数据泄露可能发生在世界任何地方,但从历史上看,数据泄露在特定国家/地区更为常见。通常,互联网使用率和数字服务较高的国家更容易发生数据泄露。
为此,IBM 的《2023 年数据泄露成本报告》调查了 16 个国家和地区以及 17 个行业的 553 个不同规模的组织。报告中,2023 年按国家或地区划分的前五名数据泄露成本(以百万美元衡量)是:
- 美国:9.48 美元(较 2022 年增长 0.4%)
- 中东:8.07 美元(较 2022 年增长 8.2%)
- 加拿大:5.13 美元(比 2022 年下降 9%)
- 德国:4.67 美元(较 2022 年下降 3.7%)
- 日本:4.52 美元(较 2022 年下降 1.1%)。
排名靠前的国家有根本原因吗?哪些因素在起作用?一些国家是否更容易受到网络钓鱼等社会工程攻击?
为什么顶级国家的成本如此之高?
虽然很难量化,但前五个国家的高成本可归因于几个因素。
美国
美国的数据泄露平均总成本最高,为 948 万美元,高于 2022 年的 944 万美元。美国的数字可能是由于美国组织的规模和复杂性以及该国广泛的数字基础设施以及数据泄露的敏感性造成的。他们持有的数据和监管环境。
中东地区
在中东,这一数字可能归因于大量泄露记录、高恶意攻击率以及识别和遏制泄露的时间较长。
德国
在德国,统计数据可能是由于大量丢失或被盗记录以及恶意或犯罪攻击发生率很高。
加拿大和日本
在加拿大和日本,高成本可能归因于高流失率(客户停止与实体开展业务的比率)以及识别和遏制违规行为的时间较长。
数据泄露法律是否会导致前五个国家的成本高昂?
虽然该报告没有将这些监管因素与排名前五的国家直接联系起来,但它表明监管环境和对法规的遵守可以显着影响数据泄露的成本。
例如,在美国,《加州消费者隐私法案》(CCPA)和《健康保险流通与责任法案》(HIPAA)等州数据隐私政策会对违规行为处以巨额罚款和处罚。同样,在欧盟,《通用数据保护条例》(GDPR) 对数据泄露实施了严格的处罚,影响了德国和法国等国家。
美国现在披露的违规行为是否比过去更多?
该报告没有得出结论,美国现在是否因不断出台的国家数据隐私政策而披露了比过去更多的违规行为。不过,它确实提供了一些相关信息:
- 美国已被列入《数据泄露成本报告》18 年,是所有参与该报告的国家或地区中时间最长的。
- 只有三分之一的公司通过自己的安全团队发现了数据泄露事件,这突出表明需要更好的威胁检测。大多数违规行为 (67%) 是由善意的第三方或攻击者自己报告的。当攻击者披露漏洞时,组织的损失比内部检测高出近 100 万美元。
- 大多数受访者 (57%) 表示,数据泄露导致其业务产品定价上涨,将成本转嫁给消费者。
这些数据表明,违规行为的披露是一个复杂的问题,涉及多种因素,包括检测能力和财务影响。
然而,由于担心声誉受损、监管审查或法律责任,组织通常不会透露自己已被泄露。更常见的是,公司可能缺乏足够的网络安全措施或训练有素的人员来处理违规行为。
事实上,FBI最近表示,只有约 20% 的勒索软件事件被报告。
与其他国家相比,美国有哪些独特的成本?
美国承担了其他国家可能没有的一些直接和间接成本,其中包括:
更高的业务损失成本。 美国的商业损失成本最高,其中包括客户异常流失、客户获取活动增加、声誉损失和商誉减少。
更高的数据泄露后响应。 响应活动有助于最大限度地减少违规的影响,例如帮助台资源、入站通信、特殊调查资源、补救措施、法律支出、产品折扣、身份保护服务和监管干预措施。
通知费用。 在美国,在数据泄露后的某些情况下,组织必须通知受影响的个人、监管机构和媒体。这些通知成本可能会很高。
与其他国家相比,某些国家的公民是否更容易受到社会工程的影响?
IBM 报告没有直接评论公民的技术精通程度或他们对社会工程的敏感性。它主要关注数据泄露的组织成本和影响,而不是个人行为。
然而,它确实提到了人为因素,包括社会工程攻击,在数据泄露中发挥着重要作用。例如,它指出近六分之一的违规行为(17%)是由网络钓鱼造成的,这本质上是人为错误。
值得注意的是,对社会工程攻击的敏感性并不一定反映了对技术的了解程度较低。这些攻击通常依赖于操纵和欺骗,利用信任和权威而不是技术无知。
请记住,每个人都容易受到社会工程的影响——无论您多大、住在哪里。