根据IBM Security和Ponemon Institute的一项研究,数据泄露所需的平均成本为386万美元。但是,“大规模入侵”(造成100万到5000万条数据丢失)的成本则高达4000万美元到3.5亿美元。
为了这项研究,IBM Security和Ponemon Institute对近500家遭遇数据泄露的公司进行了采访,收集了数百个围绕数据泄露的成本因素信息,包括技术调查和恢复、通知、法律和监管要求、损失业务成本和声誉损失。
总体而言,研究结果显示,数据泄露的隐性成本——失去的业务、对声誉的负面影响以及员工在恢复过程中所需时间等——不仅很难管理,成本也很昂贵。比如,该研究发现“大规模入侵”(丢失100多万条记录)三分之一的成本就在于失去的业务。
目前,全球数据泄露的平均成本为386万美元,比2017年报告的高出6.4%。这项研究第一次计算了大规模数据泄露的相关成本问题。丢失100万条数据泄露的时间需要成本4000万美元,而丢失5000万数据的泄露事件需要花费3.5亿美元。
“虽然公开的数据泄露事件通常会报告几百万的损失,但是这些数字是高度可变的,并且经常会关注一些容易量化的具体成本。”IBM X-Force 事件响应与情报服务全球主管Wendi Whitmore在一份声明中表示,“事实上,许多隐藏的费用都必须考虑在内,比如声誉损失,客户营业额以及运营成本等。了解成本在哪里以及如何减少成本损失,可以帮助企业更战略性地投入资源,降低金融风险。”
在过去的5年里,大规模的入侵已经成2013年的9次激增到2017年的16次重大事件。由于过去发生的大规模入侵事件比较少,所以数据泄露成本(Cost of a Data Breach)的研究,分析了约丢失2500万到10万条数据的泄露事件。
根据对过去两年遭遇过大规模数据泄露事件的11家公司进行分析,今年的报告使用了统计模型来进行成本预测分析。这些事件通常会丢失100万到5000万条数据,且绝大多数(11个中的10个)都是恶意攻击和犯罪攻击(相对于系统故障或人为错误)导致的。
另外,发现和控制重大漏洞所需的平均时间为365天,比小规模入侵(266天)的时间要多用了将近100天。
对于大规模的违规行为,最大的费用类别是与失去业务相关的成本。据估计,丢失5000条数据,这一损失可能达到1.18亿美元,几乎占到总成本的三分之一。IBM分析了几次引起强烈反响的大型数据泄露事件的公开报道成本,并发现,报告的数字往往会低于研究中的平均成本。这可能是由于公开报告的成本往往局限于直接成本,如用来进行恢复的技术和服务、法律和监管费用以及对客户的赔偿。
在过去的13年里,Ponemon Institute 研究了与数据泄露相关的10万条记录的成本,发现成本形成了稳定的上升趋势。其中,连续8年,医疗领域企业的数据泄露成本最高——每条丢失数据可达408美元——几乎是跨行业平均水平的3倍(148美元)。
对此,Ponemon Institute董事长兼创始人Larry Ponemon在一份声明中表示:“尽管在研究的历史上,数据泄露的成本一直在稳步上升,但我们也看到了通过使用新技术以及对事件响应进行规划产生的成本节约的积极迹象。”
声明:本文来自云有料,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。