数据泄露的成本不容易定义,但随着越来越多的组织成为网络攻击和暴露的受害者,潜在的财务影响正变得越来越明显。
对于各种形式和规模的现代企业来说,遭受数据泄露带来的经济影响是巨大的。IBM最新的数据泄露成本报告发现,在2022年,全球数据泄露的平均成本达到了435万美元的历史新高。这一数字比上一年增加了2.6%,比2020年增加了12.7%。
事件类型和严重程度、监管标准、公司规模、部门和地区等因素可能会显着影响数据泄露可能给企业造成的损失,但所有组织都有必要仔细评估并为即将到来的经济损失做好准备,因为一旦他们成为受害者,可能会遭到比其他更严重的破坏或金钱损失。
IBM的2022年报告提到了几个影响数据泄露成本的因素。例如,2022年,医疗保健领域的平均数据泄露增加了近100万美元,达到1010万美元,是所有行业中最高的,而金融机构的数据泄露成本排名第二,平均597万美元。关键基础设施组织的数据泄露平均成本通常比其他行业组织的平均成本高出482万至100万美元。
数据泄露平均成本最高的5个国家和地区分别是:美国944万美元、中东746万美元、加拿大564万美元、英国505万美元和德国485万美元。
在安全技术和防范方面,对完全部署安全人工智能和自动化的组织的攻击成本比没有部署安全人工智能和自动化的组织的攻击成本低305万美元。在此次研究中,节省成本最大的差异有65.2%。拥有事件响应团队的企业测试其响应计划,比没有团队且无测试计划的组织平均少支付266万美元的成本。
IBM报告发现,当远程工作是导致数据泄露的一个因素时,其成本比远程工作不是原因的漏洞平均高出近100万美元。与此同时,据计算,2022年一次网络钓鱼攻击的平均成本为491万美元,而勒索软件的平均成本为454万美元,被盗或泄露的证书的平均成本为450万美元。
专家认为,声誉受损仍然是组织在2022年最重要的数据泄露成本之一。Forrester高级分析师Allie Mellen称,客户信任很容易被打破,但很难建立。
UST首席商务官Bob Dutile对此表示认同,他说:“首要的问题是声誉影响,数据泄露的成本通常在市场上相对竞争的变化中体现出来。”“企业发现,他们的品牌没有同样的溢价,客户转换成本更高,市场份额流失。对于一家上市公司来说,对成本影响的近期评估会反映在股价走势上。”
Dutile 表示,不包括最大的泄露和最小的勒索软件攻击,研究表明,对于面临低于 250,000条记录的中型企业而言,800万 - 1000 万美元是一个适当的价格,其中约三分之一的成本将用于因声誉受损而遭受业务损失。
Guidehouse 的副主任 Glenn J. Nick称:“对受害组织继续产生重大影响的一个特殊成本是知识产权的盗窃/损失。” “媒体倾向于在数据泄露期间关注客户数据,但失去知识产权可能会破坏公司的发展,”他说。“被盗的专利、工程设计、商业秘密、版权、投资计划和其他专有和机密信息可能导致公司丧失竞争优势、收入损失以及持久且可能无法弥补的经济损失。”
Coalfire的Field CISO Jason Hicks表示,对于一个被网络入侵的组织来说,业务宕机的成本可能会非常高,这取决于宕机的水平和程度,以及公司对技术的依赖程度。“通常情况下,漏洞不会让一家公司完全下线,但它是有可能发生的。越关键的系统被摧毁,成本就越高。”
随着越来越严格的数据保护和隐私法律以及诉讼,越来越多的公司在数据泄露和不合规后被处以巨额罚款、和解金并支付法律费用。这种情况今年已经发生了好几次。
滴滴被国家互联网信息办公室罚款80.26亿元(11.9亿美元),原因是该公司违反了国家的网络安全、数据安全和个人信息保护法。与此同时,亚马逊因违反 GDPR cookie 规则而被罚款 8.77 亿美元,T-Mobile 同意支付 3.5 亿美元以解决从 2021 年初开始的数据泄露事件后的集体诉讼,谷歌同意支付 6000 万美元,因为在获取位置数据方面误导澳大利亚用户。
IBM的2022年报告发现,在监管严格的行业,平均24%的数据泄露成本是在数据泄露发生两年以上后产生的。无论是受到数据保护法规的惩罚,还是解决个人或团体提出的集体诉讼索赔,还是支付法律代表/总法律顾问的费用,现实情况是,所有企业都应该计划好围绕数据泄露的潜在监管和诉讼支出。
Nick说:“受监管的行业不仅要承受应对、控制和弥补漏洞的直接成本,还要承受监管机构的额外惩罚和法律和解的长期影响。”他补充称,医疗保健和金融服务等监管严格的行业,通常是每次违规排名的前两名,因为它们将支付比其他行业更多的违规罚款。
根据IBM的2022年报告,在被调查的550家数据泄露的组织中,有 62% 的人表示他们没有足够的人员来满足他们的安全需求,比那些有足够人员的组织平均多出55万美元的数据泄露成本。
无论具体的成本是多少,专家们一致认为,做好准备是管理数据泄露带来的经济影响的关键。提前检测存储数据相关软件安全漏洞,数据是否进行备份及加密,数据泄露应急预案等,做好数据安全防御准备。Dutile说:“更快的事件响应将继续成为降低违规成本的一个明显因素。”“最严重的损失是那些长时间未被发现或反应缓慢或无效的人。”