德勤会计师事务所发现:“隐藏代价”能占到公司总体业务损失的90%,而且极有可能在事发2年后甚至更长时间才会显现出来。
没有人会否认网络攻击的频度和强度都在增加,大多数公司都承认自己至少遭到过1起网络事件。但这些公司真的了解网络事件对公司的全部影响吗?毕竟,数据泄露相关的直接损失通常都远远不及“隐藏代价”。
事实上,“隐藏代价”能占到公司总体业务损失的90%,而且极有可能在事发后2年甚至更久后才会显现出来。
这是德勤会计师事务所新近发布的一项研究报告《表面之下:深度探讨网络攻击的商业影响》所揭示的。
德勤标记出了网络攻击的14种商业影响,并归类为“表面之上”(众所周知的事件损失),和“表面之下”(隐藏或极少被感知到的代价),每一类中都有7种影响。
德勤认为,当前市场太过低估网络事件的影响,因为公众都只关注表面影响,而这恰恰是比重极小的那部分。
高管们通常难以估算潜在影响,部分原因源于他们通常对同侪努力将业务导回正轨的过程中所遭遇的困难和阻力并不知情。缺乏对网络攻击的准确视图,公司也就不能获悉自己需要了解的风险态势。
太多的讨论都是围绕现有的漏洞和技术影响。视线太窄,且只集中在了数据泄露通知元素和事后防护机制这些需要就位的东西上,而更广泛的影响则被忽略了。
德勤的分析师着手描绘了对网络攻击更宽泛全面的视图。
他们想到了网络攻击的影响被低估了,却没想到表面之下的影响被低估了这么多,而且这些”隐藏”影响一直以来都没有成为网络事件的日常讨论对象。
为表现出网络攻击方方面面的影响,德勤的研究团队虚拟了2个案例分析,在5年时间里为每种因素进行了经济损失的量化。这14种商业影响具体如下所示:
表面之上(众所周知)的网络事件损失
- 客户数据泄露通告
- 事后客户防御
- 合规(罚款)
- 公关/危机沟通
- 律师费和诉讼
- 网络安全改进
- 技术调查
表面之下(隐藏或极少被感知到)的损失
- 保费增长
- 举债开销增加
- 运营中断
- 客户关系价值丧失
- 合同流失
- 商标贬值
- 知识产权遗失
上述所有影响中,可能最明显的就是运营中断了。
从所受影响的角度出发,每家公司都是不一样的,但各行业之间却有共通的关键领域。比如,对零售业而言,信用卡数据是最重要的。医疗保健行业,个人身份识别信息(PIN)最重要。而在制造业,知识产权遗失可能会是最致命的打击。然而,各家公司遭受的最被低估的严重影响,往往是业务中断。
取决于发生的时机和持续时长,业务中断可能在各个方面造成严重后果,比如财务处罚、收益损失、借贷开支、客户服务、品牌接受度和未来发展机会等。
最重大的切实影响就是最先被感受到的那个——事件响应的经济开支。控制和响应攻击的动作、对数据泄露造成后果的调查、公关、合规处罚、信用监控服务,以及后端加强防御的费用等等。对中大型企业而言,这些有可能很轻易就累计到数百万美元了。
除此之外,还有些不易度量的开支,取决于企业所属行业、企业规模和安全事件性质等不同因素。影响可能包含有企业充分保护信息的能力的丧失,这种能力的丧失在金融产业引发的客户反应,会比在批发制造业严重得多。
此类损失可能更难以度量,但若投资人、客户或主要业务合作伙伴对事件深究起来,也是够企业受的。
RSA首席技术官拉姆赞总结了网络攻击最重大的5个影响领域:业务持续性影响、知识产权失窃、客户和员工信息等敏感数据遗失、合规影响、信誉损失。
取决于企业自身和所属具体市场纵向行业,不同的条目会浮现到这个列表顶部。其中一些领域,比如业务持续性影响领域,就相对容易量化。另一方面,其他一些领域,比如信誉损失和知识产权失窃,就更难以赋以一个准确的衡量金额。
影响的开销
但德勤的分析师们没有被困难吓住。在报告中,他们创建了两家代表性公司,遭受网络攻击并附上了对所有影响领域的损失价值。
其一是一家医疗保健公司,遭受的是数据泄露事件:其医疗保健分析软件供应商的一台笔记本电脑被盗,而电脑中存有该医疗保健公司的280万条个人健康信息(PHI)记录。基于所有14个影响因素,该事件的全部损失被确定为16.79亿美元,细分如下:
表面之上
- 客户数据泄露通告 = 6个月,1000万(总损失占比0.6%)
- 事后客户防御 = 3年,2100万(1.25%)
- 合规(罚款) = 2年间,200万(0.12%)
- 公关/危机沟通 = 第1年里,100万(0.06%)
- 律师费和诉讼 = 5年,1000万(0.6%)
- 网络安全改进 = 第1年,1400万(0.83%)
- 技术调查 = 6周,100万(0.06%)
表面之下
- 保费增长 = 3年间,4000万(2.38%)
- 举债开销增加 = 6000万(3.57%)
- 运营中断 = 3000万(1.79%)
- 客户关系价值丧失 = 3年间,4.3亿(25.61%)
- 合同流失 = 3年间,8.3亿(49.43%)
- 商标贬值 = 5年间,2.3亿(13.7%)
- 知识产权遗失 = 无赋值
那么公司企业应该做些什么来防止这些潜在的损失呢?有4个方面值得注意。
首先,程序元素——公司战略、监管、策略、流程、框架,以及有没有需要修复的总体程序相关的漏洞。
其次,主动安全控制和态势——防护公司数据、系统、环境和业务的东西有没有就位。
再次,用于持续理解和监视公司环境的东西——有没有合适的工具来记录公司系统内发生的行为,有没有合适的分析工具对异常行为进行分析。
最后,公司是否有响应准备,是否有弹性——有没有事件响应预案?有没有对响应预案进行过测试?执行管理团队是否知道该向谁沟通这些事情?