數(shù)據(jù)泄露已成為一種全球性且不斷增長的威脅，備受矚目的事件經(jīng)常成為頭條新聞。不幸的是，除了制造新聞和損害聲譽(yù)之外，違規(guī)行為還會(huì)帶來經(jīng)濟(jì)成本。根據(jù)最新的 IBM 報(bào)告，數(shù)據(jù)泄露的平均總成本在 2022 年達(dá)到 435 萬美元的歷史新高，比上一年增長 2.6%，比 2020 年增長 12.7%。因此，我們必須承認(rèn)并解決影響數(shù)據(jù)泄露。在本文中，我們將探討導(dǎo)致數(shù)據(jù)泄露帶來的高昂代價(jià)的因素，以及如何減輕這些損失。

數(shù)據(jù)泄露的成本是多少？

數(shù)據(jù)泄露的平均成本為 435 萬美元。然而，沒有兩個(gè)漏洞是相同的，計(jì)算價(jià)格標(biāo)簽是一項(xiàng)復(fù)雜且多方面的任務(wù)。這個(gè)數(shù)字可能會(huì)因多種因素而有很大差異，例如受影響組織的規(guī)模和行業(yè)、被泄露的數(shù)據(jù)類型以及受害者的位置。

美國

美國連續(xù)12年保持?jǐn)?shù)據(jù)泄露成本最高國家的地位。美國的平均數(shù)據(jù)泄露成本為944 萬美元，比全球平均水平高出 509 萬美元。在美國，數(shù)據(jù)泄露通常更昂貴的主要原因之一是市場規(guī)模。由于美國的人口比大多數(shù)其他國家多得多，因此它有更多的潛在受害者和更高的補(bǔ)救成本。

另一個(gè)因素是聯(lián)邦和州層面復(fù)雜且不斷發(fā)展的一套數(shù)據(jù)保護(hù)法規(guī)。遭受數(shù)據(jù)泄露的公司會(huì)因違規(guī)而被罰款和處罰，從而增加了泄露成本。最后，美國的訴訟文化意味著受影響的組織經(jīng)常面臨來自客戶或股東的法律訴訟，從而導(dǎo)致高昂的法律費(fèi)用和和解成本。

其他國家和地區(qū)

數(shù)據(jù)泄露是一個(gè)全球性問題，可能發(fā)生在任何地方。然而，它們在商業(yè)集中度更高、對數(shù)字基礎(chǔ)設(shè)施的依賴程度更高的發(fā)達(dá)國家更為普遍。

另一方面，欠發(fā)達(dá)地區(qū)易受攻擊的數(shù)字系統(tǒng)和網(wǎng)絡(luò)較少。然而，隨著它們繼續(xù)發(fā)展和數(shù)字化，它們也將變得更容易受到網(wǎng)絡(luò)攻擊。

以下是除美國外因數(shù)據(jù)泄露而遭受高于平均水平損失的國家/地區(qū)：

中東 有幾個(gè)高價(jià)值的網(wǎng)絡(luò)犯罪目標(biāo)，例如石油和天然氣公司以及金融機(jī)構(gòu)。該地區(qū)在平均數(shù)據(jù)泄露總成本方面保持第二高的地位，2021 年增長 7.6%，到??2022 年達(dá)到 746 萬美元。

加拿大 嚴(yán)重依賴技術(shù)部門并制定了嚴(yán)格的數(shù)據(jù)保護(hù)法，包括《個(gè)人信息保護(hù)和電子文件法》( PIPEDA )。加拿大排名第三，2022 年的平均違規(guī)成本為 564 萬美元，比上年增長 4.4%。

英國 擁有許多大型跨國公司和蓬勃發(fā)展的中小企業(yè)部門。該國還有一些世界上最嚴(yán)格的數(shù)據(jù)保護(hù)法，包括《通用數(shù)據(jù)保護(hù)條例》( GDPR ) 和《 2018 年數(shù)據(jù)保護(hù)法》。2022年，英國超越德國、日本和法國，成為17個(gè)國家中的第四位。英國數(shù)據(jù)泄露的平均總成本上升了 8.1%，達(dá)到505 萬美元。

