od podizvajalcev Colorado Springsa, je dostopala nepooblaščena oseba.
- Omnicell, Inc – 126.000 zapisov: Omnicell, Inc. je maja 2022 utrpel napad izsiljevalske programske opreme, ki je vplival na notranje sisteme IT in posledično razkril osebne podatke.
- Nvidia – 71.335 zapisov: Nvidia (največje podjetje za proizvodnjo mikročipov v Ameriki) je utrpela napad izsiljevalske programske opreme in doživela 2-dnevni izpad zaradi skupine izsiljevalske programske opreme LAPSUS$, ki je grozila, da bo izdala 1 TB podatkov.
- Century Aluminium Company – 48.320: Pooblaščena oseba je pridobila dostop do kopij datotek v omrežju Century. O tej kršitvi je malo znanih informacij.
Kršitve proizvodnih in komunalnih podatkov ter zapisi, na katere vpliva mesec in leto
Kot smo že omenili, je bilo leto 2021 največje leto za kršitve podatkov v proizvodnih/komunalnih podjetjih, saj je predstavljalo 45 odstotkov (252) vseh kršitev v zadnjih treh letih. Leta 2022 pa je bilo v povprečju preseženih največ rekordov. To nakazuje, da hekerji iščejo podjetja z ogromno podatkov, da bi z manj napadi povzročili največjo možno motnjo. S krajo velike količine podatkov poveča njihove možnosti za 'nagrado', bodisi z odkupnino za uničenje podatkov bodisi s prodajo podatkov na temnem spletu.
2022
- Skupno število kršitev – 136
- Skupno število prizadetih zapisov – 37.698.781
- Povprečno število prizadetih zapisov – 433.319
- Skupni stroški kršitev – 6,182,600,084 $
2021
- Skupno število kršitev – 252
- Skupno število prizadetih zapisov – 50.757.899
- Povprečno število prizadetih zapisov – 283.564
- Skupni stroški kršitev – 8,172,021,739 $
2020
- Skupno število kršitev – 174
- Skupno število prizadetih zapisov – 2.413.474
- Povprečno število prizadetih zapisov – 20.453
- Skupni stroški kršitev – 352.367.204 $
Vrste kršitev podatkov o proizvodnji in komunalnih storitvah
Od leta 2020 je bila kategorija kršitev, ki je prizadela največ podjetij, vdori z 237 kršitvami, kar je predstavljalo 42 odstotkov vseh vdorov. Napadi z izsiljevalsko programsko opremo so bili prav tako plodni, saj so predstavljali 36 odstotkov vseh kršitev s skupno 204 napadi. Bilo je tudi 32 kršitev notranjih podatkov (npr. kraja s strani zaposlenega ali incident vdora prek ponudnika programske opreme tretje osebe) in 10 nenamernih kršitev razkritja. Nekatere kršitve ostajajo neznane (78), nekatere informacije pa še vedno niso na voljo.
Zgoraj smo že potrdili dve največji kršitvi podatkov z največjim številom prizadetih zapisov (T-Mobile), spodaj je nekaj drugih večjih kršitev podatkov v različnih kategorijah.
- 200 Networks, LLC (februar 2021, DISC) – 1.481.280 zapisov v bazi dnevnikov robotskih klicev je bilo javno dostopnih, potem ko so raziskovalci odkrili, da so javno izpostavljeni brez zaščite z geslom.
- USA Waste-Manegement Resources, LLC (januar 2021, HACK) – Nepooblaščeni akter je vstopil v okolje WM in dostopal do datotek ter jih odstranil številne. 277.000 zapisov je bilo potencialno prizadetih.
- Direct Energy LP (november 2020, RANS) – Med napadom z izsiljevalsko programsko opremo je bilo vdrenih 249.669 zapisov.
- Wilson’s Gun Shop (druga oseba Freestyle Software, Inc.) (september 2020, INSD) – Neodvisno podjetje za programsko opremo (programska oprema Freestyle) je odkrilo, da je bila na strežnik prenesena zlonamerna programska oprema, ki bi lahko vplivala na 113.497 zapisov v Wilson's Gun Shop.
Kako se v letu 2023 iščejo kršitve podatkov o proizvodnji in komunalnih storitvah?
Kot smo že videli, so hekerji postali veliko bolj tarčni v svojem pristopu z velikim premikom k vdorom v »velike« družbe, ki imajo velike nabore podatkov. Naše nedavno poročilo o izsiljevalski programski opremi je pokazalo isti trend.
Najnovejša kršitev T-Mobile je tudi odličen primer vrst vdorov, ki se izvajajo, in bi morala služiti kot ostro opozorilo, da naši podatki ostajajo izjemno ranljivi – tudi potem, ko je podjetje že utrpelo obsežno kršitev. T-Mobile je šele pred kratkim dosegel dogovor o poravnavi v višini 550 milijonov dolarjev za svojo kršitev leta 2021, zaradi katere je bilo v temnem spletu objavljenih 48 milijonov zapisov strank. Če ste v manj kot dveh letih doživeli še eno veliko kršitev, je ključni pokazatelj, da nobena organizacija, ne glede na velikost ali proračun za kibernetsko varnost, ni varna.
Komunalna in proizvodna podjetja so tarče tako kibernetskih kriminalcev, ki iščejo nizko visi sadje, kot tudi prefinjenih državno sponzoriranih napadalcev. Uspešen napad na ta podjetja lahko povzroči obsežne izpade in težave v dobavni verigi, da ne omenjamo ogrožanja zasebnosti strank. Sofisticirani ali ne, večina uspešnih napadov se začne z izkoriščanjem človeških ranljivosti, ne ranljivosti programske opreme, in ta trend se leta 2023 ne bo spremenil.
Metodologija
Z uporabo državnih poročil, novic, sporočil za javnost in industrijskih poročil smo zbrali vse zapise o kršitvah podatkov, do katerih je prišlo v podjetjih, ki so specializirana za proizvodnjo in komunalne storitve – vključno z dvema podkategorijama – proizvodnjo v zdravstvu in proizvodnjo hrane.
Naša raziskava je od leta 2020 do 2022 odkrila skupno 562 kršitev proizvodnih in komunalnih podatkov. Od teh smo ugotovili število zapisov, na katere vpliva vsaka kršitev (če so bili podatki na voljo). Z uporabo teh informacij bi lahko nato uporabili številke, ki jih je zagotovil IBM, da bi ocenili, koliko te kršitve stanejo podjetja. IBM-ova letna številka (npr. 162 USD za leto 2022) je bila dodana številu prizadetih zapisov, da se ustvari ocenjeni skupni izgubljeni znesek.
Za celoten seznam virov zahtevajte dostop tukaj .
Raziskovalec:Charlotte Bond