賽門鐵克公司和美國(guó)波耐蒙研究所（PonemonInstitute）6月17日發(fā)布《2013年數(shù)據(jù)泄露成本研究：全球分析報(bào)告》。該項(xiàng)研究的數(shù)據(jù)表明，2012年，三分之二的數(shù)據(jù)泄露事故均由人為錯(cuò)誤和系統(tǒng)問(wèn)題造成，每項(xiàng)受損數(shù)據(jù)記錄的全球平均成本高達(dá)136美元。該研究也揭露了目前企業(yè)存在的一些問(wèn)題：包括員工處理機(jī)密文件不當(dāng)、企業(yè)缺乏系統(tǒng)控制以及違反產(chǎn)業(yè)和政府規(guī)定等等。研究結(jié)果還揭示，醫(yī)療保健、金融和制藥等受嚴(yán)格監(jiān)管的行業(yè)的數(shù)據(jù)泄露成本比其他行業(yè)高出70%。

與全球受影響客戶的數(shù)據(jù)泄漏成本同比皆上漲的趨勢(shì)相反，美國(guó)各項(xiàng)泄露事故的總成本則略有下降，降至540萬(wàn)美元。下降原因主要得益于美國(guó)大部分公司均指派了首席信息安全官，專門負(fù)責(zé)企業(yè)安全、公司對(duì)全球事故做出及時(shí)響應(yīng)，以及對(duì)企業(yè)總體安全程序進(jìn)行加固等。

波耐蒙研究所主席LarryPonemon表示：“盡管外部攻擊者及其不斷演變的攻擊方法對(duì)企業(yè)構(gòu)成了極大的威脅，但與內(nèi)部威脅相關(guān)的危險(xiǎn)也可能造成同樣的破壞力和危害。八年的針對(duì)數(shù)據(jù)泄漏成本的研究結(jié)果也顯示，員工行為是當(dāng)今企業(yè)面臨的最緊迫問(wèn)題之一，而自第一次調(diào)查后，該項(xiàng)因素已經(jīng)增長(zhǎng)了22%。”

賽門鐵克信息管理集團(tuán)執(zhí)行副總裁AnilChakravarthy表示：“與一般企業(yè)相比，那些信息安全措施嚴(yán)格、事故響應(yīng)及時(shí)的企業(yè)的泄露成本要低20%，因此，對(duì)信息安全采取統(tǒng)籌規(guī)劃和通盤考量極為重要。”他還說(shuō)，“不管客戶的敏感信息是存儲(chǔ)在私人電腦、移動(dòng)設(shè)備、企業(yè)網(wǎng)絡(luò)還是數(shù)據(jù)中心里，企業(yè)都必須確保這些信息的安全。”

此次也是第八次年度全球報(bào)告基于對(duì)美國(guó)、英國(guó)、法國(guó)、德國(guó)、意大利、印度、日本、澳大利亞和巴西這九個(gè)國(guó)家的277家企業(yè)的實(shí)際數(shù)據(jù)泄露調(diào)查結(jié)果。該報(bào)告中研究的所有數(shù)據(jù)泄露事件均發(fā)生在2012年。為正確追蹤趨勢(shì)性數(shù)據(jù)，波耐蒙研究所并未將超過(guò)十萬(wàn)次的“大型數(shù)據(jù)泄漏事件”記錄包括在內(nèi)。

各企業(yè)可以通過(guò)訪問(wèn)賽門鐵克公司的“數(shù)據(jù)泄漏風(fēng)險(xiǎn)計(jì)算器”來(lái)分析自身面臨的風(fēng)險(xiǎn)。數(shù)據(jù)泄漏風(fēng)險(xiǎn)計(jì)算器將企業(yè)的規(guī)模、行業(yè)性質(zhì)、地理位置和安全措施做了全面考慮，通過(guò)此，能夠生成一個(gè)對(duì)企業(yè)數(shù)據(jù)記錄的預(yù)測(cè)和企業(yè)本身的評(píng)估。

