數(shù)據(jù)泄露的成本是多少?影響數(shù)據(jù)泄露成本的因素
      
                                    
                                
      
                                
      
                                    
      數(shù)據(jù)泄露已成為一種全球性且不斷增長的威脅,備受矚目的事件經常成為頭條新聞。不幸的是,除了制造新聞和損害聲譽之外,違規(guī)行為還會帶來經濟成本。根據(jù)最新的 IBM 報告,數(shù)據(jù)泄露的平均總成本在 2022 年達到 435 萬美元的歷史新高,比上一年增長 2.6%,比 2020 年增長 12.7%。因此,我們必須承認并解決影響數(shù)據(jù)泄露。在本文中,我們將探討導致數(shù)據(jù)泄露帶來的高昂代價的因素,以及如何減輕這些損失。
      

      數(shù)據(jù)泄露的成本是多少?影響數(shù)據(jù)泄露成本的因素-南華中天
      

      數(shù)據(jù)泄露的成本是多少?
      

      數(shù)據(jù)泄露的平均成本為 435 萬美元。然而,沒有兩個漏洞是相同的,計算價格標簽是一項復雜且多方面的任務。這個數(shù)字可能會因多種因素而有很大差異,例如受影響組織的規(guī)模和行業(yè)、被泄露的數(shù)據(jù)類型以及受害者的位置。
      

      美國
      

      美國連續(xù)12年保持數(shù)據(jù)泄露成本最高國家的地位。美國的平均數(shù)據(jù)泄露成本為944 萬美元,比全球平均水平高出 509 萬美元。在美國,數(shù)據(jù)泄露通常更昂貴的主要原因之一是市場規(guī)模。由于美國的人口比大多數(shù)其他國家多得多,因此它有更多的潛在受害者和更高的補救成本。
      

      另一個因素是聯(lián)邦和州層面復雜且不斷發(fā)展的一套數(shù)據(jù)保護法規(guī)。遭受數(shù)據(jù)泄露的公司會因違規(guī)而被罰款和處罰,從而增加了泄露成本。最后,美國的訴訟文化意味著受影響的組織經常面臨來自客戶或股東的法律訴訟,從而導致高昂的法律費用和和解成本。
      

      其他國家和地區(qū)
      

      數(shù)據(jù)泄露是一個全球性問題,可能發(fā)生在任何地方。然而,它們在商業(yè)集中度更高、對數(shù)字基礎設施的依賴程度更高的發(fā)達國家更為普遍。
      

      另一方面,欠發(fā)達地區(qū)易受攻擊的數(shù)字系統(tǒng)和網絡較少。然而,隨著它們繼續(xù)發(fā)展和數(shù)字化,它們也將變得更容易受到網絡攻擊。
      

      以下是除美國外因數(shù)據(jù)泄露而遭受高于平均水平損失的國家/地區(qū):
      

      中東 有幾個高價值的網絡犯罪目標,例如石油和天然氣公司以及金融機構。該地區(qū)在平均數(shù)據(jù)泄露總成本方面保持第二高的地位,2021 年增長 7.6%,到??2022 年達到 746 萬美元。
      

      加拿大 嚴重依賴技術部門并制定了嚴格的數(shù)據(jù)保護法,包括《個人信息保護和電子文件法》( PIPEDA )。加拿大排名第三,2022 年的平均違規(guī)成本為 564 萬美元,比上年增長 4.4%。
      

      英國 擁有許多大型跨國公司和蓬勃發(fā)展的中小企業(yè)部門。該國還有一些世界上最嚴格的數(shù)據(jù)保護法,包括《通用數(shù)據(jù)保護條例》( GDPR ) 和《 2018 年數(shù)據(jù)保護法》。2022年,英國超越德國、日本和法國,成為17個國家中的第四位。英國數(shù)據(jù)泄露的平均總成本上升了 8.1%,達到505 萬美元。
      

      德國 是一個工業(yè)強國,擁有強大的數(shù)據(jù)保護法,例如 GDPR 和聯(lián)邦數(shù)據(jù)保護法 ( BDSG )。德國的平均數(shù)據(jù)泄露成本下降了 0.8% , 到 2022 年 降至 489 萬美元。
      

      日本 有許多橫跨科技、汽車和金融服務行業(yè)的大公司,以及特別嚴格的數(shù)據(jù)保護法,包括個人信息保護 ( APPI ) 法。2022 年,日本的 平均數(shù)據(jù)泄露總成本下降了 2.5% ,降至 457 萬美元。
      

