< img height="1" width="1" style="display:none" src="https://a.gdt.qq.com/pixel?user_action_set_id=1109261076&action_type=PAGE_VIEW&noscript=1"/>

数据泄露的代价是什么?如何降低数据泄露违规成本?

数据泄露和安全事件的代价越来越高。近日加拿大银行Desjardins Group透露,在今年早些时候发生违规事件导致290万名成员的个人信息泄露,该公司已花费7000万加元(合5300万美元)。制造商Norsk Hydro表示,其严重的网络攻击的费用高达7500万美元。英国航空公司和万豪酒店违反了GDPR(《通用数据保护条例》)导致客户数据泄露,致最终成本增加1亿美元。尽管这些例子是规模最高,最极端的例子,但各种规模和规模的公司遭受数据泄露的财务影响仍在逐年增加。

  数据泄露和安全事件的代价越来越高。近日加拿大银行Desjardins Group透露,在今年早些时候发生违规事件导致290万名成员的个人信息泄露,该公司已花费7000万加元(合5300万美元)。制造商Norsk Hydro表示,其严重的网络攻击的费用高达7500万美元。英国航空公司和万豪酒店违反了GDPR(《通用数据保护条例》)导致客户数据泄露,致最终成本增加1亿美元。尽管这些例子是规模最高,最极端的例子,但各种规模和规模的公司遭受数据泄露的财务影响仍在逐年增加。

  根据IBM和Ponemon Institute的最新报告,数据泄露的平均成本已上升到392万美元。该报告显示,2018年成本增长1.6%,过去五年增长12%。这包括与处理违规行为所需的时间和精力有关的直接和间接成本,因不良宣传而导致的客户流失等机会损失,以及监管罚款。

  数据泄露越来越大,越来越昂贵

  在全球范围内,在接下来的24个月中,将近30%的组织可能遭受至少一次违规。美国组织面临的最高成本是每次违规平均819万美元。在英国,这一数字略低于全球平均水平,为388万美元。

  现在,平均数据泄露量为25,575条记录,与2018年相比增加了3.9%。美国的平均数据泄露量更高,为32,434条,英国的平均数据泄露量为23,600次(均比2018年高)。在全球,每条记录的损失成本平均约为150美元;在美国,这一数字上升到242美元,而在英国,每条记录的成本为155美元。

  每条记录的最终成本可能受到与组织准备得如何以及对违反行为的反应程度有关的因素的影响。违规可导致客户流失3.4%,比去年略高,这表明客户对安全性失败的接受度越来越低。

  尽管一次丢失成千上万的记录变得很普遍,但是涉及数百万条记录的Equifax级违反仍然相对罕见。根据IBM的说法,“大举破坏”一百万条记录可能会使一家公司损失4200万美元(去年同期为4000万美元),而丢失5000万条记录可能会使一家公司损失3.88亿美元。

  鉴于他们管理的数据具有高度敏感和规范的性质,卫生和金融部门每笔记录所面临的成本最高也就不足为奇了:医疗保健最高为429美元,财务最高为210美元。监管水平在公司为从数据泄露中恢复所需的费用起着重要作用。诸如医疗保健和金融服务等管制较重的行业每次事件的平均成本为645万美元和586万美元,而零售和接待等管制较差的行业则平均事件成本在200万美元以下。

  “在某些情况下,有了医疗记录,您实际上将获得诸如整个病历之类的信息-了解这个人去年进行过膝关节手术并且他们已经接受了物理治疗,” Wendi Whitmore说, IBM X-Force威胁情报总监。“您通常还会获得许多其他个人身份信息,与您从信用卡信息中获得的信息类型相同。”

  勒索软件的成本也可能是一个重要的考虑因素,尤其是在是否为尝试检索数据而付费时。根据Sophos的2020年勒索软件状况报告,在任何勒索软件中支付赎金实际上会增加攻击的总体成本。该报告称,对未支付勒索赎金的组织进行补救的全球平均水平为733,000美元,对于需要支付赎金的组织,这一数字上升至1,448,00美元。这可能是因为,除了赎金之外,即使返回了数据,仍然需要进行补救措施。该报告还建议,对于那些支付了赎金并拥有勒索软件保险的公司,几乎总是(94%)承担这笔费用的保险公司。

  对数据泄露的缓慢响应增加了成本

  时间就是金钱,发现和遏制漏洞的速度很慢,代价可能很高。根据IBM报告,现在总共需要279天来识别和遏制违规,而去年报告中为266天。快速的响应可以节省大量成本。能够在200天内发现并遏制违规的公司平均减少了120万美元的支出。

  惠特莫尔说:“时间真的就是金钱。”“攻击者在环境中拥有的时间越长,他们对不同的设备,不同的数据,不同的帐户以及所有这些东西的访问权限就越多,而这些都是我们需要删除它们的访问权限并限制其向前发展的影响。这肯定会增加成本。”

  德国和南非的组织发现并遏制违规的速度最快(分别为170天和226天),而中东(381个)和巴西(361个)的公司花费时间最长。医疗保健,公共部门和娱乐组织花时间最长的时间来发现和遏制漏洞-所有这些漏洞的平均时间都超过310天-而金融服务,技术和研究部门的漏洞发现和补救最快。

