2017数据泄露成本研究报告:全球概览

017数据泄露成本研究报告:全球概览"

前情提要

IBM Security和Ponemon Institute于2017年6月份发布了《2017数据泄露成本研究报告:全球概览》。他们针对419家公司进行了调研,分析结果得出数据泄露的平均总成本从400万美元下降到362万美元。每一份丢失或被盗记录(包含敏感/机密信息)的平均费用也从2016年的158美元大幅下降到今年的141美元。然而,尽管总体成本有所下降,但今年参与研究的公司的数据泄漏行为变得更严重了,在这次调查中,数据泄露的平均规模增加了1.8%。

今年,美元的汇率比较强劲,这对对全球成本分析产生了重大影响,并导致成本下降。如上所述,每条数据泄露的成本下降了17美元,这其中大约8美元(48%)可以归因于货币汇率波动。为了与往年保持一致,我们决定继续使用相同的会计方法,而不去调整成本。值得注意的是,这一问题只影响全球分析,因为所有国家级别的分析结果都以当地货币显示。

研究范围

今年的研究范围包括以下11个国家和两个区域样本:

  • 美国
  • 英国
  • 德国
  • 澳大利亚
  • 巴西
  • 日本
  • 意大利
  • 印度
  • 加拿大
  • 南非
  • 中东(阿拉伯联合酋长国和沙特阿拉伯)
  • 东盟区域(包括新加坡、印度尼西亚、菲律宾和马来西亚)

全球研究一瞥

  • 419家公司,13个国家和地区的样本
  • 数据泄露的平均总成本为362万美元
  • 今年的平均总成本比上一年下降了10%
  • 每条丢失或被盗记录的平均成本是141美元
  • 每条丢失或被盗记录的平均成本比上一年下降4%
  • 未来两年内,组织可能发生重大数据泄露的平均概率为7%
  • 数据泄漏的成本可能会增加1%

所有参与调研的祖师都经历了数据泄露,泄漏规模不等,泄漏记录的条数介于2600~略少于100,000条之间。本报告中所定义的“一条泄漏记录”,标识了在数据泄露中一个自然人的信息丢失或被盗,另外,本报告中“每条泄漏记录的成本”和“人均成本”这两个术语具有同等意义。

除了介绍数据泄露成本的各个组成部分的趋势外,这次研究还确定了未来24个月内一个或多个数据泄露的可能性。两个因素被用来确定未来数据泄露的概率:当前数据泄露的规模和组织的位置。根据今年的研究,我们估计参与调研的组织在未来24个月内将出现重大数据泄露的平均概率为22.7%,去年这一数值是25.6%。

南非、印度和巴西的组织是最有可能在未来24个月内经历重大数据泄露事件(10000条或更多的泄漏记录)。在未来24个月内,南非发生数据泄露的概率最高(41%),而加拿大发生数据泄露概率最低(14.5%)。

重大数据泄露是指至少包含1000条丢失或被盗的记录,这些记录包含有关消费者或客户的个人信息。本报告不涉及高价值信息资产(如知识产权、商业秘密和商业机密信息等)的数据泄露。

为什么数据泄露的成本在各国之间有波动?

为什么位于中东、美国和日本的组织今年数据泄露的成本显著增加?相比之下,位于德国、法国、澳大利亚和英国的组织则成功降低了数据泄漏的成本?后者采取了哪些应对和补救措施?了解如何计算数据泄露的成本将解释各国在这项研究中出现差异的原因。

为了完成《2017数据泄露成本研究报告:全球概览》,我们在11个国家和两个区域招募了419个组织参加今年的研究。调研对象超过了1900个人,他们对这419个组织中的数据泄露事件的情况有所了解。我们从这些组织中收集的第一组数据包括:

(1)在数据泄漏事件中丢失了多少客户记录(即数据泄漏的规模大小);

(2)他们的客户基数在数据泄露后损失了多少百分比(即客户流失率);

这组信息解释了过去一年数据泄漏成本上升或下降的原因。

调查过程中,我们询问了组织如何发现和应对数据泄漏事件的问题,包括组织为发现和迅速响应数据泄露做了那些活动(比如取证和调查);发现数据泄漏事件后采取了那些活动(比如通知受害者和司法诉讼的费用)。可能影响数据泄漏成本的其他问题有:数据泄露的根本原因(如恶意的或非法的攻击、内部疏忽或系统故障)以及发现和控制事件的时间。

重要需要注意的是,本研究中,只有与参与调研的419个组织的数据泄漏事件直接相关的、并属于上面讨论的那些问题范围内的因素才能用来计算数据泄漏成本。例如,新的规章制度(如一般的数据保护法规(GDPR))、勒索事件和网络攻击,这些因素可能会鼓励组织增加他们在安全管理和技术方面的资源投入,但并不直接影响数据的成本,在本报告中并不计算在内。

影响数据泄漏成本计算的因素

这部分将讲述哪些信息用于计算数据泄漏的成本,以及可能增加或减少这些成本的因素。我们相信,这些信息将有助于组织更好地决定如何分配资源,以尽量减少不可避免的数据泄露所带来的财产损失。

  • 因数据泄露导致的客户意外的、无计划的流失(客户流失率)

在数据泄漏之前积极的采取保持客户信任和忠诚度的行动,将有助于减少业务/客户丢失的数量。在今年的研究中,由于数据泄露,全球有更多的组织失去了客户。然而,调研结果显示,如果组织里有一名高级主管(如首席隐私官或首席信息安全官),能够主动采取行动,提高客户对组织如何保护其个人信息的信任,将减少客户流失和数据泄漏成本。在数据泄漏事件发生后,为受害者提供身份保护同样能够减少客户流失,效果更显著。。

  • 数据泄漏的规模大小或丢失/被盗的记录数量

更有意义的因素是,数据泄漏的规模大小与成本成正比,丢失的记录越多,数据泄露的成本就越高。因此,对数据采取分类分级和相应的保护措施,这对于易受破坏的敏感和机密信息的可见性以及减少此类信息的泄漏数量都是至关重要的。

  • 识别和控制数据泄露的时间

识别和控制数据泄露的速度越快,成本越低。在今年的研究中,组织能够识别数据泄漏的天数从2016年的平均201天减少到了191天;控制数据泄露的平均天数从2016年的70天减少到66天。我们将这些改进归因于企业对安全技术的投入和启用,如安全分析、SIEM、企业级加密和威胁情报共享平台。

相反,安全复杂性和破坏性技术的部署会影响检测和控制数据泄露的时间。尽管IT安全体系结构中的一些复杂性原本是为了处理组织面临的许多威胁,但是太多的复杂性会影响对数据泄露的响应能力。破坏性技术、基于云的应用程序和数据的访问以及移动设备(包括BYOD和移动应用程序)的使用增加了处理IT安全风险和数据泄露的复杂性。正如研究所显示的那样,云迁移和移动平台的出现,增加了数据泄漏的成本。

  • 数据泄露事件的检测和升级

检测和升级成本包括取证和调查活动、评估和审计服务、公关危机团队管理以及与行政管理和董事会的沟通。企业应当对治理、风险管理和合规性(GRC)项目进行投入,建立一个满足治理需求的内部框架,评估整个企业的风险,跟踪治理要求的遵守情况,这样做可以提高组织的检测和升级数据泄露的能力。

  • 数据泄露事后处理的成本,包括通知受害者的费用

这些费用包括桌面帮助活动、入站通知、特别调查活动、补救、法律支出、产品折扣、身份保护服务和监管干预。(*美国的通知费用最高)

购买网络和数据泄漏保险有助于控制发生数据泄漏事件的财产损失。正如今年的研究所显示的那样,保险保护和业务连续性管理降低了事件发现后数据泄露的成本。相反,急于通知受害者而不了解数据泄漏的范围、合规失败和顾问的参与都会增加数据泄露事后处理的成本。诉讼费用也增加了数据泄露成本。

  • 恶意的内部人员或犯罪分子的攻击比系统故障和疏忽导致的成本更高(人为因素)

本研究中几乎有一半(47%)的组织将数据泄露的根源确定为恶意的或犯罪攻击,其平均成本约为156美元。相比之下,系统故障和人为失误或疏忽的平均成本分别约为128美元和126美元。在这方面企业能够采取的可能降低成本的措施是参与威胁共享、使用安全分析和招募和保留专业知识渊博的人员。

总之,澳大利亚、德国、法国和英国的组织能够提高其留住客户的能力,从而降低了数据泄露的成本。澳大利亚、英国和德国的组织也能够限制客户记录丢失或被盗的数量,从而降低成本。然而,在中东和美国的组织在客户流失率方面比例更高,因此数据泄漏的成本也更高;巴西、印度、中东和南非的组织在数据泄露事件中涉及更多丢失或被盗记录,这增加了数据泄漏的成本。

