对于各行各业、规模不一的现代企业而言,数据泄露所带来的经济损失是非常庞大的。IBM最新发布的《数据泄露成本报告》揭示,在2023年3月至2024年2月期间,全球数据泄露的平均成本攀升至488万美元,创历史新高。与截至2023年2月的同期相比,这一成本上升了10%,与2018年相比更是增长了26.4%。纵观过去十年,数据泄露的成本已累计上涨了39.4%。
Beauceron Security的联合创始人David Shipley指出:“自2023年下半年以来,我们就观察到企业开始削减安全人员和安全预算,这份报告印证了我一直以来的担忧。网络犯罪的猖獗以及网络安全投入的削减导致了这些可预见的后果。”
在参与本次研究的604家组织中,有高达70%的组织因数据泄露而遭受了非常严重的业务中断。
在平均识别时间(MTTI)和平均遏制时间(MTTC)方面,防御方取得了显著进步,两项时间总和达到了七年来的最低点,即258天,相比去年下降了7%。同时,检测和升级的平均成本也相对稳定,仅增长了3%,达到了163万美元。然而,业务损失和泄露后响应的成本却分别增长了13.1%和12.5%,其也是导致整体数据泄露成本上升的重要因素。
泄漏成本方面,美国已经连续14年位居榜首,其数据泄露的平均成本高达936万美元。尽管与2023年的948万美元相比略有下降(1.3%),但每次泄露的成本仍然比其他国家要高出50多万美元。在调查的16个国家和地区中,中东地区(报告中涵盖了沙特阿拉伯和阿拉伯联合酋长国)以875万美元的平均成本位列第二,其与2023年相比增长了8.4%。值得注意的是,各国参与调查的组织数量存在显著差异,例如,中东地区有39个受访者,而美国有71个。
加拿大(466万美元,降幅9.2%)和英国(453万美元,增幅7.6%)依然跻身于“受影响最严重的前十个国家”之列。此外,东盟(323万美元,增幅5.9%)、澳大利亚(278万美元,增幅3%)和印度(235万美元,增幅7.8%)也位列前十五名。
在过去的一年里,意大利(增幅22.5%,达到473万美元)、德国(增幅13.7%,达到531万美元)和巴西(增幅11.5%,达到136万美元)公司的数据泄露平均成本增长幅度最大。
在各行业中,医疗保健行业的数据泄露成本仍然遥遥领先,其平均每次泄露的成本为977万美元。不过,相较于2023年,该行业已取得了10.6%的降幅。值得注意的是,在2024年,有4个行业成功降低了其平均数据泄露成本,医疗保健行业是其中之一。其他三个实现成本降低的行业分别是研究行业(降幅2.5%)、教育行业(降幅4.3%)以及公共部门(降幅2%),它们共同构成了17个被调查行业中的“成本降低四杰”。
当谈及数据泄露时,个人身份信息(PII)会作为主要的被盗数据类型,这并不让人感到意外。在2024年,尽管其占比有所下降,从2023年的52%降至48%,但客户PII仍然是受损记录中的大头。与此同时,员工PII的占比在2023年位居第二,达到40%,但在2024年却滑落至第三位,占比37%,其位置被知识产权(IP)所取代。值得注意的是,2024年涉及被盗IP的数据泄露事件显著增加,占比高达47%,相比2023年的34%有了显著提升。
Guidehouse的副总监Glenn J. Nick强调,IP的失窃和损失是数据泄露所带来的一个严重后果。他指出,这一趋势的上升可能会对大多数组织产生深远的影响。
Nick进一步阐述道:“知识产权的丧失会对公司的成长造成毁灭性打击。被盗的专利、工程设计、商业秘密、版权、投资计划以及其他机密信息,其不仅可能导致公司失去竞争优势和盈利,同时还会给公司带来持久且难以弥补的经济损失。”
除了企业数据和匿名客户数据外,2024年还新增了一个被盗数据类型的类别:影子数据,即存储在非管理源中的数据。在2024年的数据泄露事件中,有三分之一(35%)的事件涉及影子数据。更为严重的是,根据报告,影子数据的失窃导致每次泄露的平均成本增加了16%。
报告还指出:“研究人员发现,跨环境存储数据已成为一种普遍的策略,其导致了40%的数据泄露事件,同时这些泄露事件的识别和遏制也变得更加困难。相比之下,仅存储在一种环境中的数据,无论是公共云、本地环境还是私有云,其发生泄露的频率更低。”
