2018年7月份,由IBM发起,Ponemon独立进行调查得出的2018年度数据泄露成本分析报告出炉了。这份报告包括全球版、以及多个国家版本。今年的调研涉及全球477个企业和组织。调查结果显示,数据泄露的成本和数量都在持续攀升。
今年的关键调研分析数据如下:
其中,数据泄露的平均成本从2017年的362万美元上升到386万美元,平均每条失窃记录的成本从去年的141美元上升为148美元,而未来两年发生重大数据泄露的可能性是也略有上升。此外,事件应急响应团队能够挽回的成本约为平均每条记录14美元。
报告还表示,过去一年对于数据泄露事件的MTTI(平均识别/发现时间)是197天,平均遏制时间是69天。与此同时,对于那些能够在30天以内遏制住泄露事件的单位而言,比超过30天的单位能够减少100万美元的成本。也就是说,“时间就是金钱”。
计算数据泄露的成本是一个很有挑战性的工作,因此,计算模型和方法十分重要。同时,我们必须清楚认识到任何模型都一定存在局限性,因此,对于调查结果数据必须辨证的去看待。
首先是范围的界定。Ponemon定义数据泄露为:个人姓名和医疗记录和/或财务记录或借记卡/信用卡处在潜在风险的事件 - 无论是电子的或纸质的。但不包括知识产权、商业秘密和商业机密信息等高价值信息资产的数据泄露。
其次是计算模型。Ponemon从4个维度去考量成本:检测和响应的成本(包括调查取证、评估审计、危机管理、内部沟通等活动所耗费的成本)、通知成本(包括通过各种方式告知受害人、与司法及主管部门等外部沟通活动所耗费的成本)、善后成本、业务丧失成本(包括业务中断、收入减少、客户流式、商誉减值等)。
根据上述4个维度,Ponemon设计了一套度量指标,然后通过调查问卷访谈获得每个指标的数值(都是由受访者主观填写的),再对这些指标进行计算,计算的时候又分为三种成本数值,分别是直接成本、间接成本和机会成本。然后再计算总的成本,并采用通过蒙特卡洛模拟方法对重大数据泄露事件进行进一步分析。
汇报报告本身,揭示了很多发现,报告长达47页。这里本人摘取一些个人感兴趣的内容如下:
1)越快识别和遏制数据泄露,越能降低数据泄露造成的成本;
2)如果把数据泄露的原因分为三类:恶意和犯罪攻/击、系统故障、人为错误,那么恶意和犯罪攻/击是主要因素,占比高达48%,造成的成本也更高;
3)应急响应团队(IR)作用还是有效的,能够在一定程度上帮助降低数据泄露的成本;此外,广泛的使用加密手段也能显著降低数据泄露的成本(13美元每记录)。其它的正向技术手段还包括:BCM、员工培训、参与威胁共享、使用安全分析技术、使用DLP、数据分级分类、保险。有趣的是,任命CPO(首席隐私官)仅能带来1.8美元每记录的成本消减,任命CISO的成本消减也不过6.5美元每记录。
4)对由于第三方引发的数据泄露,以及向云中迁移的用户的数据泄露,其成本都高于平均值,即带来了更高的成本;
部分其它调研结果:
