資料洩露的隱性成本

隨著技術的發展，業務和風險模型也在發展。但很多企業沒有真正意識到與資料洩露有關的成本，或者在通過實施工具以防止未來攻擊時必須考慮哪些因素。

當涉及到防範資料洩露的安全問題時，企業往往只關注其系統受到攻擊的可能性或所在行業受攻擊的程度。為了更好地瞭解公司在加強防禦時會發生什麼，有必要將攻擊的規模和可能性放在一起考慮。

網路安全應該更考慮風險

瞭解風險並意識到資料洩露的真正成本有助於做出更明智的決策。一旦從可能性和規模的角度瞭解了資料洩露的風險，公司就應該考慮資料洩露或勒索軟體攻擊的成本和防範成本。而且，網路攻擊的真正代價往往在公司度過攻擊後才更明顯。

考慮到的隱形成本包括補救、收入損失、聲譽損害、國家安全及生命。然而並非所有這些因素都是可衡量並有形的風險。

資金成本

法律成本是資料洩露的最大支出之一，其次是補救成本、GDPR罰款、資料丟失、通知成本或其他巨集觀損失。對於勒索軟體攻擊，資料和專家傾向於關注勒索的成本(贖金)，而不是關注更大的收入損失。

網路攻擊可以凍結公司的關鍵系統，導致運轉停止，從而導致利潤下降或客戶流失。

持有機密客戶資料、醫療記錄、社會安全號碼、地址或其他受高度保護的資訊的公司極有可能因網路黑客攻擊而失去信任和業務。資料洩露可能會進入公眾視野，導致聲譽受損和失去信任的潛在客戶流失。

Experian的《2022年資料洩露行業預測》研究表明，威脅行為者將“更頻繁地攻擊電網、水壩或交通網路等物理基礎設施”。

美國科洛尼爾輸油管道公司(Colonial Pipeline)等供應鏈危機表明，迫切需要考慮與國家安全相關的網路風險。

生命成本

在隨時都可能發生網路攻擊的時代，網路安全的健壯與否也關係著生命安全。IBM和 Ponemon Institute分析了2020年5月至2021年3月全球500多家組織經歷的大約100000起資料洩露事件，發現在醫療保健領域的資料洩露事件平均成本高達923萬美元，比前一年增加了200萬美元。

如果醫院因資料洩露而受到影響並且系統受到影響，關鍵技術可能會暫時無法使用並導致死亡。如果發生這種情況，醫療保健公司不僅需要考慮情感負擔和聲譽損害，而且還會面臨訴訟和其他重大財務負擔的風險。

如果醫院產生資料洩露而且系統受損，關鍵技術可能會暫時無法使用，同時影響患者生命安全，那麼這家醫院不僅要承擔情感負擔和聲譽受損的影響，還可能面臨訴訟和其他重大財務負擔。

此外，2019年的一項衛生服務研究表明，一家遭遇網路入侵的醫院每發生1萬例心臟病發作，就會比醫院的典型心臟病發作死亡率增加大約36人。

網路安全也應該涉及業務的各個方面，以保護組織、員工和客戶資料免遭網路攻擊者侵害。

預防成本與潛在違約成本

與資料洩露或勒索軟體攻擊相關的潛在成本可能非常高。如下圖所示，損失因攻擊型別而異。

資料來源：ThreatConnect

基於網路攻擊的潛在成本，對網路安全工具的投資不僅值得，而且必不可少。

提高軟體安全降低資料洩露風險

根據去年Verizon資料洩露調查報告顯示，39%的資料洩露是由應用程式漏洞造成的。提高軟體安全性，降低漏洞數有利於防範資料洩露。因此企業在開發軟體的過程中有必要將安全放在開發週期全流程當中。 靜態程式碼安全檢測可以檢測所有的程式碼級別可執行路徑組合，直接面向發現語義語法問題等和一些執行時出現的漏洞，提供實時、可操作的反饋，幫助開發人員能夠在問題出現後立即修復。

隨著數字時代的來臨，資料已成為社會運轉和人們便捷生活重要的基礎保障。保護資料安全已成為網路安全的核心任務。

文章來源：