數據泄露已成為一種全球性且不斷增長的威脅,備受矚目的事件經常成為頭條新聞。不幸的是,除了制造新聞和損害聲譽之外,違規行為還會帶來經濟成本。根據最新的 IBM 報告,數據泄露的平均總成本在 2022 年達到 435 萬美元的歷史新高,比上一年增長 2.6%,比 2020 年增長 12.7%。因此,我們必須承認并解決影響數據泄露。在本文中,我們將探討導致數據泄露帶來的高昂代價的因素,以及如何減輕這些損失。
數據泄露的成本是多少?
數據泄露的平均成本為 435 萬美元。然而,沒有兩個漏洞是相同的,計算價格標簽是一項復雜且多方面的任務。這個數字可能會因多種因素而有很大差異,例如受影響組織的規模和行業、被泄露的數據類型以及受害者的位置。
美國
美國連續12年保持數據泄露成本最高國家的地位。美國的平均數據泄露成本為944 萬美元,比全球平均水平高出 509 萬美元。在美國,數據泄露通常更昂貴的主要原因之一是市場規模。由于美國的人口比大多數其他國家多得多,因此它有更多的潛在受害者和更高的補救成本。
另一個因素是聯邦和州層面復雜且不斷發展的一套數據保護法規。遭受數據泄露的公司會因違規而被罰款和處罰,從而增加了泄露成本。最后,美國的訴訟文化意味著受影響的組織經常面臨來自客戶或股東的法律訴訟,從而導致高昂的法律費用和和解成本。
其他國家和地區
數據泄露是一個全球性問題,可能發生在任何地方。然而,它們在商業集中度更高、對數字基礎設施的依賴程度更高的發達國家更為普遍。
另一方面,欠發達地區易受攻擊的數字系統和網絡較少。然而,隨著它們繼續發展和數字化,它們也將變得更容易受到網絡攻擊。
以下是除美國外因數據泄露而遭受高于平均水平損失的國家/地區:
中東 有幾個高價值的網絡犯罪目標,例如石油和天然氣公司以及金融機構。該地區在平均數據泄露總成本方面保持第二高的地位,2021 年增長 7.6%,到??2022 年達到 746 萬美元。
加拿大 嚴重依賴技術部門并制定了嚴格的數據保護法,包括《個人信息保護和電子文件法》( PIPEDA )。加拿大排名第三,2022 年的平均違規成本為 564 萬美元,比上年增長 4.4%。
英國 擁有許多大型跨國公司和蓬勃發展的中小企業部門。該國還有一些世界上最嚴格的數據保護法,包括《通用數據保護條例》( GDPR ) 和《 2018 年數據保護法》。2022年,英國超越德國、日本和法國,成為17個國家中的第四位。英國數據泄露的平均總成本上升了 8.1%,達到505 萬美元。
德國 是一個工業強國,擁有強大的數據保護法,例如 GDPR 和聯邦數據保護法 ( BDSG )。德國的平均數據泄露成本下降了 0.8% , 到 2022 年 降至 489 萬美元。
日本 有許多橫跨科技、汽車和金融服務行業的大公司,以及特別嚴格的數據保護法,包括個人信息保護 ( APPI ) 法。2022 年,日本的 平均數據泄露總成本下降了 2.5% ,降至 457 萬美元。
按行業劃分的數據泄露成本
由于各種因素,例如存儲的數據類型以及組織 IT 基礎設施的規模和復雜性,數據泄露的成本因行業而異。例如,處理大量敏感客戶數據的行業更有可能遭遇后果嚴重的違規行為。
令人擔憂的是,在 2022 年, 接受調查的關鍵基礎設施組織中有 28% 遭受了勒索軟件攻擊,而17% 的組織因業務合作伙伴受損而遭到破壞。關鍵基礎設施組織的數據泄露平均成本為482 萬美元,比其他行業組織的平均成本高出100 萬美元。
醫療保健行業再次受到重創。它以 1010 萬美元的價格連續第 12 年成為平均數據泄露成本最高的行業。此外,醫療保健提供商的 違規成本同比激增 9.4% ,自 2020 年以來增長了42% 。
2022 年 IBM 數據泄露成本報告細目
IBM 的年度數據泄露報告是該領域的黃金標準,提供最準確、最全面的數據泄露數據。最近發布的 數據泄露成本報告 揭示了許多有趣的見解。
以下是報告中最值得注意的要點的細分:
檢測和升級超過損失的業務成本
檢測和升級是指確認違規、評估其影響并通知相關利益相關者。另一方面,業務損失成本代表客戶信任度和聲譽下降的財務影響,這不可避免地導致收入減少和難以獲得新客戶。
