IBM 安全事業(yè)部日前公布了一項(xiàng)年度調(diào)研結(jié)果，揭示了數(shù)據(jù)泄露對(duì)企業(yè)財(cái)務(wù)產(chǎn)生的影響。報(bào)告表明，過(guò)去 5 年數(shù)據(jù)泄露成本上升了 12%，目前數(shù)據(jù)泄露的平均成本已達(dá)到 392 萬(wàn)美元。這些不斷增長(zhǎng)的數(shù)字進(jìn)一步說(shuō)明數(shù)據(jù)泄露、不斷增加的法規(guī)以及抵御罪犯攻擊的復(fù)雜流程，將會(huì)對(duì)企業(yè)造成持續(xù)數(shù)年的財(cái)務(wù)影響。

    數(shù)據(jù)泄露對(duì)中小型企業(yè)的財(cái)務(wù)影響尤為嚴(yán)重。調(diào)研表明，員工人數(shù)少于 500 的企業(yè)，數(shù)據(jù)泄露的平均成本超過(guò) 250 萬(wàn)美元，這對(duì)于年收入通常不超過(guò) 5,000 萬(wàn)美元的小型企業(yè)而言無(wú)疑是沉重的損失。

    今年的調(diào)研第一次對(duì)數(shù)據(jù)泄露造成財(cái)務(wù)影響的長(zhǎng)尾效應(yīng)進(jìn)行了研究，結(jié)果表明，數(shù)據(jù)泄露的影響持續(xù)數(shù)年。數(shù)據(jù)泄露成本平均有 67% 出現(xiàn)在事發(fā)后的第一年，但仍有 22% 出現(xiàn)在第二年，另有 11% 在兩年后才會(huì)顯現(xiàn)出來(lái)。對(duì)于醫(yī)療保健、金融服務(wù)、能源和醫(yī)藥等受到嚴(yán)格監(jiān)管的組織機(jī)構(gòu)而言，第二年和第三年的長(zhǎng)尾成本損失相對(duì)會(huì)更高。

    “網(wǎng)絡(luò)犯罪分子通過(guò)網(wǎng)絡(luò)犯罪行為獲得巨額非法收入，但不幸的是，這同時(shí)意味著企業(yè)會(huì)蒙受巨大損失。”IBM X-Force 事件響應(yīng)和情報(bào)服務(wù)全球主管Wendi Whitmore表示，“僅在過(guò)去 3 年，便出現(xiàn)了超過(guò) 117 億條企業(yè)數(shù)據(jù)數(shù)據(jù)丟失或被盜的記錄。因此，這些企業(yè)必須認(rèn)識(shí)到數(shù)據(jù)泄露對(duì)其財(cái)務(wù)情況造成的所有影響，并積極關(guān)注如何降低這些成本和損失。”

    本次“數(shù)據(jù)泄露成本報(bào)告”年度調(diào)研由 IBM 安全事業(yè)部和Ponemon Institute 聯(lián)合開(kāi)展，對(duì)過(guò)去一年中全球范圍內(nèi)遭遇過(guò)數(shù)據(jù)泄露事件的 500 多家企業(yè)進(jìn)行了深入訪談和研究，從而得出結(jié)論。該分析考慮了數(shù)百種成本因素，包括法律、合規(guī)、技術(shù)活動(dòng)以及數(shù)據(jù)泄露帶來(lái)的品牌資產(chǎn)、客戶(hù)和員工生產(chǎn)力損失等。本次調(diào)研的主要結(jié)論包括：

·   惡意數(shù)據(jù)泄露——代價(jià)最高且最常見(jiàn)的數(shù)據(jù)泄露事件：超過(guò) 50% 的數(shù)據(jù)泄露源于惡意網(wǎng)絡(luò)攻擊，給企業(yè)帶來(lái)的平均損失比意外事件引起的數(shù)據(jù)泄露高出 100 萬(wàn)美元。

·         “巨大規(guī)模的數(shù)據(jù)泄露”帶來(lái)巨額損失：此類(lèi)數(shù)據(jù)泄露相對(duì)較少，一旦發(fā)生則會(huì)為企業(yè)帶來(lái)巨大損失。超過(guò) 100 萬(wàn)條記錄的泄露預(yù)計(jì)會(huì)給企業(yè)帶來(lái) 4,200 萬(wàn)美元的損失；而超過(guò) 5,000 萬(wàn)條記錄的泄露預(yù)計(jì)會(huì)帶來(lái) 3.88 億美元的巨額損失。

·   應(yīng)急響應(yīng)，有備無(wú)患：擁有事件響應(yīng)團(tuán)隊(duì)并對(duì)事件響應(yīng)計(jì)劃進(jìn)行了全面測(cè)試的企業(yè)，平均數(shù)據(jù)泄露成本要比二者皆無(wú)的企業(yè)少 123 萬(wàn)美元。

·   美國(guó)的數(shù)據(jù)泄露成本是全球平均水平的兩倍：美國(guó)的數(shù)據(jù)泄露平均成本為 819 萬(wàn)美元，高出全球平均水平兩倍之多。

·   醫(yī)療健康行業(yè)的數(shù)據(jù)泄露成本最高：醫(yī)療保健組織連續(xù)第 9 年“榮登”數(shù)據(jù)泄露成本排行榜榜首，平均達(dá)到 650 萬(wàn)美元（比調(diào)研中的其他行業(yè)高出 60%）。

