根據(jù)最新的卡巴斯基報(bào)告“企業(yè)如何將數(shù)據(jù)泄露的成本降到最低”，決定主動(dòng)將數(shù)據(jù)泄露事件披露給利益相關(guān)者和公眾的中小企業(yè)的平均損失要比那些事故泄露給媒體的同行要少40%。在大型企業(yè)中，也出現(xiàn)了相同的趨勢(shì)。

如果不及時(shí)將有關(guān)數(shù)據(jù)泄露的信息適當(dāng)?shù)赝ㄖ?，可能?huì)讓數(shù)據(jù)泄露造成的經(jīng)濟(jì)和信譽(yù)損失更為嚴(yán)重。一些備受矚目的案件包括雅虎(Yahoo!)，因?yàn)闆](méi)有將其遭遇的數(shù)據(jù)泄露事件通知其投資者而被罰款和批評(píng)，還有Uber 因掩蓋其數(shù)據(jù)泄露事件而被罰款。

卡巴斯基的報(bào)告基于對(duì)全球5,200多名IT和網(wǎng)絡(luò)安全從業(yè)者的調(diào)查，調(diào)查顯示，能夠掌控局面的組織通常能夠降低損失。披露數(shù)據(jù)泄露事件的中小企業(yè)的成本估計(jì)為930,000美元，而事件泄露給媒體的同行則遭受了155,000美元的損失。大型企業(yè)面臨的情況同樣如此：那些主動(dòng)披露遭遇數(shù)據(jù)泄露事件的企業(yè)遭受的損失較那些事件被泄露給媒體的企業(yè)較少(少28%)，它們的損失分別為113.4萬(wàn)美元和158.3萬(wàn)美元。

只有約一半(46%)的企業(yè)會(huì)主動(dòng)披露數(shù)據(jù)泄露事件。經(jīng)歷過(guò)數(shù)據(jù)泄露的組織和企業(yè)中，有30%選擇不披露事件。當(dāng)事件泄露給媒體后，有近四分之一(24%)的企業(yè)試圖掩蓋事件。

盡管企業(yè)不披露數(shù)據(jù)泄露事件所造成的損失最小，但是這種做法遠(yuǎn)非理想。如果無(wú)意間向公眾泄露了其網(wǎng)絡(luò)安全事件，那么這類公司就有遭受更大損失的風(fēng)險(xiǎn)。

調(diào)查進(jìn)一步證明，對(duì)于那些無(wú)法立即發(fā)現(xiàn)攻擊的公司，風(fēng)險(xiǎn)尤其高。29%的中小企業(yè)要花費(fèi)一周多的事件才從媒體新聞中發(fā)現(xiàn)自己遭受了入侵，這比那些幾乎立即發(fā)現(xiàn)入侵的企業(yè)(15%)多出一倍。對(duì)大型企業(yè)來(lái)說(shuō)，這些數(shù)據(jù)也很相似，分別為32%和19%。

主動(dòng)披露可以幫助公司扭轉(zhuǎn)局面，將其向?qū)居欣姆较虬l(fā)展，而且還不僅限于經(jīng)濟(jì)影響。如果客戶第一時(shí)間知道發(fā)生了什么，他們很可能還會(huì)保持對(duì)品牌的信任。另外，公司還可以給客戶提供下一步該怎么做的建議，讓他們的資產(chǎn)得到保護(hù)。公司還可以通過(guò)與媒體分享可靠和正確的信息，從他們的角度來(lái)敘述事情，而不是依賴第三方媒體來(lái)錯(cuò)誤地描述情況，”卡巴斯基高級(jí)產(chǎn)品營(yíng)銷(xiāo)經(jīng)理 Yana Shevchenko 評(píng)論說(shuō)。

為了降低數(shù)據(jù)泄露帶來(lái)的破壞性后果的幾率，卡巴斯基建議企業(yè)提前采取以下措施：

• 為了實(shí)現(xiàn)企業(yè)端點(diǎn)級(jí)別的高級(jí)威脅檢測(cè)、調(diào)查和主動(dòng)威脅追蹤以及快速響應(yīng)，請(qǐng)部署EDR解決方案，例如卡巴斯基端點(diǎn)檢測(cè)和響應(yīng)。網(wǎng)絡(luò)安全專業(yè)技能有限的小型企業(yè)可以從卡巴斯基EDR Optimum中獲益。該解決方案提供基礎(chǔ)的 EDR 功能，包括更好的端點(diǎn)可視性、簡(jiǎn)化的原因分析和自動(dòng)響應(yīng)選項(xiàng)。
• 除了端點(diǎn)保護(hù)外，企業(yè)應(yīng)當(dāng)部署能夠在網(wǎng)絡(luò)層面檢測(cè)高級(jí)威脅并得到威脅情報(bào)加強(qiáng)(例如卡巴斯基反針對(duì)性攻擊平臺(tái))的企業(yè)級(jí)安全解決方案。這種解決方案有助于防范專業(yè)網(wǎng)絡(luò)罪犯的攻擊，這些罪犯偏愛(ài)多種媒介的攻擊方法，往往將許多不同的技術(shù)組合成一種計(jì)劃攻擊。
• 為了及時(shí)應(yīng)對(duì)網(wǎng)絡(luò)攻擊，聯(lián)合內(nèi)部的事件響應(yīng)團(tuán)隊(duì)作為第一線響應(yīng)，并將更復(fù)雜的事件升級(jí)，將其提交給第三方專家。
• 為員工引入安全意識(shí)培訓(xùn)，向他們解釋如何識(shí)別網(wǎng)絡(luò)安全事件以及發(fā)生事件時(shí)應(yīng)該如何做，包括立即通知公司的IT安全部門(mén)。
• 考慮對(duì)涉及數(shù)據(jù)泄露后果的所有各方進(jìn)行特別培，包括船舶專業(yè)人員和IT安全負(fù)責(zé)人，例如卡巴斯基事件傳播。

完整版報(bào)告請(qǐng)參見(jiàn)這里。

關(guān)于這項(xiàng)調(diào)查

卡巴斯基全球企業(yè)IT安全風(fēng)險(xiǎn)調(diào)查(ITSRS)于2020年6月采訪了31個(gè)國(guó)家的5,266名IT業(yè)務(wù)決策者。受訪者被問(wèn)及其組織內(nèi)部的IT安全狀況、面臨的威脅類型以及從攻擊中恢復(fù)時(shí)需要應(yīng)對(duì)的成本。