六年來,檢測和升級首次超過損失的業務成本,成為最昂貴的類別。平均檢測和升級成本從 2021 年的 124 萬美元增加到2022 年的 144 萬美元,增幅為16.1% 。另一方面,業務損失成本 從 2021 年的 159 萬美元下降10.7%至 2022 年的142 萬美元。
數據表明,消費者承認公司為保護他們的數據所做的努力,并認識到一些數據泄露是不可避免的,而不僅僅是公司的責任。此外,檢測和解決安全威脅的成本不斷增加反映了組織為增強其網絡安全而采取的額外措施。
泄露的憑據仍然是主要的攻擊媒介
憑據被盜或泄露仍然是數據泄露的最常見原因,也是2022 年19%泄露事件的 主要攻擊媒介。 雖然不是最昂貴的,平均成本為 450 萬美元,但憑據被盜或泄露造成的泄露也有平均持續時間最長,需要 327 天 才能檢測和遏制,比平均時間長 16.6%。
網絡釣魚占數據泄露的 16% ,是第二常見的原因,但也是最昂貴的,平均造成 491 萬美元的 成本。在網絡釣魚之后,最昂貴的違規類型是企業電子郵件受損,平均成本為 489 萬美元。受損的商業電子郵件占 所有泄露事件的6% 。第三大損失是由于第三方軟件中的漏洞造成的,平均損失為455 萬美元。
勒索軟件攻擊增加
2022 年, 勒索軟件攻擊占違規事件的11% ,比 2021 年有所增加,當時勒索軟件占 7.8%。然而,勒索軟件攻擊的平均成本略有下降,從 2021 年的 462 萬美元下降到2022 年的 454 萬美元。這一成本略高于數據泄露的總體平均總成本,為 435 萬美元。
平均而言,選擇不支付贖金的組織 比支付贖金的組織高出 13.1% 。具體而言,支付贖金的組織的違規代價為449 萬美元。相比之下,拒絕支付的組織不得不花費 512 萬美元,導致 兩組之間相差 63萬美元。
影響數據泄露成本的因素
數據泄露的成本受到一系列組織和技術因素的影響,這些因素在改善組織的網絡安全狀況方面發揮著至關重要的作用。讓我們探討可以輕松改進的方面。
最省錢的因素
以下是組織應實施的幾種策略,以降低 2023 年數據泄露的成本。
人工智能與自動化
全面部署安全人工智能和自動化的組織平均違規成本為 315 萬美元。這幾乎是 620 萬美元的一半,沒有 AI 安全性的組織不得不掏腰包。
此外,與沒有安全人工智能的公司相比,擁有安全人工智能的公司檢測和遏制漏洞的時間平均減少了 74 天。換句話說,使用 AI 將違規生命周期從323 天減少到249 天。
在過去兩年中,安全人工智能和自動化的采用顯著增長,增幅接近 20%。具體而言,這些技術的利用率從 2020 年的 59% 增加到 2022 年的 70%,凸顯了人工智能在保護組織免受數據泄露和其他安全威脅方面的重要性日益增加。
零信任
零信任 是一種日益流行的安全策略,旨在改善公司的安全狀況。與依賴基于邊界的方法的傳統網絡安全模型不同,在傳統網絡安全模型中,網絡內部的一切都是可信的,零信任不會自動信任任何用戶、設備或應用程序,無論它們是在網絡內部還是外部。
相反,零信任要求在授予對任何資源或數據的訪問權限之前驗證每個用戶和設備的身份和安全性。這種方法最大限度地降低了未經授權訪問的風險,減少了攻擊面,并更有效地檢測和緩解威脅。
近年來,事實證明采用零信任安全措施是一種具有成本效益的策略。根據當前數據,采用零信任策略的組織平均節省近 100 萬美元,違規成本為 415 萬美元,而沒有采用 零信任策略的組織則為510 萬美元。
事件響應計劃
強大的事件響應(IR) 框架對于最大限度地減少數據泄露的影響和保持業務連續性至關重要。 擁有專門的 IR 團隊和定期測試計劃的企業報告說,與沒有 IR 團隊或沒有定期測試 IR 計劃的組織相比,數據泄露給他們造成的損失平均少 266 萬美元。成本節省代表 減少了 58% , 對于擁有強大 IR 框架的公司而言, 違規成本總計為 326 萬美元,而 沒有 IR 框架的公司則為592 萬美元。
風險因素
到 2023 年,以下因素將成為造成財務損失的最主要因素:
響應時間慢
違規的經濟后果與其未被發現的時間長短成正比。最新調查結果顯示,發現漏洞之前的平均持續時間為 277 天。勒索軟件攻擊是最難識別的,與其他漏洞相比,檢測時間平均要長49 天。相比之下,發現供應鏈漏洞需要大約26 天的時間。