      按行業(yè)劃分的數(shù)據(jù)泄露成本
      

      由于各種因素,例如存儲的數(shù)據(jù)類型以及組織 IT 基礎設施的規(guī)模和復雜性,數(shù)據(jù)泄露的成本因行業(yè)而異。例如,處理大量敏感客戶數(shù)據(jù)的行業(yè)更有可能遭遇后果嚴重的違規(guī)行為。
      

      令人擔憂的是,在 2022 年, 接受調查的關鍵基礎設施組織中有 28% 遭受了勒索軟件攻擊,而17% 的組織因業(yè)務合作伙伴受損而遭到破壞。關鍵基礎設施組織的數(shù)據(jù)泄露平均成本為482 萬美元,比其他行業(yè)組織的平均成本高出100 萬美元。
      

      醫(yī)療保健行業(yè)再次受到重創(chuàng)。它以 1010 萬美元的價格連續(xù)第 12 年成為平均數(shù)據(jù)泄露成本最高的行業(yè)。此外,醫(yī)療保健提供商的 違規(guī)成本同比激增 9.4% ,自 2020 年以來增長了42% 。
      

      2022 年 IBM 數(shù)據(jù)泄露成本報告細目
      

      IBM 的年度數(shù)據(jù)泄露報告是該領域的黃金標準,提供最準確、最全面的數(shù)據(jù)泄露數(shù)據(jù)。最近發(fā)布的 數(shù)據(jù)泄露成本報告 揭示了許多有趣的見解。
      

      以下是報告中最值得注意的要點的細分:
      

      檢測和升級超過損失的業(yè)務成本
      

      檢測和升級是指確認違規(guī)、評估其影響并通知相關利益相關者。另一方面,業(yè)務損失成本代表客戶信任度和聲譽下降的財務影響,這不可避免地導致收入減少和難以獲得新客戶。
      

      六年來,檢測和升級首次超過損失的業(yè)務成本,成為最昂貴的類別。平均檢測和升級成本從 2021 年的 124 萬美元增加到2022 年的 144 萬美元,增幅為16.1% 。另一方面,業(yè)務損失成本 從 2021 年的 159 萬美元下降10.7%至 2022 年的142 萬美元。
      

      數(shù)據(jù)表明,消費者承認公司為保護他們的數(shù)據(jù)所做的努力,并認識到一些數(shù)據(jù)泄露是不可避免的,而不僅僅是公司的責任。此外,檢測和解決安全威脅的成本不斷增加反映了組織為增強其網絡安全而采取的額外措施。
      

      泄露的憑據(jù)仍然是主要的攻擊媒介
      

      憑據(jù)被盜或泄露仍然是數(shù)據(jù)泄露的最常見原因,也是2022 年19%泄露事件的 主要攻擊媒介。 雖然不是最昂貴的,平均成本為 450 萬美元,但憑據(jù)被盜或泄露造成的泄露也有平均持續(xù)時間最長,需要 327 天 才能檢測和遏制,比平均時間長 16.6%。
      

      網絡釣魚占數(shù)據(jù)泄露的 16% ,是第二常見的原因,但也是最昂貴的,平均造成 491 萬美元的 成本。在網絡釣魚之后,最昂貴的違規(guī)類型是企業(yè)電子郵件受損,平均成本為 489 萬美元。受損的商業(yè)電子郵件占 所有泄露事件的6% 。第三大損失是由于第三方軟件中的漏洞造成的,平均損失為455 萬美元。
      

      勒索軟件攻擊增加
      

      2022 年, 勒索軟件攻擊占違規(guī)事件的11% ,比 2021 年有所增加,當時勒索軟件占 7.8%。然而,勒索軟件攻擊的平均成本略有下降,從 2021 年的 462 萬美元下降到2022 年的 454 萬美元。這一成本略高于數(shù)據(jù)泄露的總體平均總成本,為 435 萬美元。
      

      平均而言,選擇不支付贖金的組織 比支付贖金的組織高出 13.1% 。具體而言,支付贖金的組織的違規(guī)代價為449 萬美元。相比之下,拒絕支付的組織不得不花費 512 萬美元,導致 兩組之間相差 63萬美元。
      

      影響數(shù)據(jù)泄露成本的因素
      

      數(shù)據(jù)泄露的成本受到一系列組織和技術因素的影響,這些因素在改善組織的網絡安全狀況方面發(fā)揮著至關重要的作用。讓我們探討可以輕松改進的方面。
      

      最省錢的因素
      

      以下是組織應實施的幾種策略,以降低 2023 年數(shù)據(jù)泄露的成本。
      

      人工智能與自動化
      

      全面部署安全人工智能和自動化的組織平均違規(guī)成本為 315 萬美元。這幾乎是 620 萬美元的一半,沒有 AI 安全性的組織不得不掏腰包。
      

      此外,與沒有安全人工智能的公司相比,擁有安全人工智能的公司檢測和遏制漏洞的時間平均減少了 74 天。換句話說,使用 AI 將違規(guī)生命周期從323 天減少到249 天。
      

