网络安全事件的财务影响由客户信息的敏感性和检测时间决定。
调研机构Audit Analytics回顾了2011年以来的639起上市公司网络安全事件,发现每起网络数据泄露事件的平均损失高达1.16亿美元。
Audit Analytics的报告题为《网络安全事件披露趋势》,报告发现,2019年网络罪犯通常旨在获取客户姓名、住址和电子邮件地址(占比分别为48%、29%和28%)。2018年,姓名和信用卡信息是最受网络罪犯欢迎的信息类型。2011年至2019年,恶意软件(34%)是获取数据的常用方法,其次是网络钓鱼(25%)、未授权访问(20%)和错误配置(12%)。然而,遭遇数据泄露的公司中几乎有一半(43%)选择隐瞒不报。
基于Web的多方法攻击很常见
2018年,英国航空公司惨遭自欧盟引入《通用数据保护条例》(GDPR)以来最大型数据泄露事件。在那起事件中,网络罪犯偷走了客户名称、住址、电子邮件地址和详细的信用卡信息。检查和过滤网站流量的Web应用防火墙(WAF)本可以阻止此事件发生,因为WAF的设计初衷就是为了检测和阻止数据盗窃、SQL注入和跨站脚本攻击等网站入侵常用手法。很明显,英国航空公司要么没安装这种防火墙,要么没有正确配置。
分布式拒绝服务(DDoS)攻击可制造互联网流量洪水,突然涌向Web或应用服务器,导致公司在线基础设施瘫痪。更令人头疼的是,发起DDoS攻击还相对容易。因此,网络罪犯常利用DDoS攻击来掩护更大规模、更严重的攻击。例如,在2015年,英国零售商Carphone Warehouse旗下网站OneStopPhoneShop.com、e2save.com和Mobiles.co.uk等遭到DDoS攻击,该公司IT专家的注意力被DDoS攻击吸引,忽视了同时发生的客户数据库窃取攻击,致使该公司240万条客户记录被盗。约有9万名客户的信用卡信息失窃,万幸的是,这些数据加了密。
股市余波
缺乏防护的公司常因放任攻击发生而付出代价。除此之外,Audit Analytics报告揭示,修复费用和股价下跌是数据泄露事件的另外两个重大财务影响。
数据泄露损失的首要影响因素是被盗信息的价值。失窃财务信息的破坏性众所周知,没什么好奇怪的。但Audit Analytics指出,2016至2019年期间,身份证号码也成了网络窃贼眼中的香饽饽,身份证号盗窃在那段期间增加了500%以上。2011年以来,修复费用超过5000万美元的上市公司数据泄露事件中,7起财务信息被盗,3起身份证号码失窃。受害最严重的几家是:2013年的塔吉特(2.92亿美元),2014年的家得宝(2.98亿美元),2017年的Equifax(17亿美元)和2018年的万豪(1.14亿美元)。
值得注意的是,最大的几起数据泄露事件,比如Facebook为被泄数据付出的50亿美元,或者Equifax花费的近20亿美元,很大程度上影响了数据泄露的平均损失。另外,虽然Audit Analytics报告将Equifax的修复费用定在17亿美元,但该公司2020年第一季度报告的修复支出比这个数字更多。
检测时间越长损失越大
数据泄露损失的第二个决定因素是发现数据泄露的耗时长短。Audit Analytics报告称,公司企业平均需耗时108天才能发现数据泄露,报告数据泄露则还需再加49天。从发现数据泄露到通知监管机构的中位间隔是30天。
对公司企业而言,从发现到披露的这段时间不是小事。引用Audit Analytics研究结果的一篇学术文章指出,发现数据泄露后立即披露的公司股价下跌0.33%,但拖延一个月才披露的公司遭遇了0.72%的股价下跌,降幅几乎倍增。至于公司企业未能披露攻击,而外部人士后来发现了此事的情况,股价跌幅还要更大。这种情况下,公司股价在攻击披露3天之后下跌1.47%,一个月后跌幅为3.56%。
数据泄露事件披露的拖延症之王当属雅虎,雅虎知道俄罗斯黑客早在2013年就渗透了自己的系统,但直到2016年被威瑞森收购时才披露这一事件。整个泄露事件影响超过30亿个账户。因数据泄露事件报告延迟了1,649天,证券交易委员会最终对雅虎处以3500万美元的罚款。精品国际酒店集团(Choice Hotels International)是另一家报告超长延期的公司,数据泄露发生在2015年6月,却直到2019年才披露。由于编程漏洞,这家连锁酒店集团在线预订门户的数据与第三方共享了8.8万多次。
加强内部控制才能抵御复杂攻击
说句公道话,一些公司聘请第三方调查员调查数据泄露情况,而这可能会导致向监管机构报告的延迟。但无论如何,延迟是有问题的。美国证券交易委员会(SEC)就网络欺诈对上市公司内部控制的影响出过一份调查报告,Audit Analytics引用此报告称:“对监管机构和投资人而言,不能快速发现网络数据泄露是十分令人担忧的。”SEC并未对其2018年报告中指出的9个案例提出实施建议,但建议公司企业审核自身与网络威胁相关的内部控制。
Audit Analytics报告总结道:“没能快速发现的数据泄露警示公司内部控制上的漏洞,表明控制措施可能不足以及时检测出问题。”
取决于失窃信息的性质,反复发生的数据泄露可导致未来接二连三的额外支出,包括财务数据被泄的客户和供应商提起的法律诉讼,或者个人数据受影响的员工起诉公司。IT尽职审查至关重要,因为研究和经验表明坏人总吃回头草:Audit Analytics报告称,遭遇数据泄露的公司企业中,有26%会反复沦为数据泄露受害者,比如Facebook、索尼、亚马逊、Comcast和T-Mobile美国公司。
《网络安全事件披露趋势》:
http://auditanalytics-trends-in-cybersecurity-breach-disclosures.pagedemo.co/
SEC调查报告:
https://www.sec.gov/litigation/investreport/34-84429.pdf
关键词:数据泄露;
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。