今年数据泄露事故每条记录的成本达到154美元。根据IBM和Ponemon研究所近日发布的报告显示,今年数据泄露事故每条记录的成本达到154美元,这比2014年的145美元增长了12%。此外,单起数据泄露事故的平均总成本上升了23%,达到379万美元。而在上个月Verizon的研究结果则显示数据泄露每条记录平均仅为58美分,这两个调查结果简直是天壤之别。
Verizon的计算结果是基于191个保险索赔,这也是其年度数据泄露事故调查报告的一部分。但是Ponemon研究所主席兼创始人Larry Ponemon称,保险理赔并不能显示完整的情况。有的公司没有购买足够的保险来涵盖数据泄露事故的总成本,这些保险不包括间接费用或业务损失。他举例说,Target遭遇的数据泄露事故估计给该公司带来超过10亿美元的损失,但该公司仅投保1亿美元。在一般情况下,企业会购买足够的保险来涵盖其50%的固定资产价值,但只有12%数字资产的价值。
业务损失也是数据泄露总成本的很大一部分。客户流失、声誉和商誉受损等,这总共会给每家公司带来157万美元的损失,上年这个数字还是133万美元。
“我们花了很多时间来基于真正的成本构建分析模型,”他补充说,Ponemon十年来一直在收集这种数据。今年,Ponemon对11个国家的350个公司的数据进行了分析,这些公司都遭受了数据泄露事故。
最后,他表示,Verizon的回归分析是基于非常少量的数据点,这些并不一定具有代表性。“但Verizon数据泄露事故调查报告的主体部分非常有趣,其中表明该公司专注于未来,他们应该继续其研究。”
IBM安全部门副总裁Caleb Barlow称,在企业遭遇数据泄露事故后,至少应该发送邮件告知客户他们遭受攻击。“Verizon做了很不错的工作,但我们不得不说,58美分并没有涵盖企业的总损失。”
对于数据泄露事故,医疗保健行业的成本最高根据Ponemon的报告显示,在不同行业和地域,数据泄露事故的成本都各有不同。美国的每记录成本最高,为217美元,其次是德国,为211美元,印度最低,为56美元。
从行业来看,最高成本是在医疗保健行业,平均每条记录为363美元。
这是因为医疗记录中的信息比信用卡号有着更长的使用期。
“对于信用卡,信用卡公司可以取消原有的信用卡号码,再启用新的号码,”他表示,“但医疗记录可以用来建立永久访问。”医疗记录包含了丰富的个人信息,包括社保号和保险号。
他说道:“这些号码可以用来建立信用或者用于在10年或15年内窃取你的身份信息。”这还不包括医疗欺诈的成本。
影响数据泄露成本的因素
Ponemon报告还分析了可能影响数据泄露事故成本的其他因素,与行业或地域因素不同(+本站微信networkworldweixin),很多这些因素正受到管理控制。
例如,提前部署事件响应小组可以将每记录成本降低12.6美元,利用加密可降低12美元的成本,员工培训则可降低8美元。如果业务连续性管理人员是事件响应小组的成员,成本可降低7.1美元。CISO领导层可降低5.6美元,董事会参与可降低5.5美元,网络保险可降低4.4美元。
“如果提前做好准备,让董事会参与进来,并具有保险保障,也已经做了应该做的工作,他们面临的数据泄露成本会更低,”Barlow称,“我们有确凿的证据证明,这样做的企业的损失要低得多。你没有几天来作出响应,你甚至没有几小时的时间,你只有几分钟。”
增加成本的因素是聘请外部顾问,这会增加4.5美元的成本。如果出现设备丢失或被盗,成本平均增加9美元。而最大的因素是,在数据泄露事故中,涉及第三方。这将给每条记录的成本增加了16美元,从154美元到170美元。
成本随时间增长
Ponemon发现,数据泄露事故发现的时间与数据泄露事故的总成本之间,还有缓解数据泄露事故的时间与成本之间,都存在正比的关系。
平均而言,企业要花256天发现由恶意攻击者造成的数据泄露事故,并花82天来遏制它。
系统故障造成的数据泄露事故要花173天来发现,60天来遏制。而由人为错误造成的事故需要158天才会被发现,以及57天来缓解事故。