安在：数据泄露的成本你计算过吗？

文章来源 ：安在

从雅虎、Facebook，到万豪国际、Twitter，再到最新的三星数据泄露，数据泄露事件层出不穷，其成本往往会受到事件类型、严重性、监管、公司规模、部门和地区等因素的影响。无论如何，一旦发生相关事件，企业都会面临经济、名誉等多个层面的损失，在当前越来越来严峻的监管态势下，数据泄露是企业最不愿意面对的安全事件之一。

与数据泄露对应的是数据安全，我国自去年发布并实施《数据安全法》以来，各行各业对数据的重视程度与日俱增，国家对数据的监管要求也越来越高。如今，《数据安全法》正式实施一周年，越来越多的企业也加入到建设数据安全当中。但随着进一步了解和建设，数据安全也反映出了很多问题，部分专家表示，企业数据安全并不好做，根本原因在于不同时期的数据形态各不相同，传统的基于边界防护的安全防御思想并不能完全匹配数据安全的建设需求。数据泄露的成本如何计算？数据安全到底应该怎么做？安全运营是数据安全的最终形态吗？

IBM的2022年报告引用了几个影响数据泄露成本的因素。例如，医疗保健领域的平均数据泄露事件在2022年增加了近100万美元，达到1010万美元，这也是所有行业中成本最高的。金融机构的成本位居第二，平均为597万美元。关键基础设施组织的数据泄露平均成本通常为 482 万美元，比其他行业组织的平均成本高出100万美元。数据泄露平均成本最高的前五个国家和地区分别是美国（944万美元）、中东（746万美元）、加拿大（564万美元）、英国（505万美元）和德国（485万美元）。

在安全技术和准备方面，完全部署了人工智能和自动化的企业的泄露成本比没有部署的组织的低305万美元。与采用零信任方法的企业相比，未采用零信任的企业通常平均多支付100万美元的泄露成本，同时，拥有测试及应急响应团队的企业平均降低266万美元的泄露成本。IBM的报告发现，当远程工作是导致数据泄露的因素时，数据泄露成本将高出近100万美元。

声誉损失虽然是一个陈词滥调，但企业真的不能为消费者信任付出任何代价，声誉受损仍然是2022年组织最重要的数据泄露成本之一。Forrester高级分析师Allie Mellen表示，客户信任很容易被打破，而且很难建立。

UST首席商务官Bob Dutile对此表示赞同。他认为，数据泄露的成本通常体现在市场的相对竞争变化中。当公司声誉受损时，品牌将无法获得更高的溢价，客户转换成本将会更高，市场份额将被压缩。他表示，对于上市公司而言，数据泄露的近期影响可以反映到股价走势中。

Guidehouse 的副主任Glenn J. Nick表示，数据泄露成本还有一个特殊的成本，那就是知识产权的损失。他认为，媒体往往会关注数据泄露期间，企业的经营数据，但实际上，知识产权或专利的泄露将会破坏企业的发展。被盗的专利、工程设计、商业机密、版权、投资计划以及其他专有和机密信息可能导致公司丧失竞争优势、收入损失，以及对公司造成持久且可能无法弥补的经济损失，这点在智能制造行业表现得更加明显。

值得注意的是，企业如何响应也会为成本带来影响，Mellen表示，建立与消费者和客户之间的信任非常非常重要，通过建立透明度和采用同理心等方式能够极大改善数据泄露后客户对企业的看法，但如果企业想要将事件隐瞒，或许会真正失去消费者的信任，这将比数据泄露的成本更高。

越来越严格的数据保护和隐私法以及诉讼导致越来越多的公司处以巨额罚款，支付巨额和解金，并在数据泄露和违规行为后支付法律费用。这种事件在今年已经上演了很多次，网约车公司滴滴被中国网信办罚款80.26亿人民币，亚马逊因违反GDPR的cookie规则被罚款8.77亿美元，T-Mobile同意支付3.5亿美元以解决从2021年年初开始的数据泄露事件后的合并集体诉讼，谷歌同意支付6000万美元罚款以解决用误导方式获取澳大利亚消费者的位置数据。

IBM的2022年报告发现，在受到高度监管的行业中，平均24%的数据泄露成本是在数据泄露发生两年多之后产生的。无论是根据数据保护法规受到处罚、解决个人或团体提起的集体诉讼索赔，还是为法律代表/总法律顾问掏腰包，企业都应该为围绕数据泄露的潜在监管和诉讼支出做好计划。

