根据Verizon发布的2015年数据泄露调查报告,数据泄露平均每条记录的成本约为58美分,远低于之前广被接受的每条记录约201美元的成本估计。
Verizon和NetDiligence一起完成了该项计算,NetDiligence汇集了来自网络保险运营商的数据。来自Verizon和NetDiligence的数据反映了实际的网络责任索赔额。数据泄漏调查报告(DBIR)每年发布一次,报告里的数据由Verizon、旗下的客户和合作伙伴提供。今年的数据泄漏调查报告考查了191项与支付卡、个人信息和病历相关的损失的保险理赔个案。
之前的损失估计为每条记录201美元,通常不包括超过10万条记录的泄漏事件,但包括诸如品牌受损的所谓软成本。软成本不能在保险索赔里反映出来,软成本损失的计算颇为困难。对大多数公司来说,真实的损失很可能介于每条记录58美分至每条记录201美元之间。
Verizon准备推出一个新公式,用于计算数据泄露风险。也许最出乎意外的结果是,数据泄露每条记录的成本是固定的, 而与导致损害的原因是内部人员或是外部人员无关。后者引起各方人士更广泛的注意。
Verizon风险团队高级分析师兼DBIR报告的共同作者Jay Jacobs表示,“我们试图抓住数据泄露影响的不确定性。分析索赔信息是个妙着。”
Verizon和NetDiligence的结果还确实能派上用场。一些受到重大数据泄露影响的公司---如TJX、Target、Home Depot等---通常面临的损失少于泄露事件最初发生时的预测。此外,如果能透明处理泄露事件和进行良好的沟通,对公司声誉的影响可以降至可控范围。
企业被攻击导致声誉受损后,肯定会加强安全方面的措施,但由此引起的财务费用相对来说不至于对公司造成太大的负担。
Verizon在该报告中指出:
大部门录得的平均每次泄漏事件的损失较高,但进一步的调查揭示了一个简单的事实,这些大部门只是通常比较小的部门失去了更多的记录,因而会有较高的整体成本。具有相同纪录数目的泄漏事件的总体成本损失大致相同,与部门的大小无关。这一点在我们的数据泄露分析中的各方面都有体现。换句话说,一切都处决与记录的数目,因此,减少数据泄露成本技术上应该着眼于防止泄漏记录或尽量减少泄漏记录的条数。
该报告里有一章对方法论进行了专门讨论,但基本的事实是,下面的图表反映出,一个公司为数据泄露买单的金额处决于丢失记录的条数。