00160今年資料洩露事故每條記錄的成本達到154美元。

根據IBM和Ponemon研究所近日釋出的報告顯示,今年資料洩露事故每條記錄的成本達到154美元,這比2014年的145美元增長了12%。

此外,單起資料洩露事故的平均總成本上升了23%,達到379萬美元。

而在上個月Verizon的研究結果則顯示資料洩露每條記錄平均僅為58美分,這兩個調查結果簡直是天壤之別。

Verizon的計算結果是基於191個保險索賠,這也是其年度資料洩露事故調查報告的一部分。

但是Ponemon研究所主席兼創始人Larry Ponemon稱,保險理賠並不能顯示完整的情況。

有的公司沒有購買足夠的保險來涵蓋資料洩露事故的總成本,這些保險不包括間接費用或業務損失。

他舉例說,Target遭遇的資料洩露事故估計給該公司帶來超過10億美元的損失,但該公司僅投保1億美元。

在一般情況下,企業會購買足夠的保險來涵蓋其50%的固定資產價值,但只有12%數字資產的價值。

業務損失也是資料洩露總成本的很大一部分。客戶流失、聲譽和商譽受損等,這總共會給每家公司帶來157萬美元的損失,上年這個數字還是133萬美元。

“我們花了很多時間來基於真正的成本構建分析模型,”他補充說,Ponemon十年來一直在收集這種資料。今年,Ponemon對11個國家的350個公司的資料進行了分析,這些公司都遭受了資料洩露事故。

最後,他表示,Verizon的迴歸分析是基於非常少量的資料點,這些並不一定具有代表性。

“但Verizon資料洩露事故調查報告的主體部分非常有趣,其中表明該公司專注於未來,他們應該繼續其研究。”

IBM安全部門副總裁Caleb Barlow稱,在企業遭遇資料洩露事故後,至少應該傳送郵件告知客戶他們遭受攻擊。“Verizon做了很不錯的工作,但我們不得不說,58美分並沒有涵蓋企業的總損失。”

對於資料洩露事故,醫療保健行業的成本最高

根據Ponemon的報告顯示,在不同行業和地域,資料洩露事故的成本都各有不同。

美國的每記錄成本最高,為217美元,其次是德國,為211美元,印度最低,為56美元。

從行業來看,最高成本是在醫療保健行業,平均每條記錄為363美元。

這是因為醫療記錄中的資訊比信用卡號有著更長的使用期。

“對於信用卡,信用卡公司可以取消原有的信用卡號碼,再啟用新的號碼,”他表示,“但醫療記錄可以用來建立永久訪問。”醫療記錄包含了豐富的個人資訊,包括社保號和保險號。

他說道:“這些號碼可以用來建立信用或者用於在10年或15年內竊取你的身份資訊。”這還不包括醫療欺詐的成本。

影響資料洩露成本的因素

Ponemon報告還分析了可能影響資料洩露事故成本的其他因素,與行業或地域因素不同(+本站微信networkworldweixin),很多這些因素正受到管理控制。

例如,提前部署事件響應小組可以將每記錄成本降低12.6美元,利用加密可降低12美元的成本,員工培訓則可降低8美元。如果業務連續性管理人員是事件響應小組的成員,成本可降低7.1美元。CISO領導層可降低5.6美元,董事會參與可降低5.5美元,網路保險可降低4.4美元。

“如果提前做好準備,讓董事會參與進來,並具有保險保障,也已經做了應該做的工作,他們面臨的資料洩露成本會更低,”Barlow稱,“我們有確鑿的證據證明,這樣做的企業的損失要低得多。你沒有幾天來作出響應,你甚至沒有幾小時的時間,你只有幾分鐘。”

增加成本的因素是聘請外部顧問,這會增加4.5美元的成本。如果出現裝置丟失或被盜,成本平均增加9美元。而最大的因素是,在資料洩露事故中,涉及第三方。這將給每條記錄的成本增加了16美元,從154美元到170美元。

成本隨時間增長

Ponemon發現,資料洩露事故發現的時間與資料洩露事故的總成本之間,還有緩解資料洩露事故的時間與成本之間,都存在正比的關係。

平均而言,企業要花256天發現由惡意攻擊者造成的資料洩露事故,並花82天來遏制它。

系統故障造成的資料洩露事故要花173天來發現,60天來遏制。而由人為錯誤造成的事故需要158天才會被發現,以及57天來緩解事故。

Via:51cto