  今年,IBM和Ponemon首次审查了数据泄露的“长尾巴”,并发现组织在此后多年里为数据泄露付出了代价。大约67%的费用发生在第一年,大约22%发生在接下来的12到24个月,最后11%发生在两年后。尽管是一个极端的例子,但Equifax最近同意支付5.75亿美元(可能增至7亿美元),以就其2017年数据泄露与联邦贸易委员会达成和解。

  Whitmore说:“很多时候,我们响应的客户将数据泄露视为一次性成本:'这将是一笔巨大的支出,但如果继续前进,我们将立即恢复业务。” “但现实是,第一年仅花费了67%,而剩余的33%发生在接下来的两到三年内-事后监控或信用监控。Capital One,Equifax,如果他们违反了许多客户的数据信用记录,那么他们将对此负责,这将是持续的成本。”

  规例及罚款

  随着GDPR的引入和世界各地出现的大量模仿法规,合规性已成为违规成本的重要组成部分。惠特莫尔说:“仅从美国来看,就有52项不同的州隐私法。” “这意味着,当这些违规行为经常发生时,大多数公司都不会在每个员工中都没有专家。因此,这就是他们必须雇用和外包并确保他们承担这些费用的事情。”

  不愿意为确保合规性而支付专业知识的公司很可能会受到监管罚款,罚款越来越高。万豪酒店连锁店最初声称其2018年的数据泄露造成的损失约为2800万美元,其中大部分由公司的保险支付。但是,2019年7月,英国数据保护机构ICO 因GDPR合规性失败向公司罚款1.24亿美元。ICO在同一周向英国广播公司处以更高的罚款。面对如此高额罚款的威胁,公司应该更加主动地保护数据隐私,以获取监管机构的更有利的看法。

  “我们预计我们会看到更多的这些,而且这些很可能会极大地推动成本向前发展,而且我认为,这确实将极大地改变组织进行的投资格局。”惠特莫尔。“理想情况下,这意味着他们将进行更积极的投资,并真正地寻求准备和演练,并确保他们可以限制这些记录丢失对这类违规行为的影响。”

  数据泄露对股价的影响

  除了材料成本外,上市公司还可能会发现其股票价值也受到数据泄露的影响。市场调研公司Comparitech在33次数据泄露(至少100万条记录)之后,分析了纽约证券交易所的公司股票价值,发现这些泄露事件通常不会对公司价值产生长期影响。

  违规事件发生后约14个交易日,违规公司的股价创下最低价(下跌约7.3%),而纳斯达克的表现则差了-4%。虽然公司可能会在突破后的前六个月看到其股价反弹甚至甚至超过市场平均水平,但在12个月后,它们仍可能在纳斯达克表现落后-6.5%。作为最近的一个例子,在2019年11月,梅西百货的股价在披露违规并遭受“高度复杂和针对性的数据安全事件……在十月份的一周内影响了少数客户”后,一天就下跌了11%。 。” 但是,到当年12月底,该公司的股价已经恢复。

  Comparitech的隐私倡导者Paul Bischoff说:“泄露高敏感数据(如梅西百货公司)之类的公司的股价通常比泄露敏感度较低的公司的股价下降幅度更大。”

  “我们的研究表明,公司在数据泄露后大约三周内看到了股价的最初下跌,之后股价得以恢复。违约六个月后,大多数公司的股价已完全恢复,甚至超越了前六个月。我们的分析还显示,最近的违规行为对股票价格的负面影响要小于旧的违规行为,这表明习惯于数据被盗的消费者对违规行为的疲劳程度很高。”

  如何降低数据泄露违规成本?

  1)成立IR团队,制定应对计划。普遍的看法是遭受数据泄露几乎是不可避免的,因此,降低成本的最佳方法就是为各种情况做好准备。该报告称,公司拥有一个事件响应(IR)团队,并通过至少两次桌面演练对他们的IR计划进行了广泛测试,其平均数据泄露成本比没有采取任何措施的企业平均少123万美元。

  广泛使用数据加密,尽可能自动执行安全性以及拥有IR团队都可以减少潜在的破坏成本,尤其是如果IR团队和计划得到定期测试的话。

  2) 企业内部做好员工网络安全常识宣传教育。企业员工错误用网行为是企业网络安全的最大威胁之一。企业IT管理者应做好员工网络安全培训工作,教会企业员工如何正确使用网络且保护公司免受网络攻击。

  3) 提高数据安全性以及保护机制。提高数据安全性必不可少的是对敏感数据的访问权限进行加密操作,除此之外,密码设置要增加难度,并进行适当的密钥管理,以实现真正保护。最后,耦合网络安全保护与熟练的IT人员也应该综合考虑内部数据分类和访问权限政策:分类数据是极其私密的,公众用数据控制器来确定不同数据类型所适应的保护等级,以及限制用户访问,这需要特别注意云存储和第三方平台上的数据。

  4)安装响应的网络安全软件/工具。如WAF(web应用程序防火墙)能有效防止黑客入侵,过滤海量恶意CC攻击,避免数据泄露,保障业务的安全与可用性。了解WAF(web应用程序防火墙)

给我发消息