遭遇数据泄露事件的公司企业平均要损失386万美元,相比去年增加了6.4%。这笔费用对哪家公司而言都不是小数,但几百万美元却仍只是数据泄露事件代价中的一小部分,影响100万条记录以上的数据泄露就远不止这个级别了。

IBM安全委托波耐蒙研究所进行的《2018数据泄露损失研究》评估了安全事件的年度损失,首次计算出丢失100-5000万记录的数据泄露事件可致的损失金额。

评估显示,大型数据泄露代价高昂,百万条记录可致损失4000万美元,5000万条记录可致损失3.5亿美元。

IBM安全副总裁表示,研究人员一直都想探索重大数据泄露的经济影响,但此前缺乏做这项研究的数据。

在没有数据泄露披露法规的三四年前,除非涉及到信用卡,否则公司企业是没有义务披露的,因而那时分析师也就没有更多数据可供参考。

至于数据泄露所致总损失那6.4%的涨幅,百分比本身不是最需要关注的重点,而是持续增长这个事实需引起我们的注意。对消费者和支持公司的潜在影响,已经大到足以获得董事会的关注了。

平均损失将近400万美元,重大数据泄露的损失甚至上亿美元,数据泄露损失持续上升的事实本身就表明了安全行业并未充分发挥作用。

研究显示,近半数数据泄露(48%)源自恶意攻击或犯罪活动,此类泄露是代价最高昂的,人均损失157美元。27%的数据泄露是人为失误导致,比如说粗心大意的员工或承包商,平均损失在131美元。25%的数据泄露由系统故障所致,包括技术性的和业务过程上的,平均损失在128美元。

影响数据泄露损失的因素很多。其中第三方是最主要的因素:如果事件牵涉第三方,每条被盗记录会令公司损失13美元。现代企业都不是孤岛,各有各的供应链和生态圈。云迁移的扩展和合规失误,都导致了数据泄露损失的增长,每条失窃1条记录为总损失贡献12美元。

研究人员如今可以更好地评估的一个因素,是数据泄露损失中的信誉损失,包括客户流失和品牌损害。如果客户因数据泄露事件或需等待交易处理而放弃公司业务,就有可能带来及具破坏力的影响。攻击者会注意到这一点。

不仅仅是数据泄露的潜在影响如今已为人所知,网络罪犯也相当明白这一事实。现有客户流失个1%,数据泄露的平均损失就在270万美元了。客户流失4%,公司企业就可以期待490万美元的平均损失了。

数据泄露披露是又一个代价高昂的因素,其中尤以在美国为最。美国的攻击界面比其他任何国家都大,且有49部数据泄露披露法规要遵守。公司企业在不同司法管辖区需做不同处理,无形中增加了通告用户的成本。

不过,还是有一些操作可以减少数据泄露的经济负担的。

不仅仅是数据泄露预防,还有事件响应。拥有一支安全团队并为缓解做好准备,是来年最能削减泄漏损失的做法(每记录省14美元)。

广泛采用加密是另一个节省数据泄露成本的方法,每条记录能省下13美元;其次就是业务连续性管理(BCM)和员工培训(各能省下9.3美元每记录);参与威胁信息共享能省下8.7美元每记录,采用人工智能平台省8.2美元,运用安全分析则能省6.9美元。

相关阅读

我们可以从历史上最重大的数据泄露事件中学到什么?

从管理的角度预防内部威胁导致的数据泄露

DBIR:四分之一的数据泄露都是公司内部人员所致