德國 是一個(gè)工業(yè)強(qiáng)國，擁有強(qiáng)大的數(shù)據(jù)保護(hù)法，例如 GDPR 和聯(lián)邦數(shù)據(jù)保護(hù)法 ( BDSG )。德國的平均數(shù)據(jù)泄露成本下降了 0.8% ， 到 2022 年 降至 489 萬美元。

日本 有許多橫跨科技、汽車和金融服務(wù)行業(yè)的大公司，以及特別嚴(yán)格的數(shù)據(jù)保護(hù)法，包括個(gè)人信息保護(hù) ( APPI ) 法。2022 年，日本的 平均數(shù)據(jù)泄露總成本下降了 2.5% ，降至 457 萬美元。

按行業(yè)劃分的數(shù)據(jù)泄露成本

由于各種因素，例如存儲(chǔ)的數(shù)據(jù)類型以及組織 IT 基礎(chǔ)設(shè)施的規(guī)模和復(fù)雜性，數(shù)據(jù)泄露的成本因行業(yè)而異。例如，處理大量敏感客戶數(shù)據(jù)的行業(yè)更有可能遭遇后果嚴(yán)重的違規(guī)行為。

令人擔(dān)憂的是，在 2022 年， 接受調(diào)查的關(guān)鍵基礎(chǔ)設(shè)施組織中有 28% 遭受了勒索軟件攻擊，而17% 的組織因業(yè)務(wù)合作伙伴受損而遭到破壞。關(guān)鍵基礎(chǔ)設(shè)施組織的數(shù)據(jù)泄露平均成本為482 萬美元，比其他行業(yè)組織的平均成本高出100 萬美元。

醫(yī)療保健行業(yè)再次受到重創(chuàng)。它以 1010 萬美元的價(jià)格連續(xù)第 12 年成為平均數(shù)據(jù)泄露成本最高的行業(yè)。此外，醫(yī)療保健提供商的 違規(guī)成本同比激增 9.4% ，自 2020 年以來增長了42% 。

2022 年 IBM 數(shù)據(jù)泄露成本報(bào)告細(xì)目

IBM 的年度數(shù)據(jù)泄露報(bào)告是該領(lǐng)域的黃金標(biāo)準(zhǔn)，提供最準(zhǔn)確、最全面的數(shù)據(jù)泄露數(shù)據(jù)。最近發(fā)布的 數(shù)據(jù)泄露成本報(bào)告 揭示了許多有趣的見解。

以下是報(bào)告中最值得注意的要點(diǎn)的細(xì)分：

檢測和升級(jí)超過損失的業(yè)務(wù)成本

檢測和升級(jí)是指確認(rèn)違規(guī)、評(píng)估其影響并通知相關(guān)利益相關(guān)者。另一方面，業(yè)務(wù)損失成本代表客戶信任度和聲譽(yù)下降的財(cái)務(wù)影響，這不可避免地導(dǎo)致收入減少和難以獲得新客戶。

六年來，檢測和升級(jí)首次超過損失的業(yè)務(wù)成本，成為最昂貴的類別。平均檢測和升級(jí)成本從 2021 年的 124 萬美元增加到2022 年的 144 萬美元，增幅為16.1% 。另一方面，業(yè)務(wù)損失成本 從 2021 年的 159 萬美元下降10.7%至 2022 年的142 萬美元。

數(shù)據(jù)表明，消費(fèi)者承認(rèn)公司為保護(hù)他們的數(shù)據(jù)所做的努力，并認(rèn)識(shí)到一些數(shù)據(jù)泄露是不可避免的，而不僅僅是公司的責(zé)任。此外，檢測和解決安全威脅的成本不斷增加反映了組織為增強(qiáng)其網(wǎng)絡(luò)安全而采取的額外措施。

泄露的憑據(jù)仍然是主要的攻擊媒介

憑據(jù)被盜或泄露仍然是數(shù)據(jù)泄露的最常見原因，也是2022 年19%泄露事件的 主要攻擊媒介。 雖然不是最昂貴的，平均成本為 450 萬美元，但憑據(jù)被盜或泄露造成的泄露也有平均持續(xù)時(shí)間最長，需要 327 天 才能檢測和遏制，比平均時(shí)間長 16.6%。

