IBM發(fā)布的《2021年數(shù)據(jù)泄露成本》報(bào)告揭示，數(shù)據(jù)泄露成本從386萬(wàn)美元增至424萬(wàn)美元，為其17年報(bào)告發(fā)布史上最高平均總成本數(shù)額。

英國(guó)文化、媒體和體育部（DCMS）最近發(fā)布的報(bào)告顯示，英國(guó)大中型企業(yè)越來(lái)越來(lái)難以承受數(shù)據(jù)泄露不斷高企的成本。該報(bào)告顯示，2021年，英國(guó)大中型企業(yè)平均損失了1.94萬(wàn)英鎊，而2020年時(shí)這一數(shù)字還只是1.34萬(wàn)。有意思的是，如果考慮大中小各種規(guī)模的企業(yè)，數(shù)據(jù)泄露的平均成本驟降至4200英鎊。而且，相比2020年的8460英鎊還腰斬了。

每年都有很多這樣的報(bào)告向我們揭示身邊正發(fā)生什么，數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的成本又增加了多少。這些報(bào)告都很有價(jià)值，因?yàn)槟茏屛覀兞私獾絻r(jià)格、所用方法和組織是怎樣應(yīng)對(duì)日益增多的威脅的。但是，我們需要謹(jǐn)慎對(duì)待這些報(bào)告，因?yàn)檫@些報(bào)告沒(méi)有準(zhǔn)確描述，也無(wú)法準(zhǔn)確描述我們數(shù)字世界中正在發(fā)生一切，更別說(shuō)精準(zhǔn)統(tǒng)計(jì)數(shù)據(jù)泄露的影響了。這并不是針對(duì)研究人員本身的抱怨，而是一種客觀觀察：計(jì)算問(wèn)題的規(guī)?；蛩斐捎绊懙某杀緯r(shí)，我們無(wú)法考慮到如此之多的因素。

盡管報(bào)道數(shù)據(jù)泄露的財(cái)務(wù)影響既必不可少又很有價(jià)值，但這種報(bào)告過(guò)于武斷，并沒(méi)有給出更難以量化的數(shù)據(jù)泄露的真實(shí)成本。當(dāng)然，把這些統(tǒng)計(jì)數(shù)據(jù)擺上董事會(huì)會(huì)議桌來(lái)合理化網(wǎng)絡(luò)安全預(yù)算還是很不錯(cuò)的，但我們還應(yīng)該考慮數(shù)據(jù)泄露那些不太明顯的影響，因?yàn)閿?shù)據(jù)泄露的成本和對(duì)業(yè)務(wù)的影響遠(yuǎn)遠(yuǎn)高于報(bào)告數(shù)字所呈現(xiàn)的。

聲譽(yù)損害

數(shù)據(jù)泄露事件發(fā)生后，組織往往必須與顧客、長(zhǎng)期客戶和雇員就所發(fā)生的事情艱難溝通。在了解事件發(fā)生經(jīng)過(guò)和計(jì)算出財(cái)務(wù)影響之前，必須精心準(zhǔn)備所有電話、電子郵件和新聞稿。每一場(chǎng)溝通都有可能失去一家客戶，組織的聲譽(yù)所受的負(fù)面影響不斷累積。 

當(dāng)然，這并不意味著組織應(yīng)該蒙混過(guò)關(guān)或者盡量避免這些溝通，因?yàn)閺拈L(zhǎng)遠(yuǎn)看，這么做顯然會(huì)讓他們陷入更糟糕的境地。只要組織以開(kāi)放的態(tài)度誠(chéng)實(shí)通報(bào)所發(fā)生的一切，那么大多數(shù)（不是全部）客戶、供應(yīng)商和雇員都會(huì)給予諒解，尤其是在遭到有組織網(wǎng)絡(luò)犯罪侵害的情況下。但堅(jiān)持這么做也很冒險(xiǎn)，因?yàn)樵诎l(fā)現(xiàn)自己是網(wǎng)絡(luò)攻擊真正的受害者時(shí)，耐心和慷慨往往是稀缺品。

時(shí)間回溯到2013年，美國(guó)零售業(yè)巨頭塔吉特被網(wǎng)絡(luò)罪犯攻陷，數(shù)據(jù)泄露影響4100萬(wàn)客戶。塔吉特在16天內(nèi)檢測(cè)到了泄露，并在發(fā)現(xiàn)后20天里公開(kāi)披露了此事，但很多客戶對(duì)這家公司的披露耗時(shí)非常不滿。

這無(wú)疑在相當(dāng)長(zhǎng)的一段時(shí)間里影響了塔吉特的股價(jià)。當(dāng)然，任何公司的股價(jià)都是公司聲譽(yù)和地位的金融表征。

