2016年全球數(shù)據(jù)泄露成本調(diào)研 |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2016-07-24 瀏覽次數(shù): |
信息來(lái)源:安全牛
上月,IBM聯(lián)合 Ponemon Institute 發(fā)布報(bào)告《2016年數(shù)據(jù)泄露成本研究:全球分析》,包括美國(guó)、歐洲、亞太、中東、南非 等12個(gè)國(guó)家和地區(qū),383家曾遭遇過(guò)數(shù)據(jù)泄露事件的企業(yè)進(jìn)行調(diào)研,并從經(jīng)濟(jì)影響的角度,給出企業(yè)在防范和減少事件所帶來(lái)的不良后果時(shí)的資源投入?yún)⒖肌?/span> 2014到2016財(cái)年數(shù)據(jù)泄露每條記錄的平均成本 安全牛第一時(shí)間拿到中文版報(bào)告全文,現(xiàn)將主要結(jié)論整理如下。 一、全球各行業(yè)數(shù)據(jù)泄露成本差別及影響數(shù)據(jù)泄露成本的因素 除了澳大利亞和南非,與去年相比,所有國(guó)家/地區(qū)的總平均成本均有所增加。美國(guó)樣本的總平均成本最高,價(jià)值超過(guò)701萬(wàn)美元;德國(guó)緊隨其后,價(jià)值為501萬(wàn)美元。相比之下,印度和南非企業(yè)的總平均成本最低,分別為160萬(wàn)美元和187萬(wàn)美元。 而在泄露和受損記錄數(shù)量上面,印度、阿拉伯地區(qū)和美國(guó)企業(yè)的丟失或被盜記錄平均數(shù)最高。南非的丟失或被盜記錄平均數(shù)最低。 泄露記錄平均數(shù)(按國(guó)家/地區(qū)劃分) 而在某些特定行業(yè),比如受到嚴(yán)格監(jiān)管醫(yī)療、教育和金融等,每條記錄平均數(shù)據(jù)泄露成本要遠(yuǎn)高于158美元的整體平均值。相反,在公共部門、科研和運(yùn)輸機(jī)構(gòu),每條記錄平均成本則低于整體平均值。 每條記錄平均成本(按行業(yè)劃分) 企業(yè)的一些措施可以降低數(shù)據(jù)泄露的成本,例如事件響應(yīng)團(tuán)隊(duì)、廣泛應(yīng)用加密、員工培訓(xùn)、參與威脅共享體系或業(yè)務(wù)持續(xù)性管理均有助于降低數(shù)據(jù)泄露時(shí)每條記錄平均成本。而第三方參與、大規(guī)模云遷移、緊急通知或設(shè)備丟失/被盜所引發(fā)的數(shù)據(jù)泄露則會(huì)增加泄露的平均成本。 16項(xiàng)對(duì)數(shù)據(jù)泄露時(shí)每條記錄平均成本有影響的因素 二、數(shù)據(jù)泄露成本構(gòu)成及客戶流失趨勢(shì) 此次數(shù)據(jù)泄露成本構(gòu)成主要包括三個(gè)方面,分別是“檢測(cè)和上報(bào)成本”、“告知成本”和“業(yè)務(wù)丟失成本”。 與檢測(cè)和上報(bào)相關(guān)的數(shù)據(jù)泄露成本主要用于取證和調(diào)查活動(dòng)、評(píng)估和審計(jì)服務(wù)、危機(jī)團(tuán)隊(duì)管理及高管和董事會(huì)溝通。加拿大的平均檢測(cè)和上報(bào)成本最高,為160萬(wàn)美元。相比之下,印度平均成本最低,僅為53萬(wàn)美元。 檢測(cè)和上報(bào)成本 相關(guān)活動(dòng)包括創(chuàng)建聯(lián)系人數(shù)據(jù)庫(kù)、確定各類監(jiān)管要求、聘請(qǐng)外部專家、郵政開(kāi)支、電子郵件反彈及入站通信建立有關(guān)的 IT 活動(dòng)等的告知成本,目前美國(guó)企業(yè)最高,告知成本為59萬(wàn)美元。 告知成本 事后響應(yīng)成本主要包括技術(shù)支持活動(dòng)、入站通信、專項(xiàng)調(diào)查活動(dòng)、補(bǔ)救措施、法律開(kāi)支、產(chǎn)品折扣、身份保護(hù)服務(wù)及監(jiān)管干預(yù)。其中美國(guó)和德國(guó)的事后響應(yīng)和檢測(cè)相關(guān)成本最高,分別為為172萬(wàn)美元和154萬(wàn)美元 業(yè)務(wù)丟失成本構(gòu)成包括非正常的客戶流動(dòng)、客戶獲取活動(dòng)成本上升、信譽(yù)損害及商譽(yù)降低。這之中美國(guó)企業(yè)的業(yè)務(wù)丟失成本尤其高,為397萬(wàn)美元。 業(yè)務(wù)丟失成本 在業(yè)務(wù)成本的客戶流失泄露成本的關(guān)系方面,調(diào)研表明客戶流失越大,數(shù)據(jù)泄露時(shí)每條記錄平均成本越高?,F(xiàn)有客戶流失低于 1% 的企業(yè)其平均數(shù)據(jù)泄露成本為270萬(wàn)美元;倘若現(xiàn)有客戶流失率超過(guò) 4%,則平均成本將躍升至550萬(wàn)美元。 而在客戶流失趨勢(shì)上,不同國(guó)家和地區(qū)也有著顯著的差異。這意味著流失率較高的國(guó)家/地區(qū)企業(yè)可重點(diǎn)開(kāi)展客戶保留活動(dòng),維護(hù)聲譽(yù)和品牌價(jià)值,從而大幅降低數(shù)據(jù)泄露成本。 三年非正常流失率(按國(guó)家/地區(qū)樣本劃分) 從行業(yè)的角度來(lái)看,金融、醫(yī)療和服務(wù)機(jī)構(gòu)的非正常流失率相對(duì)較高,而公共部門和教育機(jī)構(gòu)的非正常流失率則相對(duì)較低。 非正常流失率(按基準(zhǔn)企業(yè)的行業(yè)分類劃分) 三、數(shù)據(jù)泄露事件發(fā)生概率和識(shí)別并控制所需平均時(shí)間 有意思的是,隨著泄露數(shù)據(jù)規(guī)模的增加,數(shù)據(jù)泄露的發(fā)生概率穩(wěn)步降低。預(yù)計(jì)未來(lái)24個(gè)月發(fā)生包含一萬(wàn)條記錄(最低規(guī)模)的數(shù)據(jù)泄露的概率約為 26%,發(fā)生包含十萬(wàn)條記錄的數(shù)據(jù)泄露的概率不足 1%。 同時(shí),從國(guó)家/地區(qū)的不同對(duì)數(shù)據(jù)泄露事件的阻礙角度來(lái)看,不同國(guó)家/地區(qū)估算得出的重大數(shù)據(jù)泄露概率確實(shí)差異較大。其中,巴西和南非發(fā)生數(shù)據(jù)泄露的概率似乎最高。德國(guó)和澳大利亞發(fā)生數(shù)據(jù)泄露的概率最低。 發(fā)生包含一萬(wàn)條以上記錄數(shù)據(jù)泄露的概率(按國(guó)家/地區(qū)劃分) 在識(shí)別并控制數(shù)據(jù)泄露的平均時(shí)間上,則主要考量平均識(shí)別時(shí)間 (MTTI) 和平均控制時(shí)間 (MTTC) 這兩個(gè)用于確定企業(yè)實(shí)施事故響應(yīng)及控制流程的有效性的指標(biāo)。 根據(jù)383家企業(yè)的綜合樣本,估算出的平均識(shí)別時(shí)間為201天,時(shí)間范圍介于20至569天。平均控制時(shí)間70天,時(shí)間范圍介于11至126天。 而在平均識(shí)別和控制時(shí)間與總平均成本的關(guān)系上,如果平均識(shí)別時(shí)間小于100天,識(shí)別數(shù)據(jù)泄露的平均成本為323萬(wàn)美元;如果超過(guò)100成本則為438萬(wàn)美元。而如果在平均控制時(shí)間小于30天,則控制成本為318萬(wàn)美元;如果超過(guò),則成本會(huì)升到435萬(wàn)美元。 此次調(diào)研的12個(gè)行業(yè)中,48%的事故涉及惡意或犯罪攻擊,25%因員工或承包商疏忽(人為錯(cuò)誤)導(dǎo)致,另有27%的事故涉及系統(tǒng)故障(包括 IT 和業(yè)務(wù)流程故障)。且在2016年,惡意或犯罪攻擊引發(fā)的數(shù)據(jù)泄露平均成本每條記錄高達(dá)170美元,遠(yuǎn)高于系統(tǒng)故障和人為因素造成的數(shù)據(jù)泄露每條記錄平均成本的138美元和133美元。 當(dāng)然,平均識(shí)別時(shí)間和平均控制時(shí)間這兩個(gè)指標(biāo)也會(huì)受到發(fā)生數(shù)據(jù)泄露的原因影響。 數(shù)據(jù)泄露事故的平均識(shí)別時(shí)間和平均控制時(shí)間(按根源劃分;單位:天) 四、一些發(fā)現(xiàn)
安全牛評(píng) 近兩年頻繁爆發(fā)的數(shù)據(jù)泄露事件給企業(yè)和用戶帶來(lái)了重大的經(jīng)濟(jì)損失和不良聲譽(yù)影響,除了在事后消除影響的成本投入外,在數(shù)據(jù)泄露事件發(fā)生之前如果能對(duì)數(shù)據(jù)泄露大致成本有明確清晰的認(rèn)識(shí),也會(huì)對(duì)企業(yè)高層做出更合理的預(yù)防和應(yīng)對(duì)措施有所幫助。 報(bào)告目錄
第一部分 簡(jiǎn)介 下載中文完整版報(bào)告
|