數(shù)據(jù)泄露的成本不容易定義,但隨著越來越多的組織成為網(wǎng)絡攻擊和暴露的受害者,潛在的財務影響正變得越來越明顯。
對于各種形式和規(guī)模的現(xiàn)代企業(yè)來說,遭受數(shù)據(jù)泄露帶來的經(jīng)濟影響是巨大的。IBM最新的數(shù)據(jù)泄露成本報告發(fā)現(xiàn),在2022年,全球數(shù)據(jù)泄露的平均成本達到了435萬美元的歷史新高。這一數(shù)字比上一年增加了2.6%,比2020年增加了12.7%。
事件類型和嚴重程度、監(jiān)管標準、公司規(guī)模、部門和地區(qū)等因素可能會顯著影響數(shù)據(jù)泄露可能給企業(yè)造成的損失,但所有組織都有必要仔細評估并為即將到來的經(jīng)濟損失做好準備,因為一旦他們成為受害者,可能會遭到比其他更嚴重的破壞或金錢損失。
IBM的2022年報告提到了幾個影響數(shù)據(jù)泄露成本的因素。例如,2022年,醫(yī)療保健領域的平均數(shù)據(jù)泄露增加了近100萬美元,達到1010萬美元,是所有行業(yè)中最高的,而金融機構的數(shù)據(jù)泄露成本排名第二,平均597萬美元。關鍵基礎設施組織的數(shù)據(jù)泄露平均成本通常比其他行業(yè)組織的平均成本高出482萬至100萬美元。
數(shù)據(jù)泄露平均成本最高的5個國家和地區(qū)分別是:美國944萬美元、中東746萬美元、加拿大564萬美元、英國505萬美元和德國485萬美元。
在安全技術和防范方面,對完全部署安全人工智能和自動化的組織的攻擊成本比沒有部署安全人工智能和自動化的組織的攻擊成本低305萬美元。在此次研究中,節(jié)省成本最大的差異有65.2%。擁有事件響應團隊的企業(yè)測試其響應計劃,比沒有團隊且無測試計劃的組織平均少支付266萬美元的成本。
IBM報告發(fā)現(xiàn),當遠程工作是導致數(shù)據(jù)泄露的一個因素時,其成本比遠程工作不是原因的漏洞平均高出近100萬美元。與此同時,據(jù)計算,2022年一次網(wǎng)絡釣魚攻擊的平均成本為491萬美元,而勒索軟件的平均成本為454萬美元,被盜或泄露的證書的平均成本為450萬美元。
專家認為,聲譽受損仍然是組織在2022年最重要的數(shù)據(jù)泄露成本之一。Forrester高級分析師Allie Mellen稱,客戶信任很容易被打破,但很難建立。
UST首席商務官Bob Dutile對此表示認同,他說:“首要的問題是聲譽影響,數(shù)據(jù)泄露的成本通常在市場上相對競爭的變化中體現(xiàn)出來。”“企業(yè)發(fā)現(xiàn),他們的品牌沒有同樣的溢價,客戶轉換成本更高,市場份額流失。對于一家上市公司來說,對成本影響的近期評估會反映在股價走勢上。”
Dutile 表示,不包括最大的泄露和最小的勒索軟件攻擊,研究表明,對于面臨低于 250,000條記錄的中型企業(yè)而言,800萬 - 1000 萬美元是一個適當?shù)膬r格,其中約三分之一的成本將用于因聲譽受損而遭受業(yè)務損失。
Guidehouse 的副主任 Glenn J. Nick稱:“對受害組織繼續(xù)產(chǎn)生重大影響的一個特殊成本是知識產(chǎn)權的盜竊/損失。” “媒體傾向于在數(shù)據(jù)泄露期間關注客戶數(shù)據(jù),但失去知識產(chǎn)權可能會破壞公司的發(fā)展,”他說。“被盜的專利、工程設計、商業(yè)秘密、版權、投資計劃和其他專有和機密信息可能導致公司喪失競爭優(yōu)勢、收入損失以及持久且可能無法彌補的經(jīng)濟損失。”
Coalfire的Field CISO Jason Hicks表示,對于一個被網(wǎng)絡入侵的組織來說,業(yè)務宕機的成本可能會非常高,這取決于宕機的水平和程度,以及公司對技術的依賴程度。“通常情況下,漏洞不會讓一家公司完全下線,但它是有可能發(fā)生的。越關鍵的系統(tǒng)被摧毀,成本就越高。”
隨著越來越嚴格的數(shù)據(jù)保護和隱私法律以及訴訟,越來越多的公司在數(shù)據(jù)泄露和不合規(guī)后被處以巨額罰款、和解金并支付法律費用。這種情況今年已經(jīng)發(fā)生了好幾次。
滴滴被國家互聯(lián)網(wǎng)信息辦公室罰款80.26億元(11.9億美元),原因是該公司違反了國家的網(wǎng)絡安全、數(shù)據(jù)安全和個人信息保護法。與此同時,亞馬遜因違反 GDPR cookie 規(guī)則而被罰款 8.77 億美元,T-Mobile 同意支付 3.5 億美元以解決從 2021 年初開始的數(shù)據(jù)泄露事件后的集體訴訟,谷歌同意支付 6000 萬美元,因為在獲取位置數(shù)據(jù)方面誤導澳大利亞用戶。
IBM的2022年報告發(fā)現(xiàn),在監(jiān)管嚴格的行業(yè),平均24%的數(shù)據(jù)泄露成本是在數(shù)據(jù)泄露發(fā)生兩年以上后產(chǎn)生的。無論是受到數(shù)據(jù)保護法規(guī)的懲罰,還是解決個人或團體提出的集體訴訟索賠,還是支付法律代表/總法律顧問的費用,現(xiàn)實情況是,所有企業(yè)都應該計劃好圍繞數(shù)據(jù)泄露的潛在監(jiān)管和訴訟支出。
Nick說:“受監(jiān)管的行業(yè)不僅要承受應對、控制和彌補漏洞的直接成本,還要承受監(jiān)管機構的額外懲罰和法律和解的長期影響。”他補充稱,醫(yī)療保健和金融服務等監(jiān)管嚴格的行業(yè),通常是每次違規(guī)排名的前兩名,因為它們將支付比其他行業(yè)更多的違規(guī)罰款。
根據(jù)IBM的2022年報告,在被調查的550家數(shù)據(jù)泄露的組織中,有 62% 的人表示他們沒有足夠的人員來滿足他們的安全需求,比那些有足夠人員的組織平均多出55萬美元的數(shù)據(jù)泄露成本。
無論具體的成本是多少,專家們一致認為,做好準備是管理數(shù)據(jù)泄露帶來的經(jīng)濟影響的關鍵。提前檢測存儲數(shù)據(jù)相關軟件安全漏洞,數(shù)據(jù)是否進行備份及加密,數(shù)據(jù)泄露應急預案等,做好數(shù)據(jù)安全防御準備。Dutile說:“更快的事件響應將繼續(xù)成為降低違規(guī)成本的一個明顯因素。”“最嚴重的損失是那些長時間未被發(fā)現(xiàn)或反應緩慢或無效的人。”