信息化觀察網(wǎng)

在過去五年中，企業(yè)數(shù)據(jù)泄露的成本已經(jīng)飆升了12％，達到了現(xiàn)在的平均310萬英鎊（約合392萬美元）。

這一數(shù)據(jù)結(jié)果來自IBM公司發(fā)起、波耐蒙研究所（Ponemon Institute）完成的《數(shù)據(jù)泄露年度成本研究報告》，該報告強調(diào)了數(shù)據(jù)泄露為企業(yè)帶來的財務(wù)影響。

該報告同時還指出，49%的數(shù)據(jù)泄露事件是源于“無意的人為錯誤”和“系統(tǒng)故障”（IBM并未對此給予明確定義）；這兩種行為為組織帶來的損失分別為350萬美元和324萬美元。

這些成本包括組織在發(fā)生違規(guī)事件后受到的監(jiān)管和商業(yè)處罰。在歐盟，《通用數(shù)據(jù)保護條例》（GDPR）正在“大顯身手”，英國航空公司（面臨1.83億英鎊巨額罰款）和萬豪國際（面臨9920萬英鎊罰款）最近都受到了該法案的影響。

IBM在其報告中指出，對于醫(yī)療保健、金融服務(wù)、能源和醫(yī)藥等受到高度監(jiān)管的行業(yè)組織而言，第二年和第三年的損失成本會更高。

中小型企業(yè)（SME）的數(shù)據(jù)泄露成本

中小型企業(yè)的泄露成本尤為令人擔(dān)憂，正如該報告所強調(diào)的一樣，員工人數(shù)少于500人的公司在面臨違規(guī)處理后果時仍然要遭受超過200萬英鎊的損失。

該報告還發(fā)現(xiàn)，數(shù)據(jù)泄露成本通常會在3年內(nèi)蔓延：平均67%的泄露成本會累計在第一年，22%累計在第二年，11%累計在第三年。

IBM X-Force事件響應(yīng)和情報服務(wù)全球負責(zé)人Wendi Whitmore表示，“網(wǎng)絡(luò)犯罪對于網(wǎng)絡(luò)犯罪分子而言意味著巨額資金，但不幸的是，這對于企業(yè)而言則是重要的損失。僅在過去3年中，組織的117億多條記錄就遭到了泄露或盜竊，組織需要了解數(shù)據(jù)泄露可能會對其賬目盈虧造成的全部財務(wù)影響，并關(guān)注如何降低這些成本。”

據(jù)悉，這一由IBM安全部門發(fā)起，Ponemon Institute負責(zé)完成的報告，對全球500多家公司的內(nèi)部人員進行了采訪，而這些公司都曾在過去一年內(nèi)遭遇了數(shù)據(jù)泄露事件。

此外，安全公司Digital Shadows的早期報告也顯示，由于常用文件存儲技術(shù)的錯誤配置，導(dǎo)致現(xiàn)有23億個文件公開暴露在網(wǎng)絡(luò)上。其中，近一半的文件（10.71億）是通過服務(wù)器消息塊（SMB，首次設(shè)計于1983年的共享文件技術(shù)）協(xié)議公開的。其他配置錯誤的技術(shù)還包括FTP服務(wù)（20%）、rsync（16％）和網(wǎng)絡(luò)附加存儲設(shè)備（3％）。

補充：Ponemon計算數(shù)據(jù)泄露成本的方法

計算數(shù)據(jù)泄露的成本是一個很有挑戰(zhàn)性的工作，因此，計算模型和方法十分重要。同時，我們必須清楚認識到任何模型都一定存在局限性，因此，對于調(diào)查結(jié)果數(shù)據(jù)必須辨證的去看待。

首先是范圍的界定。Ponemon定義數(shù)據(jù)泄露為：個人姓名和醫(yī)療記錄和/或財務(wù)記錄或借記卡/信用卡處在潛在風(fēng)險的事件 – 無論是電子的或紙質(zhì)的。但不包括知識產(chǎn)權(quán)、商業(yè)秘密和商業(yè)機密信息等高價值信息資產(chǎn)的數(shù)據(jù)泄露。

其次是計算模型。Ponemon從4個維度去考量成本：檢測和響應(yīng)的成本（包括調(diào)查取證、評估審計、危機管理、內(nèi)部溝通等活動所耗費的成本）、通知成本（包括通過各種方式告知受害人、與司法及主管部門等外部溝通活動所耗費的成本）、善后成本、業(yè)務(wù)喪失成本（包括業(yè)務(wù)中斷、收入減少、客戶流式、商譽減值等）。

根據(jù)上述4個維度，Ponemon設(shè)計了一套度量指標，然后通過調(diào)查問卷訪談獲得每個指標的數(shù)值（都是由受訪者主觀填寫的），再對這些指標進行計算，計算的時候又分為三種成本數(shù)值，分別是直接成本、間接成本和機會成本。然后再計算總的成本，并采用通過蒙特卡洛模擬方法對重大數(shù)據(jù)泄露事件進行進一步分析。