IBM安全副总裁Jennifer Kady补充道:“随着AI时代的到来,影子数据的风险将进一步加剧,因为数据是新AI应用程序的基础。因此,从安全角度对影子数据实现控制已成为公司的首要任务,尤其是在他们大量采用生成式AI时,务必要先确保安全和隐私能得到有效保障。”
尽管难以从多个维度进行精确衡量,但声誉损害无疑成为了数据泄露事件后最为突出的成本之一。Forrester的高级分析师Allie Mellen指出:“客户信任的建立极为艰难,而一旦受损,则难以修复。”
UST的首席商务官Bob Dutile对此持相同观点:“数据泄露所带来的成本,往往体现在市场竞争格局的相对变化中。许多公司发现,数据泄露后,其品牌溢价能力下降,客户转化成本上升,市场份额也遭受了损失。对于上市公司而言,这种成本影响的短期评估,会直接反映在股价上。”
Dutile进一步介绍,根据研究显示,在美国,对于一家面临25万条以下数据泄露的中型企业而言,800万美元至1000万美元是一个相对合理的规划预算。而在这笔预算中,约有三分之一将用于弥补因声誉影响而带来的损失。
Forrester的Mellen还提到,公司在应对数据泄露事件时的态度和沟通方式,将在很大程度上决定其声誉受损的程度。她强调:“了解如何维持消费者和客户的信任至关重要。在这方面,有一些行之有效的方法,比如增强透明度、运用同理心等,这些都能在很大程度上影响客户在数据泄露事件后对企业的看法。如果企业试图掩盖或隐瞒,那么这将比数据泄露本身更加严重地损害到客户对企业的信任。”
Coalfire的现场首席信息安全官Jason Hicks在与CSO的交流中提到,企业业务的中断可能会带来高昂的成本,具体金额取决于中断的严重程度,以及企业对技术的依赖程度。“尽管数据泄露事件不一定会让企业全面停摆,但这种情况并非不可能发生。受影响的关键系统越多,损失也会相应增大。”
Hicks进一步指出,在衡量业务中断成本方面,制造业通常具有较为准确的指标,因为当生产线因故停产时,每分钟的成本很容易计算出来。“对于大型制造业的日常而言,业务中断可能会带来高达数百万美元的损失。尽管其他行业的情况可能较为复杂,但仍可以通过构建相应的估算模型来合理预测这些行业的潜在损失。”
随着数据保护和隐私法规的趋严,以及诉讼案件的频发,众多企业在数据泄露和违规行为后,不仅要面对巨额罚款和高昂的和解费用,还需承担沉重的法律费用。这一趋势在近期愈发明显。例如,亚马逊因违反GDPR的cookie规定被罚款8.77亿美元;T-Mobile因2021年初的数据泄露事件,同意支付3.5亿美元以和解集体诉讼;而谷歌则因非法获取澳大利亚用户位置数据,被处以6000万美元的罚款。
Nick指出,受监管行业在应对数据泄露时,不仅要承担直接的响应、控制和修复成本,还要长期面对监管机构追加的处罚以及法律和解费用。他进一步强调,医疗保健和金融服务等高度受监管的行业,每次数据泄露的成本往往位居前列,因为这些行业需要支付更多的违规罚款。
Nick还提到,受害组织往往需要数年时间才能完成调查和裁决,并与受影响方达成金钱和解。在此过程中,法律费用已成为组织面临的最大支出之一。由于组织内部通常缺乏法律和隐私方面的专业知识,为确保合规,他们不得不聘请外部法律顾问来主导报告工作。
为应对数据泄露所带来的成本风险,企业纷纷寻求网络保险作为缓解之道。尽管近期网络保险保费的急剧攀升已逐渐平稳,但即便企业已经参与了投保,其一旦遭遇数据泄露,仍需额外支出以弥补损失。Guidehouse的Nick指出,保费上涨已成为了不争的事实。“部分企业反馈,数据泄露后其保费涨幅竟高达200%。”此外,保险公司还在不断收紧保险覆盖范围,这意味着即便企业已购买保险,在某些数据泄露的成本上仍需自担风险。
Forrester的Mellen则提醒,企业千万不要想当然,认为保险政策能助企业从网络攻击中避免所有损失。“实际上,保险并不能覆盖所有网络安全成本,而且有些保险公司甚至已将勒索软件排除在赔付范围之外。”
另一方面,Hicks还指出,网络保险提供商通常会有一份认可的服务提供商名单,其包括了律师事务所和法证公司等。“若企业的首选服务提供商未在其名单之上,那么就需要与保险公司协商将其纳入,或者去更换服务提供商。这可能会增加额外的成本,因为企业通常会利用现有的服务提供商,基于与合作伙伴的工作量来争取最大折扣。若因某种原因无法将其纳入名单,企业最终需自行承担相关成本,而非由保险赔付。”
当前证据显示,企业在应对数据泄露事件时,愈发倾向于将支付赎金作为应对举措,部分企业甚至为此预留出了高达数百万美元的专项资金。
Mellen对此表示:“我常被人问及的一个问题是:‘我们是否需要准备一个比特币钱包,以备支付赎金之需?’实际上,如果企业的备份数据未能得到妥善保管或未及时更新,勒索软件攻击可能会对企业的生存构成威胁,因此他们确实得为‘不得不支付赎金的那刻’做好准备。”
攻击者会评估、衡量企业愿意支付的金额。据ExtraHop数据显示,2022年,有83%的勒索软件受害者选择支付了赎金。
调查显示,在勒索软件攻击后选择报警会影响数据泄露事件的整体成本。2024年,有52%的勒索软件受害者报警求助,其中63%的受害者避免了支付赎金。与未报警的受害者相比,他们节省了近100万美元(不计已支付的赎金),数据泄露成本为438万美元(2023年为464万美元)。相比之下,2024年未报警企业的数据泄露平均成本高达537万美元(2023年为511万美元)。
IBM最新出炉的报告揭示,安全人才的稀缺已成为推高数据泄露成本的关键因素,由此产生的额外损失平均可达176万美元。鉴于网络安全技能缺口同比激增26.2%,未来数据泄露成本的增长趋势不言而喻。
面对如此现状,企业应悉心听取Mellen的警示,即数据泄露事件若处理不当,将对员工造成深远影响。她指出:“若员工认为企业在数据泄露时无法保障他们或客户的利益,他们可能会因此感到工作环境恶劣,进而寻求其他工作机会。因此,企业务必认识到,承担责任,保护员工及客户的隐私安全至关重要。”
在探讨如何降低数据泄露成本时,IBM将员工培训列为首要举措,即通过培训可帮助企业平均节省约26万美元的支出。
鉴于当前人员与技能短缺的现状,CISO们正积极寻求AI与自动化技术的支持。根据IBM最新发布的报告,采用安全AI与自动化工具的组织,在每次数据泄露事件中平均能节省222万美元的成本,这一数字相较于2023年的176万美元有了显著提升。
IBM的Kady指出:“尽管在报告的历史数据中,数据泄露成本持续上升占据主导地位,但我们同样观察到关键安全技术及其应用方法的采用正在不断改善。越来越多的组织开始采纳基于AI与自动化的安全策略,这是降低数据泄露成本的关键因素之一。”
此外,报告还列举了其他有助于降低数据泄露成本的技术与方法,按其影响程度从高到低依次为:安全信息与事件管理(SIEM)、事件响应规划、加密技术、威胁情报、身份访问管理(IAM)、安全编排、自动化与响应(SOAR)系统,以及端点检测与响应(EDR)工具。
面对数据泄露所带来的各种财务影响,专家们形成了一个共识:充分的准备工作是减轻这些影响的关键所在。
UST的Dutile强调:“要降低泄露成本,快速响应无疑是一个重要的驱动力。最不能接受的损失是那些长时间未被察觉,或者响应迟缓、效果不佳的情况。”
Forrester的Mellen进一步指出,在当今的网络安全环境中,我们必须具备一种“泄露后”的心态,即认识到数据泄露的发生几乎是不可避免的。“在这种情境下运营,我们需要思考的是如何妥善应对,并增强自身的恢复能力,以便更迅速、更有效地采取行动。这不仅仅局限于安全部门,而是需要整个组织的共同努力。我们要考虑营销部门、销售部门等各个部门的应对策略,即作为一家企业,我们该如何向客户展示出我们的重视,以及我们会如何尽快、有效地解决问题。”
What is the cost of a data breach? | CSO Online
作者:
Michael Hill CSO Online编辑
原文始发于微信公众号(安在):每数据泄露一次就会损失488万美元
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论