數(shù)據(jù)泄露平均成本高達(dá)310萬英鎊:人為錯(cuò)誤仍是罪魁禍?zhǔn)?/h2>
責(zé)編:gltian |2019-07-31 18:25:23
在過去五年中,企業(yè)數(shù)據(jù)泄露的成本已經(jīng)飆升了12%,達(dá)到了現(xiàn)在的平均310萬英鎊(約合392萬美元)。
這一數(shù)據(jù)結(jié)果來自IBM公司發(fā)起、波耐蒙研究所(Ponemon Institute)完成的《數(shù)據(jù)泄露年度成本研究報(bào)告》,該報(bào)告強(qiáng)調(diào)了數(shù)據(jù)泄露為企業(yè)帶來的財(cái)務(wù)影響。
該報(bào)告同時(shí)還指出,49%的數(shù)據(jù)泄露事件是源于“無意的人為錯(cuò)誤”和“系統(tǒng)故障”(IBM并未對(duì)此給予明確定義);這兩種行為為組織帶來的損失分別為350萬美元和324萬美元。
這些成本包括組織在發(fā)生違規(guī)事件后受到的監(jiān)管和商業(yè)處罰。在歐盟,《通用數(shù)據(jù)保護(hù)條例》(GDPR)正在“大顯身手”,英國航空公司(面臨1.83億英鎊巨額罰款)和萬豪國際(面臨9920萬英鎊罰款)最近都受到了該法案的影響。
IBM在其報(bào)告中指出,對(duì)于醫(yī)療保健、金融服務(wù)、能源和醫(yī)藥等受到高度監(jiān)管的行業(yè)組織而言,第二年和第三年的損失成本會(huì)更高。
中小型企業(yè)(SME)的數(shù)據(jù)泄露成本
中小型企業(yè)的泄露成本尤為令人擔(dān)憂,正如該報(bào)告所強(qiáng)調(diào)的一樣,員工人數(shù)少于500人的公司在面臨違規(guī)處理后果時(shí)仍然要遭受超過200萬英鎊的損失。
該報(bào)告還發(fā)現(xiàn),數(shù)據(jù)泄露成本通常會(huì)在3年內(nèi)蔓延:平均67%的泄露成本會(huì)累計(jì)在第一年,22%累計(jì)在第二年,11%累計(jì)在第三年。
IBM X-Force事件響應(yīng)和情報(bào)服務(wù)全球負(fù)責(zé)人Wendi Whitmore表示,“網(wǎng)絡(luò)犯罪對(duì)于網(wǎng)絡(luò)犯罪分子而言意味著巨額資金,但不幸的是,這對(duì)于企業(yè)而言則是重要的損失。僅在過去3年中,組織的117億多條記錄就遭到了泄露或盜竊,組織需要了解數(shù)據(jù)泄露可能會(huì)對(duì)其賬目盈虧造成的全部財(cái)務(wù)影響,并關(guān)注如何降低這些成本。”
據(jù)悉,這一由IBM安全部門發(fā)起,Ponemon Institute負(fù)責(zé)完成的報(bào)告,對(duì)全球500多家公司的內(nèi)部人員進(jìn)行了采訪,而這些公司都曾在過去一年內(nèi)遭遇了數(shù)據(jù)泄露事件。
此外,安全公司Digital Shadows的早期報(bào)告也顯示,由于常用文件存儲(chǔ)技術(shù)的錯(cuò)誤配置,導(dǎo)致現(xiàn)有23億個(gè)文件公開暴露在網(wǎng)絡(luò)上。其中,近一半的文件(10.71億)是通過服務(wù)器消息塊(SMB,首次設(shè)計(jì)于1983年的共享文件技術(shù))協(xié)議公開的。其他配置錯(cuò)誤的技術(shù)還包括FTP服務(wù)(20%)、rsync(16%)和網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備(3%)。
補(bǔ)充:Ponemon計(jì)算數(shù)據(jù)泄露成本的方法