      在過去兩年中,安全人工智能和自動化的采用顯著增長,增幅接近 20%。具體而言,這些技術的利用率從 2020 年的 59% 增加到 2022 年的 70%,凸顯了人工智能在保護組織免受數(shù)據(jù)泄露和其他安全威脅方面的重要性日益增加。
      

      零信任
      

      零信任 是一種日益流行的安全策略,旨在改善公司的安全狀況。與依賴基于邊界的方法的傳統(tǒng)網絡安全模型不同,在傳統(tǒng)網絡安全模型中,網絡內部的一切都是可信的,零信任不會自動信任任何用戶、設備或應用程序,無論它們是在網絡內部還是外部。
      

      相反,零信任要求在授予對任何資源或數(shù)據(jù)的訪問權限之前驗證每個用戶和設備的身份和安全性。這種方法最大限度地降低了未經授權訪問的風險,減少了攻擊面,并更有效地檢測和緩解威脅。
      

      近年來,事實證明采用零信任安全措施是一種具有成本效益的策略。根據(jù)當前數(shù)據(jù),采用零信任策略的組織平均節(jié)省近 100 萬美元,違規(guī)成本為 415 萬美元,而沒有采用 零信任策略的組織則為510 萬美元。
      

      事件響應計劃
      

      強大的事件響應(IR) 框架對于最大限度地減少數(shù)據(jù)泄露的影響和保持業(yè)務連續(xù)性至關重要。 擁有專門的 IR 團隊和定期測試計劃的企業(yè)報告說,與沒有 IR 團隊或沒有定期測試 IR 計劃的組織相比,數(shù)據(jù)泄露給他們造成的損失平均少 266 萬美元。成本節(jié)省代表 減少了 58% , 對于擁有強大 IR 框架的公司而言, 違規(guī)成本總計為 326 萬美元,而 沒有 IR 框架的公司則為592 萬美元。
      

      風險因素
      

      到 2023 年,以下因素將成為造成財務損失的最主要因素:
      

      響應時間慢
      

      違規(guī)的經濟后果與其未被發(fā)現(xiàn)的時間長短成正比。最新調查結果顯示,發(fā)現(xiàn)漏洞之前的平均持續(xù)時間為 277 天。勒索軟件攻擊是最難識別的,與其他漏洞相比,檢測時間平均要長49 天。相比之下,發(fā)現(xiàn)供應鏈漏洞需要大約26 天的時間。
      

      您可以通過以下方式縮短數(shù)據(jù)泄露的響應時間:
      

        

      1. 制定穩(wěn)健而清晰的事件響應計劃。
        2. 

      2. 定期進行培訓和演練,以確保做好準備。
        3. 

      3. 盡可能自動化檢測和響應過程。
        4. 

      4. 實施實時監(jiān)控技術和警報。
        5. 

      5. 在所有利益相關者之間建立明確的溝通協(xié)議。
        6. 

      

      遠程工作
      

      平均而言,涉及遠程工作的違規(guī)行為導致的成本比 不考慮遠程工作的違規(guī)行為高出 近100 萬美元——分別為 499 萬美元和 402 萬美元。此外,與遠程工作相關的數(shù)據(jù)泄露成本 比全球數(shù)據(jù)泄露平均成本高出約600,000 美元。
      

      由于以下幾個因素,遠程工作會增加數(shù)據(jù)泄露成本:
      

        

      • 個人設備的使用增加,這些設備通常不如公司發(fā)行的設備安全,并且缺乏足夠的端點安全性。
        • 

      • 網絡安全性較弱,因為遠程工作人員有時會使用公共 Wi-Fi 網絡或其他不安全的連接來訪問公司系統(tǒng)。
        • 

      • 人為錯誤的風險更大,因為遠程工作人員通常在不熟悉或分散注意力的環(huán)境中工作。
        • 

      

      云計算
      

      大約 45% 的數(shù)據(jù)泄露發(fā)生在云中,發(fā)現(xiàn)混合云的成本低于私有云或公共云。具體而言,混合云環(huán)境中泄露的平均成本為 380 萬美元,低于 私有云和公共云泄露的平均成本分別為424 萬美元 和 502 萬美元。與僅使用公共或私有云模型的組織相比,使用混合云架構的組織不僅體驗到更低的泄露成本,而且它們的泄露生命周期也更短。
      