惡意網(wǎng)絡(luò)攻擊最常見(jiàn) 損失最慘重

    本次調(diào)研發(fā)現(xiàn)，源自惡意網(wǎng)絡(luò)攻擊的數(shù)據(jù)泄露不僅是引發(fā)數(shù)據(jù)泄露事件最常見(jiàn)的根本原因，所造成的代價(jià)也最慘重。惡意數(shù)據(jù)泄露平均給調(diào)研中的受訪企業(yè)帶來(lái) 445 萬(wàn)美元的損失，比系統(tǒng)故障和人為錯(cuò)誤等意外原因?qū)е碌臄?shù)據(jù)泄露高出 100 多萬(wàn)美元。這些數(shù)據(jù)泄露事件帶來(lái)的威脅日益嚴(yán)重，在過(guò)去六年的調(diào)研期間，報(bào)告中因惡意或犯罪攻擊而引發(fā)的數(shù)據(jù)泄露事件的百分比已從 42% 上升至 51%（同比增長(zhǎng) 21%）。

    此外，調(diào)研結(jié)果顯示，人為錯(cuò)誤和系統(tǒng)故障導(dǎo)致的數(shù)據(jù)泄露事件仍占事件總量的近一半（49%），分別給企業(yè)造成了平均 350 萬(wàn)美元和 324 萬(wàn)美元的損失。從人為和機(jī)器錯(cuò)誤導(dǎo)致的數(shù)據(jù)泄露事件中可總結(jié)出改進(jìn)方法，從而降低其發(fā)生的次數(shù)。比如對(duì)員工開(kāi)展安全意識(shí)培訓(xùn)，進(jìn)行技術(shù)投資，以及測(cè)試服務(wù)以盡早發(fā)現(xiàn)意外泄露事件端倪，從而進(jìn)行有效預(yù)防或阻斷。IBM X-Force 威脅情報(bào)指數(shù)顯示，云服務(wù)器配置不當(dāng)是特別值得關(guān)注的數(shù)據(jù)泄露原因之一，這一原因在 2018 年曾導(dǎo)致 9.9 億條記錄被曝光，占全年記錄數(shù)據(jù)丟失總數(shù)的 43%。

提高響應(yīng)能力 降低數(shù)據(jù)泄露成本

    過(guò)去 14 年，Ponemon Institute 一直在對(duì)導(dǎo)致數(shù)據(jù)泄露成本增加或減少的多項(xiàng)因素進(jìn)行深入研究。研究表明，企業(yè)應(yīng)對(duì)數(shù)據(jù)泄露事件的響應(yīng)速度和效率將對(duì)總體成本產(chǎn)生重大影響。

    今年的調(diào)研顯示，數(shù)據(jù)泄露的平均生命周期為 279 天，即在事件發(fā)生后企業(yè)平均需要 206 天才能發(fā)現(xiàn)，另需 73 天才能控制住事件發(fā)展態(tài)勢(shì)。可在200天內(nèi)發(fā)現(xiàn)并有效控制數(shù)據(jù)泄露事件的調(diào)研受訪企業(yè)，其數(shù)據(jù)泄露事件的總體成本可減少 120 萬(wàn)美元。

    此外，關(guān)注于響應(yīng)能力可幫助企業(yè)加快響應(yīng)速度。建立完善的事件響應(yīng)團(tuán)隊(duì)以及對(duì)事件響應(yīng)計(jì)劃開(kāi)展全面測(cè)試是節(jié)省成本的兩項(xiàng)重要舉措。采用這兩項(xiàng)措施的企業(yè)，其數(shù)據(jù)泄露事件的總體平均成本要比二者皆無(wú)的企業(yè)少 123 萬(wàn)美元（前者為 351 萬(wàn)美元，后者為 474 萬(wàn)美元）。

    影響受訪企業(yè)數(shù)據(jù)泄露成本的其他因素包括：

·         遭泄露的記錄數(shù)量：每條丟失或被盜的記錄會(huì)給企業(yè)帶來(lái)約 150 美元的數(shù)據(jù)泄露成本。

·         全面部署了安全自動(dòng)化技術(shù)的企業(yè)，其數(shù)據(jù)泄露成本（平均為 265 萬(wàn)美元）大約是未部署此項(xiàng)技術(shù)的企業(yè)的一半（平均為 516 萬(wàn)美元）。

·         廣泛使用加密技術(shù)也是節(jié)省成本的最重要渠道之一，可使數(shù)據(jù)泄露的總體成本降低 36 萬(wàn)美元。

·         包括合作伙伴或供應(yīng)商在內(nèi)的第三方導(dǎo)致的數(shù)據(jù)泄露給企業(yè)造成的損失平均多出 37 萬(wàn)美元，因此企業(yè)對(duì)合作單位開(kāi)展嚴(yán)格的安全審查、調(diào)整安全標(biāo)準(zhǔn)以及積極監(jiān)控第三方訪問(wèn)權(quán)限也非常重要。

美國(guó)數(shù)據(jù)泄露成本更高

    本次調(diào)研還研究了不同行業(yè)和地區(qū)的數(shù)據(jù)泄露成本的差別，發(fā)現(xiàn)美國(guó)的數(shù)據(jù)泄露成本更高，平均可達(dá) 819 萬(wàn)美元，是調(diào)研中全球受訪企業(yè)平均水平的兩倍多。在過(guò)去 14 年的調(diào)研中，美國(guó)的數(shù)據(jù)泄露成本增長(zhǎng)了 130%，其2006 年的調(diào)研結(jié)果為 354 萬(wàn)美元。

中東地區(qū)的受訪企業(yè)指出，他們每次事件泄露的記錄平均數(shù)量最多近 4 萬(wàn)條（全球平均值約為 2.55 萬(wàn)條）。此外，醫(yī)療保健組織已經(jīng)連續(xù)第 9 年蟬聯(lián)數(shù)據(jù)泄露損失排行榜冠軍，平均成本接近 650 萬(wàn)美元，高出其他行業(yè)總體平均的60%。

標(biāo)簽： 數(shù)據(jù)泄露 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。