Egy év leforgása alatt, a 2013-ban mért 145 dollárhoz képest az adatlopás okozta kár 12 százalékkal nőtt. Ennél jóval nagyobb arányban, 23 százalékkal lett nagyobb az ilyen biztonsági események nyomán keletkező kár teljes összege, amely az első negyedévben átlagosan 3,79 millió dollár volt.
Tizenegy ország 350 vállalatát kérdezte meg a Ponemon Institute az IBM megbízásából készült felmérésében (2015 Cost of Data Breach Study). A válaszokból kiderült, hogy az adatonkénti kár az Egyesült Államokban volt a legmagasabb (217 dollár), amit Németország 211 dollárral követett a rangsorban, míg a legkisebb kár az indiai szervezeteket érte, ellopott adatonként 56 dollár.
Ha az iparágakat tekintjük, a legnagyobb, adatonként 363 dolláros kárt az egészségügy szenvedte el. Magyarázható ez azzal, hogy az egészségügyi nyilvántartások rendkívül sok személyes adatot tartalmaznak, amelyeknek az élettartama is sokkal hosszabb, mint például egy hitelkártya-számé. Az adatlopás felfedezésekor a kártyakibocsátó gyorsan letiltja az érintett hitelkártyákat, a támadóknak sokkal kevesebb idejük marad a zsákmány hasznosítására, mint a személyi, társadalombiztosítási és más számok, azonosítók esetében. Ezek még hosszú évek múltán is felhasználhatók egészségbiztosítási és más csalásokhoz, amelyek továbbnövelik a tanulmányban szereplő kárösszeget.
Több tényező is csökkenti a Ponemon szerint az adatlopással okozott kár összegét: a szervezetnél már meglévő, gyors reagálású incidenskezelő csapat például adatonként 12,6 dollárral, a titkosítás kiterjedt alkalmazása 12 dollárral, míg a foglalkoztatottak oktatása 8 dollárral. További 7-4 dollárral csökkentette a kárösszeget az üzletmenet-folytonosságért felelő csapat megléte, illetve bevonása az eseménykezelésbe, a CISO által irányított válaszadás, illetve a kiberbiztosítás.
Nőtt viszont a kár összege (adatonként 4,95 dollárral) azon szervezeteknél, amelyeknél külső tanácsadót kellett segítségül hívni a biztonsági esemény kezeléséhez. Ha az adatokkal együtt eszközöket is elloptak, a kár adatonként 9 dollárral nagyobb lett. A legnagyobb mértékben (adatonként 16 dollárral) olyan incidenseknél ugrott meg a kár összege, amelyeknél az adatlopás harmadik felet – például partnert – is érintett.
Egyenes arányban áll a kárösszeg az adatlopás felfedezéséhez szükséges idővel is. A szervezetek a kívülről érkező támadásokat átlagosan 256 nap múltán fedezték fel, és további 82 napba telt, mire teljesen elszigetelték és hatástalanították azokat. A rendszerekben levő hibák miatt szivárgó adatok esetében ehhez 173 plusz 60 nap kellett. Leggyorsabban az emberi hibából bekövetkező adatszivárgásokra derült fény, 158 nap alatt, megszüntetésükhöz átlagosan 57 nap is elegendőnek bizonyult.