对组织而言,最显著的发现和影响

  • 数据泄露的全球成本降低。数据泄露的平均成本下降了10%,人均成本下降了9%。然而,数据泄露的平均规模(丢失或被盗记录的数量)增加了1.8%。在过去的一年里,异常的客户流失率没有变化,这其实已经大于预期的客户流失。去年,平均总成本增加了5.4%,数据泄露的平均规模增加了3.2%。异常流失和人均成本增加了2.9%。
  • 数据泄露成本在美国和加拿大是最高的,巴西和印度的最低。美国的人均数据泄露成本为225美元,加拿大为190美元。成本最低的是巴西(79美元)和印度(64美元)。美国的组织的平均总成本为735万美元,中东地区的组织的平均总成本为494万美元。组织的平均总成本最低的是巴西(152万美元)和印度(168万美元)。
  • 各国之间的数据泄露成本的变化趋势有所不同。将今年的数据泄漏成本与之前四年的平均值进行比较,发现五个国家的组织成本增加,七个国家的组织成本减少。德国的平均总成本下降最大(-91),其次是法国(- 68),澳大利亚(- 48)和英国(- 45)。平均总成本增长最显著的国家/地区是中东(+83)、美国(+ 66)和日本(+ 52)。
  • 数据泄漏成本在行业之间有所不同,某些行业的数据泄露更为昂贵。每条丢失或被盗记录的数据泄露的平均全球成本为141美元。在卫生保健机构的平均成本为380美元;金融服务行业,平均成本为245美元。而在媒体行业(119美元)、研究结构(101美元)和公共部门(71美元),每条丢失或被盗记录的平均成本最低。
  • 某些国家的组织更容易发生数据泄露事件。在过去的四年里,我们已经研究了在未来24个月内一个或多个数据泄露事件发生的可能性。研究估计南非和印度发生的概率最高。德国和加拿大在未来24个月内发生数据泄露的概率最低。
  • 检测和升级数据泄漏的成本方面,加拿大最高,巴西最低。检测和升级数据泄露事件的成本包括取证和调查活动、评估和审计服务、公关危机团队管理以及与行政管理和董事会的沟通。加拿大在事件检测和升级方面的平均成本为146万美元。相比之下,巴西在这方面的平均成本为43万美元。
  • 通知成本方面,美国最高,印度最低。通知成本包括建立联系数据库、确定所有监管要求、外部专家的参与、邮政支出、电子邮件反馈和入站通信设置。美国组织的通知成本最高(69万美元),而印度最低(2万美元)。
  • 美国和中东地区的组织在数据泄漏事件发生后的响应成本是最高的。数据泄露事件发生后的响应活动包括提供桌面帮助活动、入站通信、特别调查活动、补救、法律支出、产品折扣、身份保护服务和监管干预措施。在美国和中东地区,这类成本分别为156万美元和143万美元。
  • 中东地区和加拿大的人均直接成本最高,美国的人均间接成本最高。中东地区和加拿大人均直接成本最高(81美元)。人均直接成本是指完成某一特定活动的直接费用支出,如聘请法医专家、雇用法律公司或为受害者提供身份保护服务。美国人均间接成本最高(146美元)。间接成本包括用于通知受害者和调查事件所花费的雇员的时间、精力和其他组织资源,以及商誉损失和客户流失。
  • 丢失的记录越多,数据泄露的成本就越高。成本分析揭示了数据泄露的平均总成本与事件的规模大小之间的关系。在今年的研究中,丢失记录少于10,000的数据泄漏事件的平均总成本为190万美元,丢失记录超过50,000的数据泄漏事件的平均总成本为630万美元。去年,丢失记录少于10,000的数据泄漏事件的平均总成本为210万美元,丢失记录超过50,000的数据泄漏事件的平均总成本为670万美元。。
  • 识别和控制数据泄露的速度越快,成本越低。最近三年以来,我们研究并报告了组织识别和控制数据泄露事件的时间和财产损失之间的关系。综合考虑419家公司的情况,平均识别时间(MTTI)为191天,范围介于24~546天之间。平均控制时间(MTTC)为66天,范围介于10~164天之间。对恶意攻击和犯罪攻击的识别和控制时间最长(分别为214天和77天),而人为错误造成的数据泄露的识别和控制时间,相对而言要低得多(分别为168天和54天)。
  • 黑客和内部人员犯罪造成的数据泄漏最多。在今年的研究中,有47%的数据泄漏事件是由恶意或犯罪攻击引起的。解决这种攻击的每条记录的平均成本是156美元。相比之下,系统故障导致的数据泄漏的每条记录的成本为128美元,人为错误或疏忽导致的数据泄漏的每条记录的成本为126美元。美国和加拿大的公司在解决恶意或犯罪攻击方面的成本最高(每条记录成本分别为244美元和201美元),印度的则较低(每记录约78美元)。
  • 数据泄漏的原因在各国之间有所不同。针对中东地区和美国组织的恶意或犯罪攻击较为显著,由于黑客和犯罪内部人士造成的数据泄漏在中东地区组织中的占比为59%,在美国组织中的占比为52%。而在意大利和南非,只有40%的数据泄露是由于恶意攻击造成的。意大利和东盟地区的组织,人为错误导致的数据泄漏占比最高,分别为36%和35%。德国和印度的组织则最有可能遭受来自与系统故障或业务流程失败引起的数据泄露(分别为34%和33%)。
  • 事件响应小组和加密的广泛使用,在降低数据泄漏成本方面效果显著。在今年的研究中,一个事故响应(IR)小组在降低数据泄漏成本方面的效果高达19美元/每条记录。因此,具有强大IR能力的公司预计调整成本为122美元/每条记录(141 – 19美元)。同样,加密的广泛使用使人均成本降低了16美元,每条记录平均成本的调整后为125美元(141 – 16美元)。
  • 有第三方参与和广泛云迁移的情况下,数据泄漏的成本会增加。如果第三方参与了数据泄露,数据泄露的成本会增加17美元/每条记录,调整后的平均成本为158美元/每条记录(141美元+ 17美元)。进行重大云迁移的组织认为,发生数据泄漏的人均成本增加了14美元,调整后的平均成本为155美元/每条记录(141美元+ 14美元)。
  • 今年的成本分析包括了四个新因素。影响数据泄漏成本的新增因素包括:(1)合规性故障,(2)移动平台的广泛应用,(3)CPO(首席隐私官)的任命(4)安全分析的使用。任命一个CPO能够减少3美元/每条记录的成本。安全分析的部署可疑节省7美元/每条记录。然而,移动平台的广泛使用和遵从性故障使使得每条泄漏记录的成本分别增加了9美元和11美元。
  • 无法留住客户会导致严重的财产损失。采取积极的措施留住顾客是值得的。客户基数损失不到1%的组织平均总成本为260万美元,如果客户流失率达到4%或者更多,平均成本将大于510万美元。日本、意大利和法国的组织的客户流失率较高。南非、巴西和东盟地区的组织则能够更好地留住客户。客户流失率最高的行业是金融、医疗和服务业。美国的组织为失去顾客付出了最高的代价(413万美元)。

