在過去的一年中,“巨型”數據洩露的平均成本急劇增加,受此類安全事件影響的企業參與者有望支付高達3.92億美元的費用。
如今,數據洩露已是司空見慣的事情,針對公司發起的網絡攻擊催生了新的網絡保險行業,針對未能保護數據的公司的監管和集體訴訟的出現,以及新法律(如歐盟的GDPR)可以用於對安全性不嚴格的數據控制器施加重罰。
但是,數據洩露事件不斷蔓延,其中一些導致在地下論壇上出售的消費者記錄被盜,並且身份被盜的風險增加。
為了解決數據洩露的後果,組織可能需要在修復系統和升級架構上花費資金,他們可能需要投資於新的網絡安全服務和網絡取證,並且還可能面臨訴訟或監管處罰-以及成本涉及客戶PII的情況繼續逐年增加。
週三,IBM發佈了年度數據洩露成本報告,其中說平均現在的數據洩露成本為386萬美元。儘管與2019年相比,這一平均水平下降了1.5%,但涉及超過5000萬條消費者記錄,但這些“超大型”違規行為的補救費用可能高達3.92億美元,高於2019年的3.88億美元。
如果組織充當40到5000萬條記錄的數據控制者,則平均成本為3.64億美元,並且組織可能因數據盜竊或洩漏而面臨的每條消費者記錄的成本高達175美元。
由Ponemon Institute進行的這項研究包括對3200多名安全專家的採訪,這些專家在過去一年經歷數據洩露的公司工作。
正如最近的Twitter黑客所強調的那樣,受損的員工和內部人員帳戶是當今數據洩露最昂貴的因素之一,使數據洩露的平均成本高達477萬美元。當涉及內部人員帳戶時,80%的事件導致了客戶記錄的暴露。
總體而言,被盜或受損的帳戶憑據以及雲配置錯誤導致了近40%的安全事件。
IBM表示,五分之一的違規行為中,受損的帳戶憑據已被用作攻擊者的進入途徑,僅在2019年就導致超過85億條記錄被暴露。雲配置錯誤佔網絡漏洞的近20%。
CNET: Apple的新安全程序提供了特殊的iPhone硬件,並附帶了限制
利用第三方漏洞(例如企業軟件中的零日漏洞或未修補的安全漏洞)也是造成數據洩露的代價高昂的因素。一家因此類漏洞而遭受數據洩露侵害的企業公司有望支付高達450萬美元的賠償。
由國家發起的攻擊,包括由高級持續威脅(APT)小組進行的攻擊,要普遍得多,僅佔企業公司報告的總體數據洩露的13%。但是,當涉及到這些威脅行為者時,它們造成的損害通常會導致較高的恢復成本,平均為443萬美元。
如果組織購買了網絡保險,則平均可減少損失200,000美元,其中大部分保險支出用於法律服務和諮詢費用。
TechRepublic: 影子IT的挑戰和機遇
在該報告中,IBM引用了AI,機器學習和自動機作為應對數據洩露的寶貴工具,這些數據洩露可以將事件響應時間減少多達27%。
IBM X-Force Threat Intelligence副總裁Wendi Whitmore表示:“當企業以更快的速度擴展其數字足跡,並且安全行業的人才短缺持續存在時,團隊不堪重負地保護更多設備,系統和數據。“談到企業減輕數據洩露影響的能力時,我們開始看到投資自動化技術的公司擁有明顯的優勢。”
