作者:Kryptus
数据泄露和安全事件的代价越来越高昂。英国航空公司和万豪酒店在被认定有过错后,各自必须在事故最终损失中增加 100 亿美元 欧洲通用数据保护法.
虽然这些例子都是极端的,但对于各种规模的企业来说,数据泄露造成的财务影响却逐年增加。根据 IBM 和 Ponemon Institute 的最新报告,数据泄露的平均成本已上升至 3,92 万美元。
报告显示,1,6年成本增加了2018%,过去五年增加了12%。这包括与处理违规行为所花费的时间和精力相关的直接和间接成本、由于负面宣传而导致的客户流失等机会损失以及监管罚款。
数据泄露规模越来越大,成本也越来越高
在全球范围内,未来 30 个月内,近 24% 的组织可能会遭遇至少一次数据泄露。美国企业面临的成本最高,每次违规平均高达 8,19 万美元,这是由于各州监管环境复杂且各有不同,尤其是在违规通知方面。在英国,这一数字略低于全球平均水平 3,88 万美元。
虽然一次丢失数千条记录变得越来越常见,但涉及数百万条记录的 Equifax 级别的泄露事件仍然相对罕见。 IBM 表示,一次涉及 1 万条记录的“特大泄露”可能给公司造成 42 万美元的损失(高于去年的 40 万美元),而 50 万条记录的丢失可能给公司造成 388 亿美元的损失。
鉴于他们管理的数据高度敏感且受到监管的性质, 金融部门 和去 健康 毫不奇怪,每次注册的费用最高:医疗保健费用高达 429 美元,财务费用高达 210 美元。监管水平对于公司为恢复数据泄露而支付的费用起着重要作用。受到严格监管的行业,例如 医疗救助 e 金融服务,平均每起事故造成的损失分别为 6,45 万美元和 5,86 万美元,而零售和酒店等监管较少的行业平均事故造成的损失不到 2 万美元。
IBM X-Force 威胁情报总监 Wendi Whitmore 表示:“有了医疗记录,在某些情况下,你实际上可以掌握完整的病史,例如了解此人去年做过膝盖手术并接受了物理治疗。” “您通常还会获得大量额外的个人身份信息,与您从信用卡中获得的信息相同。”
对数据泄露的响应缓慢会增加成本
时间就是金钱,如果发现并遏制违规行为的速度太慢,代价可能非常高昂。据报告 IBM,现在发现并遏制违规行为需要 279 天,而去年则为 266 天。快速响应可以节省大量成本。能够在不到 200 天的时间内检测并控制违规行为的公司平均可以节省 1,2 万美元。
惠特莫尔说:“时间就是金钱。”攻击者在环境中停留的时间越长,他们就越能访问不同的设备、不同的数据、不同的账户,我们需要采取一切措施来移除访问权限并限制未来的影响。这无疑会增加成本。
德国和南非的组织发现和控制违规行为的速度最快,分别合计耗时 170 天和 226 天,而中东(381)和巴西(361)的公司花费的时间最长。医疗保健、公共部门和娱乐组织发现和控制漏洞所花的时间最长——平均超过 310 天——而金融服务、技术和研究部门发现和补救漏洞的速度最快。
IBM 和 Ponemon 今年首次研究了数据泄露的“长尾效应”,发现企业将在未来数年内为数据泄露付出代价。约 67% 的成本发生在第一年,22% 发生在接下来的 12 至 24 个月,最后的 11% 发生在两年多以后。虽然这是一个极端的例子,但 Equifax 最近同意支付 575 亿美元(可能增至 700 亿美元)与联邦贸易委员会就 2017 年数据泄露事件达成和解。
惠特莫尔说:“我们接待的客户常常将数据泄露视为一次性成本:这将是一项巨大的努力,但之后我们就可以恢复正常业务了。”但实际情况是,第一年只花费了67%,剩下的33%将在接下来的两到三年内产生,例如用于事后计划或信用监控。Capital One和Equifax如果有大量客户信用记录数据泄露,他们就要承担责任,而这将成为一笔持续的成本。
法规和罚款
随着 GDPR 的出台以及世界各地出现的一些模仿法律,合规性正在成为违规成本的重要组成部分。 “仅就美国而言,就有 52 个不同的州隐私法,”惠特莫尔说。这意味着,当这些违规行为频繁发生时,大多数公司并没有在每个团队中配备专门的人员。因此,他们必须雇佣员工或外包,并确保自己不会承担这些成本。