      聲譽受損
      

      客戶的信任很容易失去并且很難重新獲得,而數(shù)據(jù)泄露的最大成本之一就是它對公司聲譽造成的損害。隨著競爭對手獲得相對優(yōu)勢,這種影響通常反映在其市場地位的變化上。
      

      例如,數(shù)據(jù)泄露會削弱公司的品牌價值,導致公司要求的溢價下降、客戶轉換成本增加以及市場份額流失。2022 年數(shù)據(jù)泄露造成的業(yè)務損失平均成本為 140 萬美元, 占總成本的 32% 。
      

      數(shù)據(jù)泄露對上市公司價格的影響反映在其股價中。根據(jù) 研究,經歷數(shù)據(jù)泄露的公司預計 在數(shù)據(jù)泄露發(fā)生后大約 110 個交易日后其股價將下跌3.5% 。違規(guī)對股價的長期影響更為顯著,平均股價 在違規(guī)一年后下跌8.6% ,表現(xiàn)低于納斯達克指數(shù)相同幅度。科技和金融企業(yè)對股價的影響似乎最為顯著,而電子商務和社交媒體公司受到的影響往往較小。
      

      值得記住的是,公司對數(shù)據(jù)泄露的響應方式會顯著影響其聲譽和隨之而來的財務后果。例如,隱瞞問題比違規(guī)行為本身更能損害客戶的信任。另一方面,主動向客戶披露違規(guī)行為會積極影響他們對公司誠信和透明度承諾的看法。
      

      法規(guī)、訴訟和罰款
      

      數(shù)據(jù)泄露會產生涉及響應和遏制的直接成本,但也可能導致巨額法律罰款和和解。受到高度監(jiān)管的行業(yè)尤其容易受到影響,因為它們經常面臨監(jiān)管機構的額外處罰,并且更有可能面臨受影響個人的法律訴訟。
      

      具有嚴格數(shù)據(jù)保護法規(guī)的行業(yè)的違規(guī)行為也往往會在違規(guī)后的幾年內產生成本。這種“長尾”效應意味著平均 24% 的成本會在事件發(fā)生兩年后累積。在監(jiān)管不嚴的環(huán)境中,影響并不明顯,成本往往會在前三到六個月內累積。
      

      無論是支付違規(guī)罰款、解決集體訴訟索賠,還是支付法律費用,企業(yè)都必須在其規(guī)劃中考慮潛在的監(jiān)管和訴訟費用。最后,值得記住的是,數(shù)據(jù)泄露的成本很可能會超出泄露本身的直接后果。
      

      數(shù)據(jù)泄露安全措施
      

      數(shù)據(jù)泄露是當今數(shù)字環(huán)境中的一個持續(xù)威脅,盡管人們試圖阻止它們,但它們幾乎不可能完全停止。
      

      以下是降低數(shù)據(jù)泄露風險的十項最佳實踐:
      

        

      1. 實施全面的安全計劃,包括定期漏洞評估和滲透測試。
        2. 

      2. 建立并實施強密碼策略,包括盡可能進行多因素身份驗證。
        3. 

      3. 使用最新的安全補丁更新所有軟件和系統(tǒng)。
        4. 

      4. 就適當?shù)陌踩珔f(xié)議對員工進行培訓,并提供持續(xù)的安全意識培訓。
        5. 

      5. 僅限需要的人訪問敏感數(shù)據(jù)和系統(tǒng)。
        6. 

      6. 加密傳輸中和靜態(tài)的敏感數(shù)據(jù)。
        7. 

      7. 實施監(jiān)控和日志記錄工具以檢測異常活動和潛在的安全漏洞。
        8. 

      8. 制定并定期測試您的事件響應計劃,以確保快速有效地響應潛在的違規(guī)行為。
        9. 

      9. 定期對關鍵數(shù)據(jù)進行備份,并測試備份和恢復過程。
        10. 

      10. 與擁有強大安全和隱私實踐的值得信賴的供應商和合作伙伴合作。
        11. 

      

      結論
      

      數(shù)據(jù)泄露的平均總成本在 2022 年達到 435 萬美元的歷史新高。這個數(shù)字可能會繼續(xù)增加。雖然數(shù)據(jù)泄露可能會造成毀滅性的后果,但它們也可以成為增長和改進的催化劑。通過應對這些挑戰(zhàn),組織可以獲得對其網絡安全態(tài)勢的寶貴見解,并確定需要改進的領域。此外,數(shù)據(jù)泄露提供了一個機會,可以通過展示對透明度和問責制的承諾來增強與客戶和利益相關者的信任。