根據(jù)Verizon發(fā)布的2015年數(shù)據(jù)泄露調(diào)查報(bào)告,數(shù)據(jù)泄露平均每條記錄的成本約為58美分,遠(yuǎn)低于之前廣被接受的每條記錄約201美元的成本估計(jì)。
Verizon和NetDiligence一起完成了該項(xiàng)計(jì)算,NetDiligence匯集了來自網(wǎng)絡(luò)保險(xiǎn)運(yùn)營商的數(shù)據(jù)。來自Verizon和NetDiligence的數(shù)據(jù)反映了實(shí)際的網(wǎng)絡(luò)責(zé)任索賠額。數(shù)據(jù)泄漏調(diào)查報(bào)告(DBIR)每年發(fā)布一次,報(bào)告里的數(shù)據(jù)由Verizon、旗下的客戶和合作伙伴提供。今年的數(shù)據(jù)泄漏調(diào)查報(bào)告考查了191項(xiàng)與支付卡、個(gè)人信息和病歷相關(guān)的損失的保險(xiǎn)理賠個(gè)案。
之前的損失估計(jì)為每條記錄201美元,通常不包括超過10萬條記錄的泄漏事件,但包括諸如品牌受損的所謂軟成本。軟成本不能在保險(xiǎn)索賠里反映出來,軟成本損失的計(jì)算頗為困難。對(duì)大多數(shù)公司來說,真實(shí)的損失很可能介于每條記錄58美分至每條記錄201美元之間。
Verizon準(zhǔn)備推出一個(gè)新公式,用于計(jì)算數(shù)據(jù)泄露風(fēng)險(xiǎn)。也許最出乎意外的結(jié)果是,數(shù)據(jù)泄露每條記錄的成本是固定的, 而與導(dǎo)致?lián)p害的原因是內(nèi)部人員或是外部人員無關(guān)。后者引起各方人士更廣泛的注意。
Verizon風(fēng)險(xiǎn)團(tuán)隊(duì)高級(jí)分析師兼DBIR報(bào)告的共同作者Jay Jacobs表示,“我們?cè)噲D抓住數(shù)據(jù)泄露影響的不確定性。分析索賠信息是個(gè)妙著。”
Verizon和NetDiligence的結(jié)果還確實(shí)能派上用場。一些受到重大數(shù)據(jù)泄露影響的公司---如TJX、Target、Home Depot等---通常面臨的損失少于泄露事件最初發(fā)生時(shí)的預(yù)測。此外,如果能透明處理泄露事件和進(jìn)行良好的溝通,對(duì)公司聲譽(yù)的影響可以降至可控范圍。
企業(yè)被攻擊導(dǎo)致聲譽(yù)受損后,肯定會(huì)加強(qiáng)安全方面的措施,但由此引起的財(cái)務(wù)費(fèi)用相對(duì)來說不至于對(duì)公司造成太大的負(fù)擔(dān)。
Verizon在該報(bào)告中指出:
大部門錄得的平均每次泄漏事件的損失較高,但進(jìn)一步的調(diào)查揭示了一個(gè)簡單的事實(shí),這些大部門只是通常比較小的部門失去了更多的記錄,因而會(huì)有較高的整體成本。具有相同紀(jì)錄數(shù)目的泄漏事件的總體成本損失大致相同,與部門的大小無關(guān)。這一點(diǎn)在我們的數(shù)據(jù)泄露分析中的各方面都有體現(xiàn)。換句話說,一切都處決與記錄的數(shù)目,因此,減少數(shù)據(jù)泄露成本技術(shù)上應(yīng)該著眼于防止泄漏記錄或盡量減少泄漏記錄的條數(shù)。
該報(bào)告里有一章對(duì)方法論進(jìn)行了專門討論,但基本的事實(shí)是,下面的圖表反映出,一個(gè)公司為數(shù)據(jù)泄露買單的金額處決于丟失記錄的條數(shù)。
京公網(wǎng)安備 11010502049343號(hào)