数据泄露平均成本高达310万英镑:人为错误仍是罪魁祸首

在过去五年中,企业数据泄露的成本已经飙升了12%,达到了现在的平均310万英镑(约合392万美元)。

这一数据结果来自IBM公司发起、波耐蒙研究所(Ponemon Institute)完成的《数据泄露年度成本研究报告》,该报告强调了数据泄露为企业带来的财务影响。

该报告同时还指出,49%的数据泄露事件是源于“无意的人为错误”“系统故障”(IBM并未对此给予明确定义);这两种行为为组织带来的损失分别为350万美元和324万美元。

这些成本包括组织在发生违规事件后受到的监管和商业处罚。在欧盟,《通用数据保护条例》(GDPR)正在“大显身手”,英国航空公司(面临1.83亿英镑巨额罚款)和万豪国际(面临9920万英镑罚款)最近都受到了该法案的影响。

IBM在其报告中指出,对于医疗保健、金融服务、能源和医药等受到高度监管的行业组织而言,第二年和第三年的损失成本会更高。

中小型企业(SME)的数据泄露成本

中小型企业的泄露成本尤为令人担忧,正如该报告所强调的一样,员工人数少于500人的公司在面临违规处理后果时仍然要遭受超过200万英镑的损失。

该报告还发现,数据泄露成本通常会在3年内蔓延:平均67%的泄露成本会累计在第一年,22%累计在第二年,11%累计在第三年。

IBM X-Force事件响应和情报服务全球负责人Wendi Whitmore表示,“网络犯罪对于网络犯罪分子而言意味着巨额资金,但不幸的是,这对于企业而言则是重要的损失。仅在过去3年中,组织的117亿多条记录就遭到了泄露或盗窃,组织需要了解数据泄露可能会对其账目盈亏造成的全部财务影响,并关注如何降低这些成本。”

据悉,这一由IBM安全部门发起,Ponemon Institute负责完成的报告,对全球500多家公司的内部人员进行了采访,而这些公司都曾在过去一年内遭遇了数据泄露事件。

此外,安全公司Digital Shadows的早期报告也显示,由于常用文件存储技术的错误配置,导致现有23亿个文件公开暴露在网络上。其中,近一半的文件(10.71亿)是通过服务器消息块(SMB,首次设计于1983年的共享文件技术)协议公开的。其他配置错误的技术还包括FTP服务(20%)、rsync(16%)和网络附加存储设备(3%)。

补充:Ponemon计算数据泄露成本的方法

计算数据泄露的成本是一个很有挑战性的工作,因此,计算模型和方法十分重要。同时,我们必须清楚认识到任何模型都一定存在局限性,因此,对于调查结果数据必须辨证的去看待。

首先是范围的界定。Ponemon定义数据泄露为:个人姓名和医疗记录和/或财务记录或借记卡/信用卡处在潜在风险的事件 – 无论是电子的或纸质的。但不包括知识产权、商业秘密和商业机密信息等高价值信息资产的数据泄露。

其次是计算模型。Ponemon从4个维度去考量成本:检测和响应的成本(包括调查取证、评估审计、危机管理、内部沟通等活动所耗费的成本)、通知成本(包括通过各种方式告知受害人、与司法及主管部门等外部沟通活动所耗费的成本)、善后成本、业务丧失成本(包括业务中断、收入减少、客户流式、商誉减值等)。

根据上述4个维度,Ponemon设计了一套度量指标,然后通过调查问卷访谈获得每个指标的数值(都是由受访者主观填写的),再对这些指标进行计算,计算的时候又分为三种成本数值,分别是直接成本、间接成本和机会成本。然后再计算总的成本,并采用通过蒙特卡洛模拟方法对重大数据泄露事件进行进一步分析。