IBM研究表明大型數據泄露事件可以造成最高3.5億美元損失

根據 IBM Security 和 Ponemon 對近 500 家經歷過數據泄露的公司進行了採訪，他們收集了與數據泄露有關的數百個成本因素的信息，包括技術調查和恢復、通知、法律和監管要求、業務損失成本和聲譽損失。

總體而言，研究發現，數據泄露中的隱性成本——比如業務損失、聲譽的負面影響以及員工在恢復過程中花費的時間——難以統計，且成本高昂。例如，該研究發現，「大型違規」(超過 100 萬份記錄丟失) 的成本中，有三分之一來自於業務的損失。

2018 年由於全球數據泄露事件的平均成本為 386 萬美元，比 2017 年的報告高出 6.4%。這項研究首次計算了與「大型違規」相關的成本。「突破 100 萬份記錄的損失為 4000 萬美元，而突破 5000 萬份記錄則可能造成 3.5 億美元的損失。」

IBM X-Force 事件響應和情報服務全球負責人Wendi Whitmore 在一份聲明中說:「雖然公眾高度關注的數據泄露事件往往會造成數百萬人的損失，但這些數據的波動性很大，而且往往只關注一些容易量化的特定成本。」「事實上，有許多隱藏的費用是必須考慮的，比如聲譽損失、客戶損失和運營成本。知道成本在哪裡，以及如何降低成本，可以幫助企業更有策略地投資資源，並降低所面臨的巨大財務風險。

在過去 5 年裡，大型泄露事件 (超過 100 萬份) 的數量從 2013 年的 900 起增加到 2017 年的 1600 起。根據對過去兩年發生重大數據泄露事件的 11 家公司的分析，今年的報告使用統計模型來預測違規行為的成本，從 100 萬到 5000 萬不等。絕大多數的攻擊 (11 次中有 10 次) 來自惡意攻擊和刑事攻擊 (不是系統故障或人為錯誤)。

發現和包含大型入侵的平均時間是 365 天——幾乎比規模較小的入侵時間 (266 天) 長 100 天。

對於大型數據泄露行為，最大的損失是與業務損失相關的損失，據估計，5000 萬次違規行為的損失約為 1.18 億美元，幾乎是此類事件總成本的三分之一。IBM 分析了幾起引人注目的大型違規事件的公開報告成本，發現報告的數據往往低於研究中發現的平均成本。這可能是由於公開報告的成本通常限於直接成本，如從違約中恢復的技術和服務、法律和監管費用，以及對客戶的賠償。

在過去的 13 年裡，Ponemon Institute 研究了與數據泄露相關的成本，發現在研究過程中損失一直在穩步上升。

醫療保健機構的數據泄露造成的損失連續 8 年排名最高——每份丟失或被盜數據要損失 408 美元——幾乎是跨行業平均水平 (148 美元) 的 3 倍。

Ponemon Institute 董事長兼創始人 Larry Ponemon 在一份聲明中表示:「我們的研究目標是展示良好的數據保護實踐的價值，以及在解決數據泄露問題時，公司支付的金額會產生實質性影響的因素。」「儘管數據泄露的成本在研究的歷史中一直在穩步上升，但我們看到了通過使用更新技術節省成本的積極跡象。表明通過使用新技術以及對事故響應進行適當規劃，可以大幅降低這些成本。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！