網(wǎng)絡(luò)釣魚占數(shù)據(jù)泄露的 16% ，是第二常見的原因，但也是最昂貴的，平均造成 491 萬美元的 成本。在網(wǎng)絡(luò)釣魚之后，最昂貴的違規(guī)類型是企業(yè)電子郵件受損，平均成本為 489 萬美元。受損的商業(yè)電子郵件占 所有泄露事件的6% 。第三大損失是由于第三方軟件中的漏洞造成的，平均損失為455 萬美元。

勒索軟件攻擊增加

2022 年， 勒索軟件攻擊占違規(guī)事件的11% ，比 2021 年有所增加，當(dāng)時(shí)勒索軟件占 7.8%。然而，勒索軟件攻擊的平均成本略有下降，從 2021 年的 462 萬美元下降到2022 年的 454 萬美元。這一成本略高于數(shù)據(jù)泄露的總體平均總成本，為 435 萬美元。

平均而言，選擇不支付贖金的組織 比支付贖金的組織高出 13.1% 。具體而言，支付贖金的組織的違規(guī)代價(jià)為449 萬美元。相比之下，拒絕支付的組織不得不花費(fèi) 512 萬美元，導(dǎo)致 兩組之間相差 63萬美元。

影響數(shù)據(jù)泄露成本的因素

數(shù)據(jù)泄露的成本受到一系列組織和技術(shù)因素的影響，這些因素在改善組織的網(wǎng)絡(luò)安全狀況方面發(fā)揮著至關(guān)重要的作用。讓我們探討可以輕松改進(jìn)的方面。

最省錢的因素

以下是組織應(yīng)實(shí)施的幾種策略，以降低 2023 年數(shù)據(jù)泄露的成本。

人工智能與自動(dòng)化

全面部署安全人工智能和自動(dòng)化的組織平均違規(guī)成本為 315 萬美元。這幾乎是 620 萬美元的一半，沒有 AI 安全性的組織不得不掏腰包。

此外，與沒有安全人工智能的公司相比，擁有安全人工智能的公司檢測和遏制漏洞的時(shí)間平均減少了 74 天。換句話說，使用 AI 將違規(guī)生命周期從323 天減少到249 天。

在過去兩年中，安全人工智能和自動(dòng)化的采用顯著增長，增幅接近 20%。具體而言，這些技術(shù)的利用率從 2020 年的 59% 增加到 2022 年的 70%，凸顯了人工智能在保護(hù)組織免受數(shù)據(jù)泄露和其他安全威脅方面的重要性日益增加。

零信任

零信任 是一種日益流行的安全策略，旨在改善公司的安全狀況。與依賴基于邊界的方法的傳統(tǒng)網(wǎng)絡(luò)安全模型不同，在傳統(tǒng)網(wǎng)絡(luò)安全模型中，網(wǎng)絡(luò)內(nèi)部的一切都是可信的，零信任不會(huì)自動(dòng)信任任何用戶、設(shè)備或應(yīng)用程序，無論它們是在網(wǎng)絡(luò)內(nèi)部還是外部。

相反，零信任要求在授予對任何資源或數(shù)據(jù)的訪問權(quán)限之前驗(yàn)證每個(gè)用戶和設(shè)備的身份和安全性。這種方法最大限度地降低了未經(jīng)授權(quán)訪問的風(fēng)險(xiǎn)，減少了攻擊面，并更有效地檢測和緩解威脅。

近年來，事實(shí)證明采用零信任安全措施是一種具有成本效益的策略。根據(jù)當(dāng)前數(shù)據(jù)，采用零信任策略的組織平均節(jié)省近 100 萬美元，違規(guī)成本為 415 萬美元，而沒有采用 零信任策略的組織則為510 萬美元。

事件響應(yīng)計(jì)劃

強(qiáng)大的事件響應(yīng)(IR) 框架對于最大限度地減少數(shù)據(jù)泄露的影響和保持業(yè)務(wù)連續(xù)性至關(guān)重要。 擁有專門的 IR 團(tuán)隊(duì)和定期測試計(jì)劃的企業(yè)報(bào)告說，與沒有 IR 團(tuán)隊(duì)或沒有定期測試 IR 計(jì)劃的組織相比，數(shù)據(jù)泄露給他們造成的損失平均少 266 萬美元。成本節(jié)省代表 減少了 58% ， 對于擁有強(qiáng)大 IR 框架的公司而言， 違規(guī)成本總計(jì)為 326 萬美元，而 沒有 IR 框架的公司則為592 萬美元。

風(fēng)險(xiǎn)因素

到 2023 年，以下因素將成為造成財(cái)務(wù)損失的最主要因素：

響應(yīng)時(shí)間慢

違規(guī)的經(jīng)濟(jì)后果與其未被發(fā)現(xiàn)的時(shí)間長短成正比。最新調(diào)查結(jié)果顯示，發(fā)現(xiàn)漏洞之前的平均持續(xù)時(shí)間為 277 天。勒索軟件攻擊是最難識(shí)別的，與其他漏洞相比，檢測時(shí)間平均要長49 天。相比之下，發(fā)現(xiàn)供應(yīng)鏈漏洞需要大約26 天的時(shí)間。

您可以通過以下方式縮短數(shù)據(jù)泄露的響應(yīng)時(shí)間：

1. 制定穩(wěn)健而清晰的事件響應(yīng)計(jì)劃。
2. 定期進(jìn)行培訓(xùn)和演練，以確保做好準(zhǔn)備。
3. 盡可能自動(dòng)化檢測和響應(yīng)過程。
4. 實(shí)施實(shí)時(shí)監(jiān)控技術(shù)和警報(bào)。
5. 在所有利益相關(guān)者之間建立明確的溝通協(xié)議。

遠(yuǎn)程工作

平均而言，涉及遠(yuǎn)程工作的違規(guī)行為導(dǎo)致的成本比 不考慮遠(yuǎn)程工作的違規(guī)行為高出 近100 萬美元——分別為 499 萬美元和 402 萬美元。此外，與遠(yuǎn)程工作相關(guān)的數(shù)據(jù)泄露成本 比全球數(shù)據(jù)泄露平均成本高出約600,000 美元。

由于以下幾個(gè)因素，遠(yuǎn)程工作會(huì)增加數(shù)據(jù)泄露成本：

• 個(gè)人設(shè)備的使用增加，這些設(shè)備通常不如公司發(fā)行的設(shè)備安全，并且缺乏足夠的端點(diǎn)安全性。
• 網(wǎng)絡(luò)安全性較弱，因?yàn)檫h(yuǎn)程工作人員有時(shí)會(huì)使用公共 Wi-Fi 網(wǎng)絡(luò)或其他不安全的連接來訪問公司系統(tǒng)。
• 人為錯(cuò)誤的風(fēng)險(xiǎn)更大，因?yàn)檫h(yuǎn)程工作人員通常在不熟悉或分散注意力的環(huán)境中工作。

云計(jì)算

大約 45% 的數(shù)據(jù)泄露發(fā)生在云中，發(fā)現(xiàn)混合云的成本低于私有云或公共云。具體而言，混合云環(huán)境中泄露的平均成本為 380 萬美元，低于 私有云和公共云泄露的平均成本分別為424 萬美元 和 502 萬美元。與僅使用公共或私有云模型的組織相比，使用混合云架構(gòu)的組織不僅體驗(yàn)到更低的泄露成本，而且它們的泄露生命周期也更短。

聲譽(yù)受損

客戶的信任很容易失去并且很難重新獲得，而數(shù)據(jù)泄露的最大成本之一就是它對公司聲譽(yù)造成的損害。隨著競爭對手獲得相對優(yōu)勢，這種影響通常反映在其市場地位的變化上。

例如，數(shù)據(jù)泄露會(huì)削弱公司的品牌價(jià)值，導(dǎo)致公司要求的溢價(jià)下降、客戶轉(zhuǎn)換成本增加以及市場份額流失。2022 年數(shù)據(jù)泄露造成的業(yè)務(wù)損失平均成本為 140 萬美元， 占總成本的 32% 。

數(shù)據(jù)泄露對上市公司價(jià)格的影響反映在其股價(jià)中。根據(jù) 研究，經(jīng)歷數(shù)據(jù)泄露的公司預(yù)計(jì) 在數(shù)據(jù)泄露發(fā)生后大約 110 個(gè)交易日后其股價(jià)將下跌3.5% 。違規(guī)對股價(jià)的長期影響更為顯著，平均股價(jià) 在違規(guī)一年后下跌8.6% ，表現(xiàn)低于納斯達(dá)克指數(shù)相同幅度。科技和金融企業(yè)對股價(jià)的影響似乎最為顯著，而電子商務(wù)和社交媒體公司受到的影響往往較小。

