數據泄露財務影響持續數年 損失最高可占企業年收入5%

2019-08-09 09:27:14 作者: 出處 :

IBM安全事業部日前公布了一項年度調研結果,揭示了數據泄露對企業財務產生的影響。報告表明,過去 5 年數據泄露成本上升了 12%,目前數據泄露的平均成本已達到 392 萬美元。這些不斷增長的數字進一步說明數據泄露、不斷增加的法規以及抵御罪犯攻擊的復雜流程,將會對企業造成持續數年的財務影響。

數據泄露對中小型企業的財務影響尤為嚴重。調研表明,員工人數少于 500 的企業,數據泄露的平均成本超過 250 萬美元,這對于年收入通常不超過5,000 萬美元的小型企業而言無疑是沉重的損失。

今年的調研第一次對數據泄露造成財務影響的長尾效應進行了研究,結果表明,數據泄露的影響持續數年。數據泄露成本平均有 67% 出現在事發后的第一年,但仍有 22% 出現在第二年,另有 11% 在兩年后才會顯現出來。對于醫療保健、金融服務、能源和醫藥等受到嚴格監管的組織機構而言,第二年和第三年的長尾成本損失相對會更高。

“網絡犯罪分子通過網絡犯罪行為獲得巨額非法收入,但不幸的是,這同時意味著企業會蒙受巨大損失。”IBM X-Force 事件響應和情報服務全球主管Wendi Whitmore表示,“僅在過去 3 年,便出現了超過 117 億條企業數據數據丟失或被盜的記錄。因此,這些企業必須認識到數據泄露對其財務情況造成的所有影響,并積極關注如何降低這些成本和損失。”

本次“數據泄露成本報告”年度調研由 IBM 安全事業部和Ponemon Institute 聯合開展,對過去一年中全球范圍內遭遇過數據泄露事件的 500 多家企業進行了深入訪談和研究,從而得出結論。該分析考慮了數百種成本因素,包括法律、合規、技術活動以及數據泄露帶來的品牌資產、客戶和員工生產力損失等。本次調研的主要結論包括:

· 惡意數據泄露——代價最高且最常見的數據泄露事件:超過 50% 的數據泄露源于惡意網絡攻擊,給企業帶來的平均損失比意外事件引起的數據泄露高出 100 萬美元。

· “巨大規模的數據泄露”帶來巨額損失:此類數據泄露相對較少,一旦發生則會為企業帶來巨大損失。超過 100 萬條記錄的泄露預計會給企業帶來 4,200 萬美元的損失;而超過 5,000 萬條記錄的泄露預計會帶來 3.88 億美元的巨額損失。

· 應急響應,有備無患:擁有事件響應團隊并對事件響應計劃進行了全面測試的企業,平均數據泄露成本要比二者皆無的企業少 123 萬美元。

· 美國的數據泄露成本是全球平均水平的兩倍:美國的數據泄露平均成本為 819 萬美元,高出全球平均水平兩倍之多。

· 醫療健康行業的數據泄露成本最高:醫療保健組織連續第 9 年“榮登”數據泄露成本排行榜榜首,平均達到 650 萬美元(比調研中的其他行業高出 60%)。

惡意網絡攻擊最常見 損失最慘重

本次調研發現,源自惡意網絡攻擊的數據泄露不僅是引發數據泄露事件最常見的根本原因,所造成的代價也最慘重。惡意數據泄露平均給調研中的受訪企業帶來 445 萬美元的損失,比系統故障和人為錯誤等意外原因導致的數據泄露高出 100 多萬美元。這些數據泄露事件帶來的威脅日益嚴重,在過去六年的調研期間,報告中因惡意或犯罪攻擊而引發的數據泄露事件的百分比已從 42% 上升至 51%(同比增長 21%)。

此外,調研結果顯示,人為錯誤和系統故障導致的數據泄露事件仍占事件總量的近一半(49%),分別給企業造成了平均 350 萬美元和 324 萬美元的損失。從人為和機器錯誤導致的數據泄露事件中可總結出改進方法,從而降低其發生的次數。比如對員工開展安全意識培訓,進行技術投資,以及測試服務以盡早發現意外泄露事件端倪,從而進行有效預防或阻斷。IBM X-Force 威脅情報指數顯示,云服務器配置不當是特別值得關注的數據泄露原因之一,這一原因在 2018 年曾導致 9.9 億條記錄被曝光,占全年記錄數據丟失總數的 43%。

提高響應能力 降低數據泄露成本

過去 14 年,Ponemon Institute 一直在對導致數據泄露成本增加或減少的多項因素進行深入研究。研究表明,企業應對數據泄露事件的響應速度和效率將對總體成本產生重大影響。

今年的調研顯示,數據泄露的平均生命周期為 279 天,即在事件發生后企業平均需要 206 天才能發現,另需 73 天才能控制住事件發展態勢。可在200天內發現并有效控制數據泄露事件的調研受訪企業,其數據泄露事件的總體成本可減少 120 萬美元。

此外,關注于響應能力可幫助企業加快響應速度。建立完善的事件響應團隊以及對事件響應計劃開展全面測試是節省成本的兩項重要舉措。采用這兩項措施的企業,其數據泄露事件的總體平均成本要比二者皆無的企業少 123 萬美元(前者為 351 萬美元,后者為 474 萬美元)。

影響受訪企業數據泄露成本的其他因素包括:

· 遭泄露的記錄數量:每條丟失或被盜的記錄會給企業帶來約 150 美元的數據泄露成本。

· 全面部署了安全自動化技術的企業,其數據泄露成本(平均為 265 萬美元)大約是未部署此項技術的企業的一半(平均為 516 萬美元)。

· 廣泛使用加密技術也是節省成本的最重要渠道之一,可使數據泄露的總體成本降低 36 萬美元。

· 包括合作伙伴或供應商在內的第三方導致的數據泄露給企業造成的損失平均多出 37 萬美元,因此企業對合作單位開展嚴格的安全審查、調整安全標準以及積極監控第三方訪問權限也非常重要。

美國數據泄露成本更高

本次調研還研究了不同行業和地區的數據泄露成本的差別,發現美國的數據泄露成本更高,平均可達 819 萬美元,是調研中全球受訪企業平均水平的兩倍多。在過去 14 年的調研中,美國的數據泄露成本增長了 130%,其2006 年的調研結果為 354 萬美元。

中東地區的受訪企業指出,他們每次事件泄露的記錄平均數量最多近 4 萬條(全球平均值約為 2.55 萬條)。此外,醫療保健組織已經連續第 9 年蟬聯數據泄露損失排行榜冠軍,平均成本接近 650 萬美元,高出其他行業總體平均的60%。