美国关键信息基础设施数据泄露的成本

在大流行期间，企业和消费者亲眼目睹了基础设施出现故障时会发生什么。2019 年，全球关键基础设施保护 (CIP) 市场规模为 963 亿美元。预计到 2027 年将增长到 1545.9 亿美元，复合年增长率为 6.2%。最重要的是，每当关键部门的组织成为任何类型的网络安全事件导致数据丢失的受害者时，该事件都被视为关键基础设施数据泄露。让我们看一下有关该领域数据泄露的事实以及如何防范它们。 

什么是关键基础设施？

美国网络安全和基础设施安全局 (CISA)将 16 个基础设施部门列为对国家至关重要的部门。这些关键部门包括金融服务、关键制造业、信息技术、能源、交通系统、通信、医疗保健和公共卫生、食品和农业以及紧急服务。

CISA 将某些行业指定为关键行业，因为它们的资产、系统和网络，无论是物理的还是虚拟的，都被认为对美国至关重要，以至于它们的失能或破坏将对安全、国家经济安全、国家公共卫生或安全或这些因素的某种组合。当关键行业的组织中出现网络安全问题时，会产生连锁反应，产生许多意想不到的后果。

例如，Colonial Pipeline 勒索软件攻击关闭了一条从德克萨斯州到纽约延伸 5,500 英里、每天输送多达 300 万桶燃料的输油管道。为期五天的停工使东海岸的可用天然气量减少了一半。因此，许多地区经历了天然气短缺和高价格。此外，Colonial Pipeline 支付了 450 万美元的赎金来恢复其受损系统，并因运营失误和管理失误而面临更多罚款。这次袭击还导致美国运输安全管理局针对美国管道发布了新指令，以防止类似袭击并减少其影响。

什么是关键基础设施数据泄露？

每当关键部门的组织成为任何类型的导致数据丢失的网络安全事件的受害者时，该事件都被视为关键基础设施数据泄露。IBM 2022 年数据泄露成本报告揭示了针对关键基础设施行业的攻击类型细分如下：

• IT 故障 (25%)

• 人为错误 (22%)

• 第三方业务伙伴 (17%)

• 破坏性攻击 (16%)

• 勒索软件 (12%)

• 其他恶意攻击 (8%)。

关键基础设施数据泄露的影响

有趣的是，关键基础设施数据泄露的平均成本比其他数据泄露高出 100 万美元以上。它的平均成本为 482 万美元，而制药、服务、娱乐、消费品、媒体、酒店、零售和研究等行业的平均成本为 383 万美元。这些总数不包括数据泄露和服务中断对消费者和其他企业的影响。这些可能包括供应链问题或因护理延误而导致的更大医疗保健成本。

毫不奇怪，医疗保健继续其 12 年的统治，成为数据泄露成本最高的行业。2021 年，医疗保健数据泄露的平均成本为 923 万美元。然而，新报告发现，2022 年的平均成本增加到 1010 万美元，增长了 9.4%。其他关键基础设施行业排名前四，金融服务以 597 万美元位居第二。其他高成本的关键基础设施行业包括技术（497 万美元）和能源（472 万美元）。

尽管关键基础设施的成本更高，但该报告发现，与其他行业相比，防御者发现并控制漏洞的速度更快。这证明，如果没有网络安全工作者的快速行动和高优先级，成本将会更高。关键基础设施行业的平均识别时间为 204 天，而其他行业为 211 天。关键基础设施行业的平均遏制时间为 69 天，而其他行业为 71 天。总体而言，关键基础设施行业的综合平均天数比其他行业的平均天数 282 天短 9 天。 

零信任可以降低数据泄露的成本

报告中有一个令人惊讶的发现：关键基础设施组织使用零信任框架的可能性要小得多。通过零信任方法，组织可以摆脱保护边界和端点的传统策略。相反，该组织通过假设来自应用程序、用户和设备的所有访问请求都未经授权来降低风险。然后用户必须证明不是这样，因为组织以零信任满足每个请求。

关键基础设施违规的成本较高可能与这些行业中框架采用率较低有关。该报告发现，关键基础设施行业的五分之一的组织正在使用零信任。然而，41% 的组织（包括关键和非关键基础设施行业）现在使用零信任方法。

该报告发现，使用零信任方法的关键基础设施组织的平均违规成本为 423 万美元。同时，不使用零信任方法的关键基础设施组织的平均成本为 540 万美元。每次违规的差异为 117 万美元。关键基础设施行业组织只需使用零信任方法即可降低违规成本。

在关键基础设施行业实现零信任

虽然完全改变您的网络安全方法的前景可能会让人感到难以承受，但零信任包含多种类型的流程和技术。从小处着手，使用一种零信任方法，例如多因素身份验证或微分段，您的组织可以开始看到这种方法的好处。

随着组织在零信任方面的经验越来越丰富，组织可以通过添加更多技术和策略来构建其初始框架。该报告发现，零信任的成熟度会影响所有组织的违规成本。这在关键基础设施部门和其他行业都是如此。采用成熟的零信任方法的组织比刚刚开始其旅程的组织少花费了 151 万美元。

创建一个完全成熟的零信任框架不会在一夜之间发生。通过今天开始您的旅程，您的组织可以开始降低违规风险和成本。

因为您处于关键基础设施行业，您的网络安全决策不仅仅会影响您的员工和客户。它们影响着全国乃至全世界的人们。通过零信任方法，您的组织可以确保它能够提供其他人所依赖的服务。

来源：IBM

原文始发于微信公众号（河南等级保护测评）：美国关键信息基础设施数据泄露的成本