您可以通過以下方式縮短數據泄露的響應時間:
- 制定穩健而清晰的事件響應計劃。
- 定期進行培訓和演練,以確保做好準備。
- 盡可能自動化檢測和響應過程。
- 實施實時監控技術和警報。
- 在所有利益相關者之間建立明確的溝通協議。
遠程工作
平均而言,涉及遠程工作的違規行為導致的成本比 不考慮遠程工作的違規行為高出 近100 萬美元——分別為 499 萬美元和 402 萬美元。此外,與遠程工作相關的數據泄露成本 比全球數據泄露平均成本高出約600,000 美元。
由于以下幾個因素,遠程工作會增加數據泄露成本:
- 個人設備的使用增加,這些設備通常不如公司發行的設備安全,并且缺乏足夠的端點安全性。
- 網絡安全性較弱,因為遠程工作人員有時會使用公共 Wi-Fi 網絡或其他不安全的連接來訪問公司系統。
- 人為錯誤的風險更大,因為遠程工作人員通常在不熟悉或分散注意力的環境中工作。
云計算
大約 45% 的數據泄露發生在云中,發現混合云的成本低于私有云或公共云。具體而言,混合云環境中泄露的平均成本為 380 萬美元,低于 私有云和公共云泄露的平均成本分別為424 萬美元 和 502 萬美元。與僅使用公共或私有云模型的組織相比,使用混合云架構的組織不僅體驗到更低的泄露成本,而且它們的泄露生命周期也更短。
聲譽受損
客戶的信任很容易失去并且很難重新獲得,而數據泄露的最大成本之一就是它對公司聲譽造成的損害。隨著競爭對手獲得相對優勢,這種影響通常反映在其市場地位的變化上。
例如,數據泄露會削弱公司的品牌價值,導致公司要求的溢價下降、客戶轉換成本增加以及市場份額流失。2022 年數據泄露造成的業務損失平均成本為 140 萬美元, 占總成本的 32% 。
數據泄露對上市公司價格的影響反映在其股價中。根據 研究,經歷數據泄露的公司預計 在數據泄露發生后大約 110 個交易日后其股價將下跌3.5% 。違規對股價的長期影響更為顯著,平均股價 在違規一年后下跌8.6% ,表現低于納斯達克指數相同幅度。科技和金融企業對股價的影響似乎最為顯著,而電子商務和社交媒體公司受到的影響往往較小。
值得記住的是,公司對數據泄露的響應方式會顯著影響其聲譽和隨之而來的財務后果。例如,隱瞞問題比違規行為本身更能損害客戶的信任。另一方面,主動向客戶披露違規行為會積極影響他們對公司誠信和透明度承諾的看法。
法規、訴訟和罰款
數據泄露會產生涉及響應和遏制的直接成本,但也可能導致巨額法律罰款和和解。受到高度監管的行業尤其容易受到影響,因為它們經常面臨監管機構的額外處罰,并且更有可能面臨受影響個人的法律訴訟。
具有嚴格數據保護法規的行業的違規行為也往往會在違規后的幾年內產生成本。這種“長尾”效應意味著平均 24% 的成本會在事件發生兩年后累積。在監管不嚴的環境中,影響并不明顯,成本往往會在前三到六個月內累積。
無論是支付違規罰款、解決集體訴訟索賠,還是支付法律費用,企業都必須在其規劃中考慮潛在的監管和訴訟費用。最后,值得記住的是,數據泄露的成本很可能會超出泄露本身的直接后果。
數據泄露安全措施
數據泄露是當今數字環境中的一個持續威脅,盡管人們試圖阻止它們,但它們幾乎不可能完全停止。
以下是降低數據泄露風險的十項最佳實踐:
- 實施全面的安全計劃,包括定期漏洞評估和滲透測試。
- 建立并實施強密碼策略,包括盡可能進行多因素身份驗證。
- 使用最新的安全補丁更新所有軟件和系統。
- 就適當的安全協議對員工進行培訓,并提供持續的安全意識培訓。
- 僅限需要的人訪問敏感數據和系統。
- 加密傳輸中和靜態的敏感數據。
- 實施監控和日志記錄工具以檢測異常活動和潛在的安全漏洞。
- 制定并定期測試您的事件響應計劃,以確保快速有效地響應潛在的違規行為。
- 定期對關鍵數據進行備份,并測試備份和恢復過程。
- 與擁有強大安全和隱私實踐的值得信賴的供應商和合作伙伴合作。
結論
數據泄露的平均總成本在 2022 年達到 435 萬美元的歷史新高。這個數字可能會繼續增加。雖然數據泄露可能會造成毀滅性的后果,但它們也可以成為增長和改進的催化劑。通過應對這些挑戰,組織可以獲得對其網絡安全態勢的寶貴見解,并確定需要改進的領域。此外,數據泄露提供了一個機會,可以通過展示對透明度和問責制的承諾來增強與客戶和利益相關者的信任。
