今年數(shù)據(jù)泄露事故每條記錄的成本達(dá)到154美元。

根據(jù)IBM和Ponemon研究所近日發(fā)布的報(bào)告顯示，今年數(shù)據(jù)泄露事故每條記錄的成本達(dá)到154美元，這比2014年的145美元增長了12%。

此外，單起數(shù)據(jù)泄露事故的平均總成本上升了23%，達(dá)到379萬美元。

而在上個月Verizon的研究結(jié)果則顯示數(shù)據(jù)泄露每條記錄平均僅為58美分，這兩個調(diào)查結(jié)果簡直是天壤之別。

Verizon的計(jì)算結(jié)果是基于191個保險(xiǎn)索賠，這也是其年度數(shù)據(jù)泄露事故調(diào)查報(bào)告的一部分。

但是Ponemon研究所主席兼創(chuàng)始人Larry Ponemon稱，保險(xiǎn)理賠并不能顯示完整的情況。

有的公司沒有購買足夠的保險(xiǎn)來涵蓋數(shù)據(jù)泄露事故的總成本，這些保險(xiǎn)不包括間接費(fèi)用或業(yè)務(wù)損失。

他舉例說，Target遭遇的數(shù)據(jù)泄露事故估計(jì)給該公司帶來超過10億美元的損失，但該公司僅投保1億美元。

在一般情況下，企業(yè)會購買足夠的保險(xiǎn)來涵蓋其50%的固定資產(chǎn)價(jià)值，但只有12%數(shù)字資產(chǎn)的價(jià)值。

業(yè)務(wù)損失也是數(shù)據(jù)泄露總成本的很大一部分?？蛻袅魇?、聲譽(yù)和商譽(yù)受損等，這總共會給每家公司帶來157萬美元的損失，上年這個數(shù)字還是133萬美元。

“我們花了很多時(shí)間來基于真正的成本構(gòu)建分析模型，”他補(bǔ)充說，Ponemon十年來一直在收集這種數(shù)據(jù)。今年，Ponemon對11個國家的350個公司的數(shù)據(jù)進(jìn)行了分析，這些公司都遭受了數(shù)據(jù)泄露事故。

最后，他表示，Verizon的回歸分析是基于非常少量的數(shù)據(jù)點(diǎn)，這些并不一定具有代表性。

“但Verizon數(shù)據(jù)泄露事故調(diào)查報(bào)告的主體部分非常有趣，其中表明該公司專注于未來，他們應(yīng)該繼續(xù)其研究。”

IBM安全部門副總裁Caleb Barlow稱，在企業(yè)遭遇數(shù)據(jù)泄露事故后，至少應(yīng)該發(fā)送郵件告知客戶他們遭受攻擊。“Verizon做了很不錯的工作，但我們不得不說，58美分并沒有涵蓋企業(yè)的總損失。”

對于數(shù)據(jù)泄露事故，醫(yī)療保健行業(yè)的成本最高

根據(jù)Ponemon的報(bào)告顯示，在不同行業(yè)和地域，數(shù)據(jù)泄露事故的成本都各有不同。

美國的每記錄成本最高，為217美元，其次是德國，為211美元，印度最低，為56美元。

從行業(yè)來看，最高成本是在醫(yī)療保健行業(yè)，平均每條記錄為363美元。

這是因?yàn)獒t(yī)療記錄中的信息比信用卡號有著更長的使用期。

“對于信用卡，信用卡公司可以取消原有的信用卡號碼，再啟用新的號碼，”他表示，“但醫(yī)療記錄可以用來建立永久訪問。”醫(yī)療記錄包含了豐富的個人信息，包括社保號和保險(xiǎn)號。

他說道：“這些號碼可以用來建立信用或者用于在10年或15年內(nèi)竊取你的身份信息。”這還不包括醫(yī)療欺詐的成本。

影響數(shù)據(jù)泄露成本的因素

Ponemon報(bào)告還分析了可能影響數(shù)據(jù)泄露事故成本的其他因素，與行業(yè)或地域因素不同(+本站微信networkworldweixin)，很多這些因素正受到管理控制。

例如，提前部署事件響應(yīng)小組可以將每記錄成本降低12.6美元，利用加密可降低12美元的成本，員工培訓(xùn)則可降低8美元。如果業(yè)務(wù)連續(xù)性管理人員是事件響應(yīng)小組的成員，成本可降低7.1美元。CISO領(lǐng)導(dǎo)層可降低5.6美元，董事會參與可降低5.5美元，網(wǎng)絡(luò)保險(xiǎn)可降低4.4美元。

“如果提前做好準(zhǔn)備，讓董事會參與進(jìn)來，并具有保險(xiǎn)保障，也已經(jīng)做了應(yīng)該做的工作，他們面臨的數(shù)據(jù)泄露成本會更低，”Barlow稱，“我們有確鑿的證據(jù)證明，這樣做的企業(yè)的損失要低得多。你沒有幾天來作出響應(yīng)，你甚至沒有幾小時(shí)的時(shí)間，你只有幾分鐘。”

增加成本的因素是聘請外部顧問，這會增加4.5美元的成本。如果出現(xiàn)設(shè)備丟失或被盜，成本平均增加9美元。而最大的因素是，在數(shù)據(jù)泄露事故中，涉及第三方。這將給每條記錄的成本增加了16美元，從154美元到170美元。

成本隨時(shí)間增長

Ponemon發(fā)現(xiàn)，數(shù)據(jù)泄露事故發(fā)現(xiàn)的時(shí)間與數(shù)據(jù)泄露事故的總成本之間，還有緩解數(shù)據(jù)泄露事故的時(shí)間與成本之間，都存在正比的關(guān)系。

平均而言，企業(yè)要花256天發(fā)現(xiàn)由惡意攻擊者造成的數(shù)據(jù)泄露事故，并花82天來遏制它。

系統(tǒng)故障造成的數(shù)據(jù)泄露事故要花173天來發(fā)現(xiàn)，60天來遏制。而由人為錯誤造成的事故需要158天才會被發(fā)現(xiàn)，以及57天來緩解事故。