大型資料洩露事件並未迫使企業增加安全投入

更大型的資料洩露事件無法說服企業對IT安全投入更多資金，因為投資者和顧客都不會永久性地放棄這些公司。

2015年10月，黑客入侵了英國電訊公司TalkTalk的網站，他們可能使用了該網站上11個漏洞中的一個，竊取了15.7萬顧客的個人詳細資訊，包括1.5萬餘人的銀行賬戶資訊。

上週，安全上欠下的債終於償還了：該公司在2016年第一季度的利潤下降了超過一半。在週二釋出的年報上，公司披露已經失去了9.5萬訂閱者，黑客事件導致大約8000萬美金損失，其中包括“在恢復網路能力之後部署增強的安全措施、相關IT、事件響應、諮詢、免費升級所造成的費用”，以幫助公司留住客戶。

TalkTalk是最近一家因資料洩露事件遭受巨大損失的公司。儘管過去的分析已經表明，資料洩露不會影響公司的長期股價，企業和其管理層正日漸承擔著更多的恢復費用和損失商業市場的可能性。

Verizon的企業服務計算機調查團隊RISK首腦Chris Novak說：“我們正進入一個人們被認為有責任說很多東西的時代。影響正逐漸增加。這已經不只是一個IT層面上的問題，而是成為了董事會或C級高管層的問題。”

但這還不夠。儘管解僱CEO毫無疑問正在吸引高管團隊和董事會的注意，資料洩露造成的金融損失可能不會持續太長時間，大公司能夠很快吸收掉它們。2009年，當黑客Albert Gonzales從Heartland Payment Systems偷走了近1億份信用卡和借記卡資訊時，公司在3個月內跌掉了超過75%的股票市值。不過股價已經反彈，目前價格已經是當時的500%。

哥倫比亞大學國際公共關係事務學院網際網路管理與網路安全部門研究員Benjamin Dean在去年的一篇論文中指出，在2013年的資料洩露事件之後，塔吉特損失了超過2.52億美金，其中的0.9億由保險公司償還。儘管看上去總額很大，這些損失僅佔公司2014年銷售額的0.1%。

而且，儘管造成了8000萬美金損失，TalkTalk的洩露事件僅僅影響了利潤，而不是造成公司全年財報顯示虧損。事實上，公司在提供客戶激勵方面的努力讓客戶流失率 (Churn Rate) 在2015年最後一個季度達到了歷史最低。

RAND公司網路安全與新興技術分析師Lillian Ablon對媒體表示，總的來看，損失不足以驅使企業在安全領域投入大筆資金。

她說：“當然，企業感覺到疼了。有些企業的股價已經下挫，但是沒人真的感受到切膚之痛。”一部分問題在於，消費者已經厭倦了資料洩露事件重複出現的規律，而且不確定如何改變企業的行為方式。

在近期的一項研究中，RAND發現，只有11%的消費者因為資料洩露事件拋棄了公司的產品和服務。

“我經常納悶，消費者為什麼還沒有拿起武器：畢竟，他們的資料都洩露出去了，很容易就能拿到。我認為這是因為消費者沒有感覺到疼痛。身份盜竊造成的財務衝擊並不大。”

受安全服務提供商Dell Secureworks資助，Ponemon Institute在2015年釋出的一份報告稱，這種現象導致，半數企業沒有提升在安全領域的投入。在另一半的中，大約三分之二的企業計劃在未來兩年中增加投入，其餘則準備大幅增加預算。

報告稱，“儘管眾所周知的資料洩露事件越來越多，IT安全投資沒有對董事會產生什麼影響，也沒有得到董事會的幫助”。

儘管大企業能夠吸收資料洩露產生的衝擊，小企業則基本上在冒著網路攻擊導致企業徹底倒閉的風險。雖然公眾目前還不認為個人身份洩露會直接導致企業破產，其它型別的網路入侵已經造成過企業關門。比如程式碼倉庫Code Spaces在黑客控制其亞馬遜控制皮膚，要求贖金未果並刪除了所有伺服器之後將網站下線。

“小企業更多依賴關係。而且它們比大企業更容易受到直接衝擊。”

不過，兩個趨勢將增加被入侵企業與受害使用者的損失。

第一個是不容易被更改或替換掉的資訊正愈發成為黑客的攻擊目標，比如社保號碼。比如在2015年，338起資料洩露事件放出了近1.65億份包含社保號碼。

相對地，Identity Theft Resource Center給出的資料顯示，2015年，只有不到100萬份借記卡或信用卡資訊遭到洩露。過去的一年中，被曝光的信用卡數量顯著增長：大約138起資料洩露事件導致近6500萬份信用卡資訊被黑客竊取。

第二個趨勢是，企業正在收集數量更多、種類更多的使用者個人資訊。比如，家庭攝像機經常會連線到雲服務儲存視訊。攻擊者可以輕易通過入侵此類服務獲取客戶資訊。其它與物聯網有關的裝置，比如心率監測儀和帶有GPS的定位器均將加速這一趨勢。

Verizon公司的Novak說：“如今，這一領域正變得更加私人化，因為我們身邊的許多東西都是連在一起的。這種暴露將變得更加嚴重，而且我認為，我們會看到消費者更加在意資料洩露事件。”
本文轉自d1net（轉載）