2018 年 7月 11日
作者:Larry Ponemon,Ponemon Institute 创始人兼董事长

企业运营时刻面临着风险:有时他们需要在市场上赌一把,但如果押对了宝,往往会获得丰厚的回报。但在考虑数据泄露的成本时,您肯定想知道企业会付出怎样的代价,究竟存在怎样的危险。

不妨换种方式思考:您在冬天感染流感病毒的可能性是 5%-20%(根据 WebMD 的数据),与之相比,发生 1万条数据泄漏的泄露事件的可能性则更高(27.9%)。就像得了流感那样,您需要迅速治疗,恢复健康。由于数据泄露会产生成本,因此最好采用基于成本的方法,准确了解当前遇到的问题。

在 IBM 安全事业部的协助下,安全研究中心 Ponemon Institute(波耐蒙研究所)开展了第 13次年度数据泄露成本调研,本次调研分析中加入了两项影响数据泄露成本的新要素:人工智能的部署以及物联网设备的广泛应用。

本次调研还分析了“重大泄漏事件”的成本——导致 100万条以上数据丢失的事件,以及客户对企业失去信任的经济后果。

2018 全球数据泄露成本有增无减

调查显示,每条数据泄露的平均成本为 148美元,而企业平均需要 196天才能检测到一次数据泄露。总的说来,我们发现数据泄露的总成本、每条遭泄露记录的成本和平均规模(根据丢失或被盗记录的数量)都在逐年增加。

数据泄露成本最高的地区包括:美国,通知成本几乎是全球平均水平的五倍;中东,遭受恶意攻击或犯罪性攻击的比例最高,而犯罪性攻击又是发现和处理成本最高的攻击类型。巴西和印度应对数据泄露的支出相对较少,这两个国家的检测、上报和通知成本最低。

根据今年的调研报告,尽管 13个国家或地区的企业数据泄露成本与五年平均水平相比有所上升,但巴西和日本的成本却有所下降。

我们的数据泄露计算器可以根据行业和地理位置确定某个企业的安全事件成本。

泄露规模越大,成本越高

报告显示,数据泄露事件的平均总成本为 220万美元(被盗数据在 10,000条以下)到 690万美元(被盗数据超过 50,000条)。

对于那些登上新闻头条的大规模数据泄露事件,情况又如何呢?调研结果表明,一次重大数据泄露事件(涉及 100万条记录)的成本可能高达 3949万美元。这一数字会随着遭泄露记录数量的增加而增加,这在意料之中。例如,涉及 5,000万条记录的泄露事件可能会导致 3.5亿美元的成本。

企业如何降低数据泄露成本?

在 477家受访企业中,发现泄露事件的平均时间仍然相当长(197天),而处理泄露事件的平均时间为 69天。

但也有好消息:有一些策略可以帮助企业降低数据泄露的潜在成本。经过四年连续的调研,我们发现,企业检测和控制泄露事件的速度与总成本之间存在联系。

充分的准备工作和防范意识可以带来回报:调研发现,事件响应团队可以令每条被泄露记录的成本(148美元)降低 14美元。此外,广泛应用加密技术可以使每条被泄露记录的成本降低 13美元。

客户信任度会影响数据泄露的总成本

在过去一年中,世界各地的许多企业都因为数据泄露事件而失去众多客户。然而,致力于提升客户信任度的企业则能有效减少客户流失数量,从而降低数据泄露的成本。他们通过委任高层领导,例如首席隐私官 (CPO) 或首席信息安全官 (CISO),负责实施客户信任计划,从而降低了客户流失率,也最大程度缓解了数据泄露带来的经济后果。

此外,为数据泄露受害者提供身份保护的企业比没有实施此类措施的企业留住了更多的客户。客户流失率低于 1% 的企业,其数据泄露的平均总成本为 280万美元,而流失率超过 4% 的企业平均会损失 600万美元。

人工智能可以降低损失 物联网却相反

今年的调研首次研究了在安全自动化战略中使用人工智能以及广泛使用物联网设备所带来的影响。人工智能安全平台帮助企业节省了资金 — 平均每条被泄露记录可节省 8美元;另外,人工智能通过机器学习、分析以及指挥与自动化功能,帮助响应人员发现并控制泄露事件。然而在受访企业中,仅有 15% 表示他们已经全面部署了人工智能。与此同时,在广泛使用物联网设备的企业中,每条遭泄露记录的平均成本会增加 5美元。

要全面了解与数据泄露相关的潜在成本,并了解如何保护企业安全,请下载 2018年数据泄露成本调研全球概览,并查看附带的信息图

如果您的企业遇到安全事件,可使用我们的数据泄露计算器,了解行业、位置和成本等因素的影响。

本文最初发表在 IBM 安全情报博客上。

联系我们

职位: IBM 中国有限公司
姓名: 陈蓉 女士
邮箱: rongchbj@cn.ibm.com
电话: 010-6361 8923010-6361 8923