“受监管的行业不仅要承担数据安全的直接成本，还要承受来自监管的压力。Nick表示，受到高度监管的行业，例如医疗保健和金融服务将支付比其他行业更多的违规罚款。“受害组织通常需要数年的时间进行调查和裁决，才能与受影响的各方达成金钱和解。” 他表示，法律费用是组织在数据泄露中面临的最大支出之一，组织内部很少有法律和隐私方面的专业知识，为确保合规，还必须聘请外部法律顾问。

根据IBM的2022年报告显示，在调研的550家遭受数据泄露的组织中，有62%的企业表示没有足够的人员满足企业的安全需求，这些企业的数据泄露成本平均超过55万美元。

Mellen表示，如果因安全人员不足导致数据泄露成本增加，要更加注重员工的维护。她认为，如果企业无法在发生数据泄露时保护好客户，或者将问题归咎于员工，会致使员工离开公司。这不仅会使企业缺乏资源，而且还意味着他们需要分摊招聘和入职新员工所涉及的成本。“对于组织来说，认识到他们需要承担责任并保护他们的员工和客户是非常重要的，”Mellen 补充道。

防范数据泄露，需要一套严密的体系，这也是当前很多企业着重建设的。但部分专家认为，数据安全的基础是数据的分类分级，许多企业虽然有相应的制度，但真正落实的屈指可数。数据分类与数据分级是两个概念，数据分类更多是从业务角度出发，数据分级更多是从满足监管要求的角度出发。

数据分类就是把具有某种共同属性或特征的数据归并在一起，通过其类别的属性或特征来对数据进行区别。换句话说，就是相同内容、相同性质的信息以及要求统一管理的信息集合在一起，而把相异的和需要分别管理的信息区分开来，然后确定各个集合之间的关系，形成一个有条理的分类系统。比如，根据数据分类，企业的数据可分为研发数据、业务数据、生产数据等。

数据分级是根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度，按照一定的原则和方法进行定义。数据分级更多是从安全合规性要求、数据保护要求的角度出发的，我们称他为数据敏感度分级似乎更为贴切。数据分级本质上就是数据敏感维度的数据分类。

与此同时，由于任何时候，数据的定级都离不开数据的分类。通常，数据分级是在数据分类的基础上，采用规范、明确的方法区分数据的重要性和敏感度差异，按照一定的分级原则对其进行定级，从而为组织数据的开放和共享安全策略制定提供支撑的过程。因此，我们在数据安全治理或数据资产管理领域，都是将数据的分类和分级放在一起做，统称为数据分类分级。

实际上，如何开展、怎样开展数据分类分级工作，对绝大多数单位组织而言，依然是一项很困难的事情。无标准难规范、有标准难落地、已落地难应用，问题众多。

第一是如何选择分类维度，数据进行分类可以有很多维度，包括基于数据形式的、数据内容的等等。基于数据形式可以按照数据的存储方式、数据更新频率、数据所处地理位置、数据量等进行分类；数据内容可以根据数据所涉及的主体、业务维度等多个维度进行分类。

不同维度各有价值，如何选择一个维度对数据进行分类需要考虑数据分类的目的，但是很多时候大家都希望通过一个分类维度实现多个目标，或者将两个分类维度混合进行分类。分类维度的不清晰会导致后续基于分类的很多操作都存在问题。

另外，针对单一分类维度下的类别划分也是很大的挑战。例如，基于内容进行分类的维度，面临数据可能分类不全、类别不清晰的问题。主要原因是大范围内的内容分类是一个很复杂的问题，甚至可能涉及知识分类的问题，这在目前还是一个较为难以解决的问题。类别划分有问题会导致存在有些数据无法分到一个分类下，而有些数据又同属于两个分类。

第二，数据分级也面临着很多痛点。首先是定性到定量，针对信息资源的分级，需要根据信息内容确定，目前没有科学的方法和范式支撑构建信息内容的数学模型，因此很难准确定量地进行数据内容描述。有些组织会按损害影响程度进行数据定级，但影响程度没有定量的描述，所谓针对公民的损害，是造成财产损失还是身体伤害，是造成10万的财产损失？还是100万的财产损失？这样的描述难以在实际操作过程中给定级的人员准确的依据去判断信息资源属于哪一个级别。其次，分级的级数也是一个问题。组织在数据分级时，需要找到一个合适的级数，使得在使用过程中达到效率和安全管控的平衡。过多的分级会给实际使用带来困难，太少的分级又会使得管控难以准确地约束数据。

首先，企业一定要根据业务开展范围，界定试用的法律法规，监管条文，和涉及哪些合规测评等。并由数据合规部门，推进数据合规执行，对测评出的不符合项进行整改，完善数据合规技术体系和管理体系。数据合规是刚性需求，不以企业意志为转移。