計(jì)算數(shù)據(jù)泄露的成本是一個(gè)很有挑戰(zhàn)性的工作,因此,計(jì)算模型和方法十分重要。同時(shí),我們必須清楚認(rèn)識(shí)到任何模型都一定存在局限性,因此,對(duì)于調(diào)查結(jié)果數(shù)據(jù)必須辨證的去看待。
首先是范圍的界定。Ponemon定義數(shù)據(jù)泄露為:個(gè)人姓名和醫(yī)療記錄和/或財(cái)務(wù)記錄或借記卡/信用卡處在潛在風(fēng)險(xiǎn)的事件 – 無論是電子的或紙質(zhì)的。但不包括知識(shí)產(chǎn)權(quán)、商業(yè)秘密和商業(yè)機(jī)密信息等高價(jià)值信息資產(chǎn)的數(shù)據(jù)泄露。
其次是計(jì)算模型。Ponemon從4個(gè)維度去考量成本:檢測(cè)和響應(yīng)的成本(包括調(diào)查取證、評(píng)估審計(jì)、危機(jī)管理、內(nèi)部溝通等活動(dòng)所耗費(fèi)的成本)、通知成本(包括通過各種方式告知受害人、與司法及主管部門等外部溝通活動(dòng)所耗費(fèi)的成本)、善后成本、業(yè)務(wù)喪失成本(包括業(yè)務(wù)中斷、收入減少、客戶流式、商譽(yù)減值等)。
根據(jù)上述4個(gè)維度,Ponemon設(shè)計(jì)了一套度量指標(biāo),然后通過調(diào)查問卷訪談獲得每個(gè)指標(biāo)的數(shù)值(都是由受訪者主觀填寫的),再對(duì)這些指標(biāo)進(jìn)行計(jì)算,計(jì)算的時(shí)候又分為三種成本數(shù)值,分別是直接成本、間接成本和機(jī)會(huì)成本。然后再計(jì)算總的成本,并采用通過蒙特卡洛模擬方法對(duì)重大數(shù)據(jù)泄露事件進(jìn)行進(jìn)一步分析。
獲取完整報(bào)告:
https://databreachcalculator.mybluemix.net/
在過去五年中,企業(yè)數(shù)據(jù)泄露的成本已經(jīng)飆升了12%,達(dá)到了現(xiàn)在的平均310萬英鎊(約合392萬美元)。
這一數(shù)據(jù)結(jié)果來自IBM公司發(fā)起、波耐蒙研究所(Ponemon Institute)完成的《數(shù)據(jù)泄露年度成本研究報(bào)告》,該報(bào)告強(qiáng)調(diào)了數(shù)據(jù)泄露為企業(yè)帶來的財(cái)務(wù)影響。
該報(bào)告同時(shí)還指出,49%的數(shù)據(jù)泄露事件是源于“無意的人為錯(cuò)誤”和“系統(tǒng)故障”(IBM并未對(duì)此給予明確定義);這兩種行為為組織帶來的損失分別為350萬美元和324萬美元。
這些成本包括組織在發(fā)生違規(guī)事件后受到的監(jiān)管和商業(yè)處罰。在歐盟,《通用數(shù)據(jù)保護(hù)條例》(GDPR)正在“大顯身手”,英國航空公司(面臨1.83億英鎊巨額罰款)和萬豪國際(面臨9920萬英鎊罰款)最近都受到了該法案的影響。
IBM在其報(bào)告中指出,對(duì)于醫(yī)療保健、金融服務(wù)、能源和醫(yī)藥等受到高度監(jiān)管的行業(yè)組織而言,第二年和第三年的損失成本會(huì)更高。
中小型企業(yè)(SME)的數(shù)據(jù)泄露成本
中小型企業(yè)的泄露成本尤為令人擔(dān)憂,正如該報(bào)告所強(qiáng)調(diào)的一樣,員工人數(shù)少于500人的公司在面臨違規(guī)處理后果時(shí)仍然要遭受超過200萬英鎊的損失。
該報(bào)告還發(fā)現(xiàn),數(shù)據(jù)泄露成本通常會(huì)在3年內(nèi)蔓延:平均67%的泄露成本會(huì)累計(jì)在第一年,22%累計(jì)在第二年,11%累計(jì)在第三年。