其他重要發(fā)現(xiàn)包括：

全球范圍內(nèi)數(shù)據(jù)泄露平均成本差別顯著。這些差異大部分是因?yàn)槠髽I(yè)所面臨的風(fēng)險(xiǎn)類型以及各國(guó)數(shù)據(jù)保護(hù)法律不同所致。德國(guó)、澳大利亞、英國(guó)和美國(guó)等國(guó)家擁有更加完善的消費(fèi)者保護(hù)法律和法規(guī)來(lái)加強(qiáng)數(shù)據(jù)保密性和網(wǎng)絡(luò)安全。盡管如此，美國(guó)和德國(guó)的數(shù)據(jù)泄露成本依然最高（平均事故成本分別達(dá)到188美元和199美元）。這兩個(gè)國(guó)家的單項(xiàng)數(shù)據(jù)泄露事故總成本也最高（美國(guó)為540萬(wàn)美元，德國(guó)為480萬(wàn)美元）。

人為和系統(tǒng)錯(cuò)誤是導(dǎo)致數(shù)據(jù)泄漏的主要原因。在針對(duì)全球的研究中，人為錯(cuò)誤和系統(tǒng)問(wèn)題導(dǎo)致了64%的數(shù)據(jù)泄漏事故，而此前的研究也顯示，62%的員工表示可以將企業(yè)數(shù)據(jù)轉(zhuǎn)移至公司外部，并且大部分人從不刪除數(shù)據(jù)，因而容易遭受數(shù)據(jù)外泄。這說(shuō)明有很大一部分?jǐn)?shù)據(jù)泄露事件是由內(nèi)部人員導(dǎo)致，致使企業(yè)承擔(dān)了高額的數(shù)據(jù)泄露成本。研究還顯示，巴西的企業(yè)最有可能遭遇因人為錯(cuò)誤而導(dǎo)致的數(shù)據(jù)泄漏事件。印度的企業(yè)則最有可能因系統(tǒng)故障或業(yè)務(wù)流程崩潰而導(dǎo)致數(shù)據(jù)外泄。系統(tǒng)故障包括：應(yīng)用程序錯(cuò)誤、無(wú)意識(shí)數(shù)據(jù)轉(zhuǎn)存、數(shù)據(jù)傳送中的邏輯錯(cuò)誤、身份或身份驗(yàn)證失敗（非法訪問(wèn)）、數(shù)據(jù)恢復(fù)失敗等等。

惡意和違法攻擊在各地都代價(jià)高昂。綜合研究結(jié)果顯示，惡意和違法攻擊導(dǎo)致的數(shù)據(jù)泄露事件占比高達(dá)37%，而因此造成的數(shù)據(jù)外泄在九個(gè)國(guó)家中也成本最高。美國(guó)和德國(guó)公司因惡意或違法攻擊導(dǎo)致的數(shù)據(jù)外泄事故成本最高，各項(xiàng)受損記錄成本分別為277美元和214美元。而巴西和印度的各項(xiàng)受損記錄成本最低，分別為71美元和46美元。德國(guó)公司最有可能遭遇惡意或違法攻擊，緊接著是澳大利亞和日本。

部分企業(yè)因自身管理到位而使數(shù)據(jù)泄漏成本降低。美國(guó)和英國(guó)公司的信息安全措施嚴(yán)格、事故響應(yīng)及時(shí)，同時(shí)他們還任命了首席信息安全官來(lái)專門負(fù)責(zé)企業(yè)的安全問(wèn)題，因此其數(shù)據(jù)泄露成本下降幅度最大。美國(guó)和法國(guó)還通過(guò)雇傭數(shù)據(jù)泄漏補(bǔ)救顧問(wèn)來(lái)降低成本。

為防止數(shù)據(jù)泄露并有效降低成本，賽門鐵克推薦企業(yè)遵守以下最佳實(shí)踐：

教育和培訓(xùn)員工如何處理機(jī)密信息；

采用數(shù)據(jù)丟失防護(hù)技術(shù)來(lái)尋找敏感信息并防止離開(kāi)公司后的信息外泄；

部署加密和強(qiáng)身份驗(yàn)證解決方案；

制定事故響應(yīng)計(jì)劃，包括采取適當(dāng)?shù)拇胧﹣?lái)通知客戶。