数据泄露财务影响持续数年 损失最高可占企业年收入5%

2019-08-09 09:27:14 作者: 出处 :

IBM安全事业部日前公布了一项年度调研结果,揭示了数据泄露对企业财务产生的影响。报告表明,过去 5 年数据泄露成本上升了 12%,目前数据泄露的平均成本已达到 392 万美元。这些不断增长的数字进一步说明数据泄露、不断增加的法规以及抵御罪犯攻击的复杂流程,将会对企业造成持续数年的财务影响。

数据泄露对中小型企业的财务影响尤为严重。调研表明,员工人数少于 500 的企业,数据泄露的平均成本超过 250 万美元,这对于年收入通常不超过5,000 万美元的小型企业而言无疑是沉重的损失。

今年的调研第一次对数据泄露造成财务影响的长尾效应进行了研究,结果表明,数据泄露的影响持续数年。数据泄露成本平均有 67% 出现在事发后的第一年,但仍有 22% 出现在第二年,另有 11% 在两年后才会显现出来。对于医疗保健、金融服务、能源和医药等受到严格监管的组织机构而言,第二年和第三年的长尾成本损失相对会更高。

“网络犯罪分子通过网络犯罪行为获得巨额非法收入,但不幸的是,这同时意味着企业会蒙受巨大损失。”IBM X-Force 事件响应和情报服务全球主管Wendi Whitmore表示,“仅在过去 3 年,便出现了超过 117 亿条企业数据数据丢失或被盗的记录。因此,这些企业必须认识到数据泄露对其财务情况造成的所有影响,并积极关注如何降低这些成本和损失。”

本次“数据泄露成本报告”年度调研由 IBM 安全事业部和Ponemon Institute 联合开展,对过去一年中全球范围内遭遇过数据泄露事件的 500 多家企业进行了深入访谈和研究,从而得出结论。该分析考虑了数百种成本因素,包括法律、合规、技术活动以及数据泄露带来的品牌资产、客户和员工生产力损失等。本次调研的主要结论包括:

· 恶意数据泄露——代价最高且最常见的数据泄露事件:超过 50% 的数据泄露源于恶意网络攻击,给企业带来的平均损失比意外事件引起的数据泄露高出 100 万美元。

· “巨大规模的数据泄露”带来巨额损失:此类数据泄露相对较少,一旦发生则会为企业带来巨大损失。超过 100 万条记录的泄露预计会给企业带来 4,200 万美元的损失;而超过 5,000 万条记录的泄露预计会带来 3.88 亿美元的巨额损失。

· 应急响应,有备无患:拥有事件响应团队并对事件响应计划进行了全面测试的企业,平均数据泄露成本要比二者皆无的企业少 123 万美元。

· 美国的数据泄露成本是全球平均水平的两倍:美国的数据泄露平均成本为 819 万美元,高出全球平均水平两倍之多。

· 医疗健康行业的数据泄露成本最高:医疗保健组织连续第 9 年“荣登”数据泄露成本排行榜榜首,平均达到 650 万美元(比调研中的其他行业高出 60%)。

恶意网络攻击最常见 损失最惨重

本次调研发现,源自恶意网络攻击的数据泄露不仅是引发数据泄露事件最常见的根本原因,所造成的代价也最惨重。恶意数据泄露平均给调研中的受访企业带来 445 万美元的损失,比系统故障和人为错误等意外原因导致的数据泄露高出 100 多万美元。这些数据泄露事件带来的威胁日益严重,在过去六年的调研期间,报告中因恶意或犯罪攻击而引发的数据泄露事件的百分比已从 42% 上升至 51%(同比增长 21%)。

此外,调研结果显示,人为错误和系统故障导致的数据泄露事件仍占事件总量的近一半(49%),分别给企业造成了平均 350 万美元和 324 万美元的损失。从人为和机器错误导致的数据泄露事件中可总结出改进方法,从而降低其发生的次数。比如对员工开展安全意识培训,进行技术投资,以及测试服务以尽早发现意外泄露事件端倪,从而进行有效预防或阻断。IBM X-Force 威胁情报指数显示,云服务器配置不当是特别值得关注的数据泄露原因之一,这一原因在 2018 年曾导致 9.9 亿条记录被曝光,占全年记录数据丢失总数的 43%。

提高响应能力 降低数据泄露成本

过去 14 年,Ponemon Institute 一直在对导致数据泄露成本增加或减少的多项因素进行深入研究。研究表明,企业应对数据泄露事件的响应速度和效率将对总体成本产生重大影响。

今年的调研显示,数据泄露的平均生命周期为 279 天,即在事件发生后企业平均需要 206 天才能发现,另需 73 天才能控制住事件发展态势。可在200天内发现并有效控制数据泄露事件的调研受访企业,其数据泄露事件的总体成本可减少 120 万美元。

此外,关注于响应能力可帮助企业加快响应速度。建立完善的事件响应团队以及对事件响应计划开展全面测试是节省成本的两项重要举措。采用这两项措施的企业,其数据泄露事件的总体平均成本要比二者皆无的企业少 123 万美元(前者为 351 万美元,后者为 474 万美元)。

影响受访企业数据泄露成本的其他因素包括:

· 遭泄露的记录数量:每条丢失或被盗的记录会给企业带来约 150 美元的数据泄露成本。

· 全面部署了安全自动化技术的企业,其数据泄露成本(平均为 265 万美元)大约是未部署此项技术的企业的一半(平均为 516 万美元)。

· 广泛使用加密技术也是节省成本的最重要渠道之一,可使数据泄露的总体成本降低 36 万美元。

· 包括合作伙伴或供应商在内的第三方导致的数据泄露给企业造成的损失平均多出 37 万美元,因此企业对合作单位开展严格的安全审查、调整安全标准以及积极监控第三方访问权限也非常重要。

美国数据泄露成本更高

本次调研还研究了不同行业和地区的数据泄露成本的差别,发现美国的数据泄露成本更高,平均可达 819 万美元,是调研中全球受访企业平均水平的两倍多。在过去 14 年的调研中,美国的数据泄露成本增长了 130%,其2006 年的调研结果为 354 万美元。

中东地区的受访企业指出,他们每次事件泄露的记录平均数量最多近 4 万条(全球平均值约为 2.55 万条)。此外,医疗保健组织已经连续第 9 年蝉联数据泄露损失排行榜冠军,平均成本接近 650 万美元,高出其他行业总体平均的60%。