值得記住的是，公司對數(shù)據(jù)泄露的響應(yīng)方式會(huì)顯著影響其聲譽(yù)和隨之而來的財(cái)務(wù)后果。例如，隱瞞問題比違規(guī)行為本身更能損害客戶的信任。另一方面，主動(dòng)向客戶披露違規(guī)行為會(huì)積極影響他們對公司誠信和透明度承諾的看法。

法規(guī)、訴訟和罰款

數(shù)據(jù)泄露會(huì)產(chǎn)生涉及響應(yīng)和遏制的直接成本，但也可能導(dǎo)致巨額法律罰款和和解。受到高度監(jiān)管的行業(yè)尤其容易受到影響，因?yàn)樗鼈兘?jīng)常面臨監(jiān)管機(jī)構(gòu)的額外處罰，并且更有可能面臨受影響個(gè)人的法律訴訟。

具有嚴(yán)格數(shù)據(jù)保護(hù)法規(guī)的行業(yè)的違規(guī)行為也往往會(huì)在違規(guī)后的幾年內(nèi)產(chǎn)生成本。這種“長尾”效應(yīng)意味著平均 24% 的成本會(huì)在事件發(fā)生兩年后累積。在監(jiān)管不嚴(yán)的環(huán)境中，影響并不明顯，成本往往會(huì)在前三到六個(gè)月內(nèi)累積。

無論是支付違規(guī)罰款、解決集體訴訟索賠，還是支付法律費(fèi)用，企業(yè)都必須在其規(guī)劃中考慮潛在的監(jiān)管和訴訟費(fèi)用。最后，值得記住的是，數(shù)據(jù)泄露的成本很可能會(huì)超出泄露本身的直接后果。

數(shù)據(jù)泄露安全措施

數(shù)據(jù)泄露是當(dāng)今數(shù)字環(huán)境中的一個(gè)持續(xù)威脅，盡管人們試圖阻止它們，但它們幾乎不可能完全停止。

以下是降低數(shù)據(jù)泄露風(fēng)險(xiǎn)的十項(xiàng)最佳實(shí)踐：

1. 實(shí)施全面的安全計(jì)劃，包括定期漏洞評(píng)估和滲透測試。
2. 建立并實(shí)施強(qiáng)密碼策略，包括盡可能進(jìn)行多因素身份驗(yàn)證。
3. 使用最新的安全補(bǔ)丁更新所有軟件和系統(tǒng)。
4. 就適當(dāng)?shù)陌踩珔f(xié)議對員工進(jìn)行培訓(xùn)，并提供持續(xù)的安全意識(shí)培訓(xùn)。
5. 僅限需要的人訪問敏感數(shù)據(jù)和系統(tǒng)。
6. 加密傳輸中和靜態(tài)的敏感數(shù)據(jù)。
7. 實(shí)施監(jiān)控和日志記錄工具以檢測異?；顒?dòng)和潛在的安全漏洞。
8. 制定并定期測試您的事件響應(yīng)計(jì)劃，以確?？焖儆行У仨憫?yīng)潛在的違規(guī)行為。
9. 定期對關(guān)鍵數(shù)據(jù)進(jìn)行備份，并測試備份和恢復(fù)過程。
10. 與擁有強(qiáng)大安全和隱私實(shí)踐的值得信賴的供應(yīng)商和合作伙伴合作。

結(jié)論

數(shù)據(jù)泄露的平均總成本在 2022 年達(dá)到 435 萬美元的歷史新高。這個(gè)數(shù)字可能會(huì)繼續(xù)增加。雖然數(shù)據(jù)泄露可能會(huì)造成毀滅性的后果，但它們也可以成為增長和改進(jìn)的催化劑。通過應(yīng)對這些挑戰(zhàn)，組織可以獲得對其網(wǎng)絡(luò)安全態(tài)勢的寶貴見解，并確定需要改進(jìn)的領(lǐng)域。此外，數(shù)據(jù)泄露提供了一個(gè)機(jī)會(huì)，可以通過展示對透明度和問責(zé)制的承諾來增強(qiáng)與客戶和利益相關(guān)者的信任。