數據泄露的成本不容易定義��,但隨著越來越多的組織成為網絡攻擊和暴露的受害者�,潛在的財務影響正變得越來越明顯��。
對于各種形式和規模的現代企業來說,遭受數據泄露帶來的經濟影響是巨大的����。IBM最新的數據泄露成本報告發現�,在2022年�����,全球數據泄露的平均成本達到了435萬美元的歷史新高�。這一數字比上一年增加了2.6%����,比2020年增加了12.7%�����。
事件類型和嚴重程度�、監管標準����、公司規模���、部門和地區等因素可能會顯著影響數據泄露可能給企業造成的損失,但所有組織都有必要仔細評估并為即將到來的經濟損失做好準備���,因為一旦他們成為受害者���,可能會遭到比其他更嚴重的破壞或金錢損失����。
影響數據泄露成本的因素
IBM的2022年報告提到了幾個影響數據泄露成本的因素�。例如�,2022年��,醫療保健領域的平均數據泄露增加了近100萬美元,達到1010萬美元���,是所有行業中最高的,而金融機構的數據泄露成本排名第二��,平均597萬美元���。關鍵基礎設施組織的數據泄露平均成本通常比其他行業組織的平均成本高出482萬至100萬美元�����。
數據泄露平均成本最高的5個國家和地區分別是:美國944萬美元�����、中東746萬美元、加拿大564萬美元�����、英國505萬美元和德國485萬美元。
在安全技術和防范方面�,對完全部署安全人工智能和自動化的組織的攻擊成本比沒有部署安全人工智能和自動化的組織的攻擊成本低305萬美元�。在此次研究中�����,節省成本最大的差異有65.2%。擁有事件響應團隊的企業測試其響應計劃����,比沒有團隊且無測試計劃的組織平均少支付266萬美元的成本��。
IBM報告發現,當遠程工作是導致數據泄露的一個因素時�����,其成本比遠程工作不是原因的漏洞平均高出近100萬美元��。與此同時��,據計算�����,2022年一次網絡釣魚攻擊的平均成本為491萬美元,而勒索軟件的平均成本為454萬美元�,被盜或泄露的證書的平均成本為450萬美元�����。
聲譽損失仍然是數據泄露的最大成本之一
專家認為�,聲譽受損仍然是組織在2022年最重要的數據泄露成本之一�����。Forrester高級分析師Allie Mellen稱�����,客戶信任很容易被打破,但很難建立���。
UST首席商務官Bob Dutile對此表示認同,他說:“首要的問題是聲譽影響�,數據泄露的成本通常在市場上相對競爭的變化中體現出來����。”“企業發現�����,他們的品牌沒有同樣的溢價,客戶轉換成本更高�,市場份額流失��。對于一家上市公司來說����,對成本影響的近期評估會反映在股價走勢上���。”
Dutile 表示,不包括最大的泄露和最小的勒索軟件攻擊���,研究表明�����,對于面臨低于 250,000條記錄的中型企業而言�,800萬 - 1000 萬美元是一個適當的價格����,其中約三分之一的成本將用于因聲譽受損而遭受業務損失���。
Guidehouse 的副主任 Glenn J. Nick稱:“對受害組織繼續產生重大影響的一個特殊成本是知識產權的盜竊/損失�。” “媒體傾向于在數據泄露期間關注客戶數據�,但失去知識產權可能會破壞公司的發展,”他說�����。“被盜的專利����、工程設計�、商業秘密���、版權、投資計劃和其他專有和機密信息可能導致公司喪失競爭優勢��、收入損失以及持久且可能無法彌補的經濟損失�����。”
嚴重的業務停機可能會導致組織損失數百萬
Coalfire的Field CISO Jason Hicks表示�����,對于一個被網絡入侵的組織來說,業務宕機的成本可能會非常高����,這取決于宕機的水平和程度�,以及公司對技術的依賴程度。“通常情況下���,漏洞不會讓一家公司完全下線,但它是有可能發生的���。越關鍵的系統被摧毀����,成本就越高��。”
監管和訴訟增加了數據泄露成本
隨著越來越嚴格的數據保護和隱私法律以及訴訟,越來越多的公司在數據泄露和不合規后被處以巨額罰款����、和解金并支付法律費用�。這種情況今年已經發生了好幾次����。
滴滴被國家互聯網信息辦公室罰款80.26億元(11.9億美元),原因是該公司違反了國家的網絡安全�����、數據安全和個人信息保護法����。與此同時����,亞馬遜因違反 GDPR cookie 規則而被罰款 8.77 億美元,T-Mobile 同意支付 3.5 億美元以解決從 2021 年初開始的數據泄露事件后的集體訴訟��,谷歌同意支付 6000 萬美元�,因為在獲取位置數據方面誤導澳大利亞用戶���。
IBM的2022年報告發現,在監管嚴格的行業��,平均24%的數據泄露成本是在數據泄露發生兩年以上后產生的�����。無論是受到數據保護法規的懲罰�����,還是解決個人或團體提出的集體訴訟索賠,還是支付法律代表/總法律顧問的費用���,現實情況是,所有企業都應該計劃好圍繞數據泄露的潛在監管和訴訟支出���。
Nick說:“受監管的行業不僅要承受應對���、控制和彌補漏洞的直接成本���,還要承受監管機構的額外懲罰和法律和解的長期影響。”他補充稱�,醫療保健和金融服務等監管嚴格的行業,通常是每次違規排名的前兩名��,因為它們將支付比其他行業更多的違規罰款��。
安全人員不足會導致更高的數據泄露成本
根據IBM的2022年報告,在被調查的550家數據泄露的組織中�,有 62% 的人表示他們沒有足夠的人員來滿足他們的安全需求�����,比那些有足夠人員的組織平均多出55萬美元的數據泄露成本���。
準備是管理數據泄露成本的關鍵
無論具體的成本是多少,專家們一致認為�����,做好準備是管理數據泄露帶來的經濟影響的關鍵�。提前檢測存儲數據相關軟件安全漏洞�,數據是否進行備份及加密���,數據泄露應急預案等����,做好數據安全防御準備��。Dutile說:“更快的事件響應將繼續成為降低違規成本的一個明顯因素���。”“最嚴重的損失是那些長時間未被發現或反應緩慢或無效的人。”
