當前位置：安全 → 行業動態 → 正文

大型數據泄露事件并未迫使企業增加安全投入

責任編輯：editor005 作者：Venvoo |來源：企業網D1Net 2016-06-06 14:55:50 本文摘自：安全牛

更大型的數據泄露事件無法說服企業對IT安全投入更多資金，因為投資者和顧客都不會永久性地放棄這些公司。

2015年10月，黑客入侵了英國電訊公司TalkTalk的網站，他們可能使用了該網站上11個漏洞中的一個，竊取了15.7萬顧客的個人詳細信息，包括1.5萬余人的銀行賬戶信息。

上周，安全上欠下的債終于償還了：該公司在2016年第一季度的利潤下降了超過一半。在周二發布的年報上，公司披露已經失去了9.5萬訂閱者，黑客事件導致大約8000萬美金損失，其中包括“在恢復網絡能力之后部署增強的安全措施、相關IT、事件響應、咨詢、免費升級所造成的費用”，以幫助公司留住客戶。

TalkTalk是最近一家因數據泄露事件遭受巨大損失的公司。盡管過去的分析已經表明，數據泄露不會影響公司的長期股價，企業和其管理層正日漸承擔著更多的恢復費用和損失商業市場的可能性。

Verizon的企業服務計算機調查團隊RISK首腦Chris Novak說：“我們正進入一個人們被認為有責任說很多東西的時代。影響正逐漸增加。這已經不只是一個IT層面上的問題，而是成為了董事會或C級高管層的問題。”

但這還不夠。盡管解雇CEO毫無疑問正在吸引高管團隊和董事會的注意，數據泄露造成的金融損失可能不會持續太長時間，大公司能夠很快吸收掉它們。2009年，當黑客Albert Gonzales從Heartland Payment Systems偷走了近1億份信用卡和借記卡信息時，公司在3個月內跌掉了超過75%的股票市值。不過股價已經反彈，目前價格已經是當時的500%。

哥倫比亞大學國際公共關系事務學院互聯網管理與網絡安全部門研究員Benjamin Dean在去年的一篇論文中指出，在2013年的數據泄露事件之后，塔吉特損失了超過2.52億美金，其中的0.9億由保險公司償還。盡管看上去總額很大，這些損失僅占公司2014年銷售額的0.1%。

而且，盡管造成了8000萬美金損失，TalkTalk的泄露事件僅僅影響了利潤，而不是造成公司全年財報顯示虧損。事實上，公司在提供客戶激勵方面的努力讓客戶流失率 (Churn Rate) 在2015年最后一個季度達到了歷史最低。

RAND公司網絡安全與新興技術分析師Lillian Ablon對媒體表示，總的來看，損失不足以驅使企業在安全領域投入大筆資金。

她說：“當然，企業感覺到疼了。有些企業的股價已經下挫，但是沒人真的感受到切膚之痛。”一部分問題在于，消費者已經厭倦了數據泄露事件重復出現的規律，而且不確定如何改變企業的行為方式。

在近期的一項研究中，RAND發現，只有11%的消費者因為數據泄露事件拋棄了公司的產品和服務。

“我經常納悶，消費者為什么還沒有拿起武器：畢竟，他們的數據都泄露出去了，很容易就能拿到。我認為這是因為消費者沒有感覺到疼痛。身份盜竊造成的財務沖擊并不大。”

受安全服務提供商Dell Secureworks資助，Ponemon Institute在2015年發布的一份報告稱，這種現象導致，半數企業沒有提升在安全領域的投入。在另一半的中，大約三分之二的企業計劃在未來兩年中增加投入，其余則準備大幅增加預算。

報告稱，“盡管眾所周知的數據泄露事件越來越多，IT安全投資沒有對董事會產生什么影響，也沒有得到董事會的幫助”。

盡管大企業能夠吸收數據泄露產生的沖擊，小企業則基本上在冒著網絡攻擊導致企業徹底倒閉的風險。雖然公眾目前還不認為個人身份泄露會直接導致企業破產，其它類型的網絡入侵已經造成過企業關門。比如代碼倉庫Code Spaces在黑客控制其亞馬遜控制面板，要求贖金未果并刪除了所有服務器之后將網站下線。

“小企業更多依賴關系。而且它們比大企業更容易受到直接沖擊。”

不過，兩個趨勢將增加被入侵企業與受害用戶的損失。

第一個是不容易被更改或替換掉的信息正愈發成為黑客的攻擊目標，比如社保號碼。比如在2015年，338起數據泄露事件放出了近1.65億份包含社保號碼。