IBM X-Force事件響應(yīng)和情報(bào)服務(wù)全球負(fù)責(zé)人Wendi Whitmore表示,“網(wǎng)絡(luò)犯罪對(duì)于網(wǎng)絡(luò)犯罪分子而言意味著巨額資金,但不幸的是,這對(duì)于企業(yè)而言則是重要的損失。僅在過去3年中,組織的117億多條記錄就遭到了泄露或盜竊,組織需要了解數(shù)據(jù)泄露可能會(huì)對(duì)其賬目盈虧造成的全部財(cái)務(wù)影響,并關(guān)注如何降低這些成本。”
據(jù)悉,這一由IBM安全部門發(fā)起,Ponemon Institute負(fù)責(zé)完成的報(bào)告,對(duì)全球500多家公司的內(nèi)部人員進(jìn)行了采訪,而這些公司都曾在過去一年內(nèi)遭遇了數(shù)據(jù)泄露事件。
此外,安全公司Digital Shadows的早期報(bào)告也顯示,由于常用文件存儲(chǔ)技術(shù)的錯(cuò)誤配置,導(dǎo)致現(xiàn)有23億個(gè)文件公開暴露在網(wǎng)絡(luò)上。其中,近一半的文件(10.71億)是通過服務(wù)器消息塊(SMB,首次設(shè)計(jì)于1983年的共享文件技術(shù))協(xié)議公開的。其他配置錯(cuò)誤的技術(shù)還包括FTP服務(wù)(20%)、rsync(16%)和網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備(3%)。
補(bǔ)充:Ponemon計(jì)算數(shù)據(jù)泄露成本的方法
計(jì)算數(shù)據(jù)泄露的成本是一個(gè)很有挑戰(zhàn)性的工作,因此,計(jì)算模型和方法十分重要。同時(shí),我們必須清楚認(rèn)識(shí)到任何模型都一定存在局限性,因此,對(duì)于調(diào)查結(jié)果數(shù)據(jù)必須辨證的去看待。
首先是范圍的界定。Ponemon定義數(shù)據(jù)泄露為:個(gè)人姓名和醫(yī)療記錄和/或財(cái)務(wù)記錄或借記卡/信用卡處在潛在風(fēng)險(xiǎn)的事件 – 無論是電子的或紙質(zhì)的。但不包括知識(shí)產(chǎn)權(quán)、商業(yè)秘密和商業(yè)機(jī)密信息等高價(jià)值信息資產(chǎn)的數(shù)據(jù)泄露。
其次是計(jì)算模型。Ponemon從4個(gè)維度去考量成本:檢測(cè)和響應(yīng)的成本(包括調(diào)查取證、評(píng)估審計(jì)、危機(jī)管理、內(nèi)部溝通等活動(dòng)所耗費(fèi)的成本)、通知成本(包括通過各種方式告知受害人、與司法及主管部門等外部溝通活動(dòng)所耗費(fèi)的成本)、善后成本、業(yè)務(wù)喪失成本(包括業(yè)務(wù)中斷、收入減少、客戶流式、商譽(yù)減值等)。
根據(jù)上述4個(gè)維度,Ponemon設(shè)計(jì)了一套度量指標(biāo),然后通過調(diào)查問卷訪談獲得每個(gè)指標(biāo)的數(shù)值(都是由受訪者主觀填寫的),再對(duì)這些指標(biāo)進(jìn)行計(jì)算,計(jì)算的時(shí)候又分為三種成本數(shù)值,分別是直接成本、間接成本和機(jī)會(huì)成本。然后再計(jì)算總的成本,并采用通過蒙特卡洛模擬方法對(duì)重大數(shù)據(jù)泄露事件進(jìn)行進(jìn)一步分析。
獲取完整報(bào)告:
https://databreachcalculator.mybluemix.net/
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!