賠償和罰款

考慮數(shù)據(jù)泄露成本時(shí)我們最常想到的就是聲譽(yù)上的影響，但需要考慮的其他因素還有很多。 

數(shù)據(jù)泄露還會(huì)引發(fā)索賠，甚至制裁和罰款。信息專員辦公室（ICO）是英國(guó)的監(jiān)管機(jī)構(gòu)，根據(jù)英國(guó)《數(shù)據(jù)保護(hù)法案》和歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）監(jiān)管治理和合規(guī)事宜。如果發(fā)生數(shù)據(jù)泄露，組織可能必須向ICO做出解釋，等待ICO的后續(xù)動(dòng)作。無(wú)論采取何種形式的制裁，律師都會(huì)介入，數(shù)據(jù)泄露的財(cái)務(wù)影響會(huì)再次迅速升級(jí)。

發(fā)生數(shù)據(jù)泄露事件之后，有一種影響往往會(huì)忘了討論，這種影響雖然也會(huì)造成財(cái)務(wù)損失，但在初步評(píng)估中卻不是那么明顯。

人員影響

發(fā)生數(shù)據(jù)泄露時(shí)，光確定發(fā)生了什么和需要采取哪些行動(dòng)就有一大堆事情要做。事件響應(yīng)團(tuán)隊(duì)會(huì)采取行動(dòng)，按計(jì)劃果斷行事，以期恢復(fù)業(yè)務(wù)正常運(yùn)行。

在響應(yīng)和恢復(fù)過(guò)程中，相關(guān)人員面臨著全力確保盡快恢復(fù)的壓力。假期被取消，育兒和照顧親屬的個(gè)人義務(wù)被忽視，當(dāng)前要?jiǎng)?wù)就是維持或恢復(fù)業(yè)務(wù)正常運(yùn)營(yíng)。

因此，恢復(fù)團(tuán)隊(duì)成員承受的壓力是巨大的，而在考慮誰(shuí)應(yīng)該加入恢復(fù)團(tuán)隊(duì)時(shí)，這種壓力又常常遭到忽視。大多數(shù)主管和經(jīng)理都需要能夠在壓力下保持冷靜。不過(guò)，數(shù)據(jù)泄露或網(wǎng)絡(luò)事件并不是大多數(shù)人需要面對(duì)的日常（謝天謝地）。因此，人們對(duì)安全事件的反應(yīng)天差地別，但無(wú)論如何反應(yīng)，終歸逃不脫最初都是人類會(huì)有的反應(yīng)。

別對(duì)人性保有太高的幻想，數(shù)據(jù)泄露發(fā)生時(shí)，團(tuán)隊(duì)的第一反應(yīng)會(huì)是：“這對(duì)我有什么影響？我得擔(dān)責(zé)嗎？”或許這種想法轉(zhuǎn)瞬即逝，但肯定會(huì)出現(xiàn)。于是，壓力和焦慮開(kāi)始出現(xiàn)，因?yàn)檫@個(gè)人會(huì)在個(gè)人責(zé)任和崗位職責(zé)之間掙扎。

難怪最近的研究顯示，24%的財(cái)富500強(qiáng)企業(yè)首席信息安全官（CISO）履職時(shí)間僅一年，而平均任期為26個(gè)月。那么，IT團(tuán)隊(duì)成員的情況又如何呢？響應(yīng)團(tuán)隊(duì)中的其他人又是何種情況？事件發(fā)生后他們會(huì)待多久呢？

當(dāng)然，壓力和焦慮會(huì)導(dǎo)致心理健康問(wèn)題，而如果我們回到資產(chǎn)負(fù)債表，生產(chǎn)力問(wèn)題會(huì)導(dǎo)致更多的經(jīng)濟(jì)損失。

結(jié)語(yǔ)

計(jì)算數(shù)據(jù)泄露的成本確實(shí)可以歸結(jié)為我們可以往電子表格中填入什么，但我們不應(yīng)該僅僅看到數(shù)據(jù)泄露表面的財(cái)務(wù)影響。如果想要深入了解真實(shí)成本，我們就得考慮數(shù)據(jù)泄露事件的方方面面。這意味著要考慮對(duì)我們聲譽(yù)的影響、損失的機(jī)會(huì)成本、對(duì)生產(chǎn)力的影響、增加的運(yùn)營(yíng)成本、賠償和罰款，以及對(duì)我們?nèi)藛T的影響。

對(duì)人員的影響往往是最難以計(jì)算的，因?yàn)闆](méi)有明確的指征表明何時(shí)會(huì)感受到這種影響；團(tuán)隊(duì)成員可能會(huì)在業(yè)務(wù)開(kāi)始恢復(fù)的那一刻開(kāi)始尋找另一份工作，并且可能永遠(yuǎn)不會(huì)提到那次事件是離職的催化劑。

財(cái)務(wù)成本可能僅僅是電子表格中細(xì)細(xì)的一行，但數(shù)據(jù)泄露的實(shí)際成本遠(yuǎn)不止如此，還有對(duì)內(nèi)部和外部利益相關(guān)者的信任侵蝕。

因此，我們應(yīng)該提出的真正問(wèn)題和做出的計(jì)算是：您對(duì)信任標(biāo)價(jià)幾何？