上月,IBM联合 Ponemon Institute 发布报告《2016年数据泄露成本研究:全球分析》,包括美国、欧洲、亚太、中东、南非 等12个国家和地区,383家曾遭遇过数据泄露事件的企业进行调研,并从经济影响的角度,给出企业在防范和减少事件所带来的不良后果时的资源投入参考。
2014到2016财年数据泄露每条记录的平均成本
安全牛第一时间拿到中文版报告全文,现将主要结论整理如下。
一、全球各行业数据泄露成本差别及影响数据泄露成本的因素
除了澳大利亚和南非,与去年相比,所有国家/地区的总平均成本均有所增加。美国样本的总平均成本最高,价值超过701万美元;德国紧随其后,价值为501万美元。相比之下,印度和南非企业的总平均成本最低,分别为160万美元和187万美元。
而在泄露和受损记录数量上面,印度、阿拉伯地区和美国企业的丢失或被盗记录平均数最高。南非的丢失或被盗记录平均数最低。
泄露记录平均数(按国家/地区划分)
而在某些特定行业,比如受到严格监管医疗、教育和金融等,每条记录平均数据泄露成本要远高于158美元的整体平均值。相反,在公共部门、科研和运输机构,每条记录平均成本则低于整体平均值。
每条记录平均成本(按行业划分)
企业的一些措施可以降低数据泄露的成本,例如事件响应团队、广泛应用加密、员工培训、参与威胁共享体系或业务持续性管理均有助于降低数据泄露时每条记录平均成本。而第三方参与、大规模云迁移、紧急通知或设备丢失/被盗所引发的数据泄露则会增加泄露的平均成本。
16项对数据泄露时每条记录平均成本有影响的因素
二、数据泄露成本构成及客户流失趋势
此次数据泄露成本构成主要包括三个方面,分别是“检测和上报成本”、“告知成本”和“业务丢失成本”。
与检测和上报相关的数据泄露成本主要用于取证和调查活动、评估和审计服务、危机团队管理及高管和董事会沟通。加拿大的平均检测和上报成本最高,为160万美元。相比之下,印度平均成本最低,仅为53万美元。
检测和上报成本
相关活动包括创建联系人数据库、确定各类监管要求、聘请外部专家、邮政开支、电子邮件反弹及入站通信建立有关的 IT 活动等的告知成本,目前美国企业最高,告知成本为59万美元。
告知成本
事后响应成本主要包括技术支持活动、入站通信、专项调查活动、补救措施、法律开支、产品折扣、身份保护服务及监管干预。其中美国和德国的事后响应和检测相关成本最高,分别为为172万美元和154万美元
业务丢失成本构成包括非正常的客户流动、客户获取活动成本上升、信誉损害及商誉降低。这之中美国企业的业务丢失成本尤其高,为397万美元。
业务丢失成本
在业务成本的客户流失泄露成本的关系方面,调研表明客户流失越大,数据泄露时每条记录平均成本越高。现有客户流失低于 1% 的企业其平均数据泄露成本为270万美元;倘若现有客户流失率超过 4%,则平均成本将跃升至550万美元。
而在客户流失趋势上,不同国家和地区也有着显著的差异。这意味着流失率较高的国家/地区企业可重点开展客户保留活动,维护声誉和品牌价值,从而大幅降低数据泄露成本。
三年非正常流失率(按国家/地区样本划分)
从行业的角度来看,金融、医疗和服务机构的非正常流失率相对较高,而公共部门和教育机构的非正常流失率则相对较低。
非正常流失率(按基准企业的行业分类划分)
三、数据泄露事件发生概率和识别并控制所需平均时间
有意思的是,随着泄露数据规模的增加,数据泄露的发生概率稳步降低。预计未来24个月发生包含一万条记录(最低规模)的数据泄露的概率约为 26%,发生包含十万条记录的数据泄露的概率不足 1%。
同时,从国家/地区的不同对数据泄露事件的阻碍角度来看,不同国家/地区估算得出的重大数据泄露概率确实差异较大。其中,巴西和南非发生数据泄露的概率似乎最高。德国和澳大利亚发生数据泄露的概率最低。
发生包含一万条以上记录数据泄露的概率(按国家/地区划分)
在识别并控制数据泄露的平均时间上,则主要考量平均识别时间 (MTTI) 和平均控制时间 (MTTC) 这两个用于确定企业实施事故响应及控制流程的有效性的指标。
根据383家企业的综合样本,估算出的平均识别时间为201天,时间范围介于20至569天。平均控制时间70天,时间范围介于11至126天。
而在平均识别和控制时间与总平均成本的关系上,如果平均识别时间小于100天,识别数据泄露的平均成本为323万美元;如果超过100成本则为438万美元。而如果在平均控制时间小于30天,则控制成本为318万美元;如果超过,则成本会升到435万美元。
此次调研的12个行业中,48%的事故涉及恶意或犯罪攻击,25%因员工或承包商疏忽(人为错误)导致,另有27%的事故涉及系统故障(包括 IT 和业务流程故障)。且在2016年,恶意或犯罪攻击引发的数据泄露平均成本每条记录高达170美元,远高于系统故障和人为因素造成的数据泄露每条记录平均成本的138美元和133美元。
当然,平均识别时间和平均控制时间这两个指标也会受到发生数据泄露的原因影响。
数据泄露事故的平均识别时间和平均控制时间(按根源划分;单位:天)
四、一些发现
美国和德国的数据泄露成本最高,巴西和印度最低;
通过事故响应团队以及广泛使用加密来降低数据泄露成本;
丢失的记录越多,数据泄露的成本越高;
美国企业数据泄露后的客户损失成本最高;
识别并控制数据泄露所需的时间会对成本造成影响……
安全牛评
近两年频繁爆发的数据泄露事件给企业和用户带来了重大的经济损失和不良声誉影响,除了在事后消除影响的成本投入外,在数据泄露事件发生之前如果能对数据泄露大致成本有明确清晰的认识,也会对企业高层做出更合理的预防和应对措施有所帮助。
报告目录
第一部分 简介
全球研究一览
数据泄露成本研究揭示的七大全球性趋势
一些显著的企业发现和影响
数据泄露成本常见问题解答
全球一览
第二部分 主要发现
全球和行业数据泄露成本差别
引发数据泄露的根本原因
影响数据泄露成本的因素
受损记录出现频率和客户流动或流失趋势
数据泄露成本构成趋势
企业发生数据泄露的概率
识别并控制数据泄露所需的平均时间
业务持续性管理对数据泄露成本的影响
第三部分 如何计算数据泄露成本
第四部分 组织特征与基准算法
第五部分 限制