其次，要了解数据安全水位。企业数据安全建设成熟度依赖于企业的传统信息安全水位，传统信息安全水位依赖于领导层对于安全的重视程度。如果安全部门时一级部门，说明企业对数据安全的重视程度较高，推行一些措施所遇到的阻碍也相对较小。除此之外，数据安全水位还和部门建设情况相关，可以从人、事、物三个纬度评价，第一，安全部门有多少人，什么水平，合作的是那些人？第二，安全部门做了哪些事情，处于哪个阶段？第三，安全部门的资源如何？高层会给予足够的预算和支持吗？

第三，依赖于现有安全建设水位，进行数据安全建设。数据安全体系的建设，离不开基础安全设施的建设，比如传统的数据防泄漏设备部署，终端安全管控等，但不同于传统基础安全的是，传统基础安全的后续工作偏向于运维，而数据安全更趋近于一套类似于完整信息安全体系的框架，包括数据安全的组织机构、技术手段、管理手段、人员配备等。如果安全部门有足够的资源和人力支持，可以选择自研或采购数据安全产品，如果没有，只能先从合作抓起，比如和法务部门、人力部门、产品经理等合作，共同开始数据相关项目，并进行专项治理，同时完善流程建设，争取足够的资源支持，在扩充团队的同时进行人员梯队培养。如果内部有企业标准，也可以把数据标准融入其中。

8月6日及8月26日，安在新媒体邀请多位专家针对数据分类分级及数据安全运营进行了相关讨论，几位专家针对数据分类分级落地，数据安全发展态势和数据安全平台化运营发表了看法和观点。

《大话数据安全：分类分级不简单》

平安科技信息安全总监郑太海表示，企业往往将数据分类分级当成技术难题，但实际上，数据分类分级需要深入业务，技术到安全到厂商的循坏是当前数据分类分级建设的最大误区。模板式的解决方案并不能帮助企业解决问题，比如财务部门的预算数据、报表数据等动态的数据是很难通过模板来分类分级。第二，数据分类分级不能追求一步到位，而是要按部就班，需要一个部门一个部门的建设。第三，不能头痛医头脚痛医脚，数据分类分级需要顶层的设计和全局的视角，很多企业要么是监管驱动，要么是事件驱动，没有全局的视角是很难建设起来的。

OPPO数据安全架构师刘玉霞表示，一些互联网标杆企业已经朝着数据安全自动化、平台化、体系化的方向发展，这有两点原因。第一是因为数据安全的前期工作是在打点，点大的多了就需要考虑闭环，就会考虑体系化。第二是因为企业考虑降本，数据安全建设初期对人力的需求特别大，成本投入也非常高。因此，企业需要在不大幅增加人力的基础上落地数据安全，需要通过体系化降低人力成本，形成标准。

《大话数据安全：平台化运营怎么做？》

安华金和高级副总裁&事业中心总经理杨海峰表示，很多企业已经从传统面向具体场景或具体能力的数据安全转向系统的、体系的运营，从单点数据安全向体系化数据安全转变。背后的原因不难理解，企业掌握着越来越多的数据，同时数据的使用场景也在快速地增长，相对的，企业面向的数据安全威胁及付出的代价也在不断地增长。依靠单一的防护手段只能满足单点场景的安全需求，很难形成全面的能力。所以基于自身数据安全长远的一种考虑，企业也会希望构建一体化的数据安全能力，来面对复杂的安全形势。随着法律法规的出台，后面还会陆续涌现出一些新的管理要求，常态化保障数据安全的能力是企业必须要做的。

金融行业信息安全专家蔚晨表示， 数据安全和网络安全最大的区别在于网络安全职责绝大部分由IT部门承担，其他业务部门参与为主，而数据安全则会让安全和业务之间有更多的“互动”。金融行业的数据安全最初更多服务于业务的基本需求，直到电信诈骗开始泛滥，金融行业的数据安全问题直接关系到业务的发展，至此业务与安全部门的合作意愿大大增加。然而，随着金融行业监管力度的逐渐提升，业务部门的安全要求也越来越高，比如企业级的数据仓库、数据湖等数据汇集、分析组件的快速发展，这也是金融行业在数据安全方面稍稍领先其它行业的很大原因。

时至今日，我国《数据安全法》已经落地实施一周年，相关处罚案例业已登文见报。企业数据安全虽然往往基于合规的要求，但实际的风险不容小觑。合规只是企业数据安全建设的第一步，如何建立起一道真正的防护墙，如何保障用户和企业信息安全，如何保障企业和品牌的名誉是企业下一步应该做的。