不愿意支付专业知识以确保合规性的公司可能会面临监管罚款,而且罚款数额越来越高。连锁酒店万豪最初声称其 2018 年的数据泄露事件使其损失约 28 万美元,其中大部分由公司保险承担。然而,2019 年 124 月,英国数据保护机构 ICO 因该公司未能遵守 《通用数据保护条例》(GDPR)。同一周,ICO 还向英航开出了金额更大的罚款。面对如此巨额的罚款,企业必须采取更积极主动的方式来保护数据隐私,以获得监管机构更有利的看法。
惠特莫尔说:“我们预计成本可能会大幅增加,我认为这将极大地改变组织的投资格局。” “理想情况下,这意味着他们正在进行更积极的投资,并真正做好准备、演练,并确保在发生此类违规行为时,他们能够限制丢失这些记录的影响。”
数据泄露对股价的影响
除了材料成本外,上市公司的股票价值也可能受到数据泄露的影响。 Comparitech 分析了纽约证券交易所发生 33 起至少 1 万条记录的数据泄露事件后公司股票的价值,发现这些泄露事件通常不会对公司的价值产生长期影响。
受到数据泄露影响的公司的股价在数据泄露发生后的 7,3 个交易日内跌至最低点,下跌约 14%,表现逊于纳斯达克指数,下跌 4%。虽然公司股价可能会在违规后的前六个月内回升,甚至超过市场平均水平,但在接下来的六个月里,它们的表现仍可能逊于市场平均水平。 纳斯达克,6,5个月后下降了12%。举一个最近的例子,2019 年 11 月,梅西百货披露了一起数据泄露事件,并遭遇了“高度复杂且有针对性的数据安全事件……在 XNUMX 月份的一周内影响了少数客户”,随后其股价在一天内下跌了 XNUMX%。不过,到当年XNUMX月底,该公司股价已经回升。
Comparitech 隐私倡导者 Paul Bischoff 表示:“泄露信用卡号等高度敏感数据的公司(包括梅西百货)的股价通常会比泄露不太敏感数据的公司下跌幅度更大。”
如何降低数据泄露成本:制定应对计划
人们普遍认为数据泄露几乎是不可避免的,因此降低成本的最佳方法就是为所有可能发生的情况做好准备。报告指出,拥有事件响应 (IR) 团队并通过至少两次桌面演习对其 IR 计划进行广泛测试的公司,其数据泄露成本平均比未采取任何措施的公司少 1,23 万美元。
“你不应该只是有一份文件,上面写着‘这是安全团队的联系信息’,而应该在沉浸式环境中实际演练这些类型的场景,这样他们就可以测试其他计划,找出漏洞,最好在现实生活中经历这些攻击之前就将其控制住,”惠特莫尔说。
另一个重要部分是公众的反应。失去客户信任会导致业务损失,从而增加违规的总成本。惠特莫尔解释道:“一个关键因素是违规后和违规期间的沟通。” “我们如何有效地向消费者或客户传达正在发生的事情?因此,如果处理得当,这些事件可以成为一个赢得大量客户善意和信任的机会,但这需要这些组织提前进行大量的准备和培训。”
扩大加密的使用、尽可能实现安全自动化以及拥有 IR 团队可以降低违规的潜在成本,特别是如果定期测试 IR 团队和计划。
在技术方面, 开发安全、员工培训、网络保险以及董事会对安全的参与也平均将违规成本降低了 100.000 多美元。另一方面,由第三方、云迁移、物联网或运营技术造成的违规行为平均每次可使违规成本增加 100.000 美元以上。
惠特莫尔 (Whitmore) 对于降低违规成本的首要建议是充分了解您的环境并确保进行强大且经过测试的离线备份。 “如果我们能够减少识别违规行为所需的时间并以非常有效的方式遏制违规行为,这些组织就不会丢失那么多记录,最终也不会面临我们现在看到的同等程度的罚款。”
“在 勒索软件或恶意软件 “说到破坏性,我们看到组织失去了对其最关键数据的访问权限,并花费大量时间尝试重建其环境以再次获得访问权限,”Whitmore 继续说道。 “我建议对最重要的数据进行离线备份。”
来源: cio.com.br
