根据 IBM Security 本周三发布的最新报告,平均一起数据泄露产生的损失达到 440 万美元,同比增加了 2.6%,相比较 2020 年增加了 13%,刷新了历史记录。IBM 表示在参与调查的组织中,超过一半承认通过提高产品和服务售价的方式将这些额外成本转移给消费者。
这份年度报告分析了自 2021 年 3 月至 2022 年 3 月期间全球 550 家企业出现的数据泄露事件。该研究由 IBM 提供资金支持和详细分析,由 Ponemon Institute 进行实施。
因数据泄露造成的损失包括支付的赎金、用于调查和修复漏洞的费用等等。其他的损失还包括监管罚款、可能会持续数年对未来产品销售的预估影响等。平均来说,受调查机构表示数据泄露事件发生 1 年之后造成的损失可以控制在 50% 以下。
一个很好的例子是 T-Mobile 周五表示,愿意支付 5 亿美元和解金,用于解决客户对数据泄露事件提起的集体诉讼。该诉讼将近一年前,该诉讼揭示了估计有 7660 万人的个人信息。
这项和解金在今年年底前司法批准之后,T-Mobile 将其中 3.5 亿美元用于解决集体诉讼中消费者的主张,还有 1.5 亿美元用于升级数据保护。这个数据泄露时间发生于 8 月,导致用户名称、社会安全码、手机号码、家庭住址和出生日期等信息被泄露。
在 IBM 的调查报告中还分析了很多高损失的数据泄露事件,针对包括金融服务、工业、技术、能源、运输、通信、健康医疗、教育和公共部门行业的关键基础设施攻击。
这些数据泄露造成的损失平均在 480 万美元之上,平均比非关键基础设施的组织损失高出 100 万美元。尤其是医疗行业的损失最为严重,平均一起数据泄露事件都会带来 1010 万美元的损失,而在 2021 年这个数字为 920 万美元。
近年来,无论是有国家背景的黑客组织还是新兴的网络犯罪团伙,他们都将目光瞄准了关键基础设施。去年,针对 Colonial Pipeline 和肉加工厂 JBS USA 的勒索软件攻击都导致公司网络瘫痪,由于数据被加密被迫向黑客支付了数百万美元的赎金。