常见问题

  • 这些数据是如何收集到的?

研究人员花费了10个月的时间,针对419家公司进行调研,进行了1900多个单独的访谈,收集了深入的定性数据。从2016年2月开始选择参与调研的组织,于2017年3月完成全部的访谈。我们与参与调研的419个组织中的每一个组织的IT、合规和信息安全从业人员交谈,他们更加了解组织的数据泄露以及与解决泄漏事件所花费的相关成本。出于隐私目的,我们没有收集特定组织的信息。

  • 数据泄漏成本是如何计算的?

为了计算数据泄露的平均成本,我们收集了调研的组织所花费的直接和间接费用。直接费用包括聘请取证专家、外包热线支持并提供免费的信用监测订阅,以及未来的产品和服务的折扣。间接成本包括内部调查和沟通,以及由于营业额或客户获取率下降而导致的客户流失而引发的财务损失。

全球一瞥

今年的年度研究在11个国家和两个地区进行:美国、德国、加拿大、法国、英国、意大利、日本、澳大利亚、中东、巴西、印度、南非和东盟(东南亚国家联盟),共有419个组织参与。

图1显示了以国家或地区研究为单位,以美元表示的四年内数据泄露的平均人均成本。如图所示,不同国家和地区之间有显著差异。所有国家的综合人均成本为141美元,而去年的综合人均成本为158美元(不包括东盟样本)。美国、加拿大和德国的人均成本最高,分别为225美元、190美元和160美元。印度、巴西和澳大利亚的人均成本则较低,分别为64美元、79美元和106美元。

017数据泄露成本研究报告:全球概览"

图1:数据泄漏的人均成本(2017年与4年平均值的对比)

主要调查结果

在本节中,我们提供了这项研究的详细结果。主要内容按以下顺序呈现:

  • 数据泄漏成本的全球和行业差异
  • 数据泄露的根本原因
  • 影响数据泄露成本的因素
  • 数据泄漏记录和客户流失的频率趋势
  • 数据泄露的成本构成要素的趋势
  • 组织发生数据泄露的可能性
  • 识别和控制数据泄露的平均时间

下表列出了全球研究中涉及的国家、图例、样本、占比和货币。报告还显示了每个国家参与年度调研的次数,各国的次数不等,如东盟(1年),美国(12年)。

表1:全球研究一瞥

017数据泄露成本研究报告:全球概览"

数据泄漏成本的全球和行业差异

组织数据泄露的平均成本在各个国家之间有所不同。图2显示了今年数据泄漏的平均总成本与四年平均值进行比较。平均总成本下降最大的是德国(- 91)、法国(- 68)、澳大利亚(- 48)和英国(- 45)。相比之下,平均总成本增长最大的是中东(+83)、美国(+ 66)和日本(+ 52)。

在2017研究中,美国的组织发生数据泄漏的总平均成本最高,为735万美元;中东为494万美元。相比之下,巴西和印度的组织的平均总成本最低,分别为152万美元和168万美元。

017数据泄露成本研究报告:全球概览"

图2:数据泄漏的平均总成本(2017年与四年平均值的对比)

不同国家或地区的组织,数据泄漏的平均记录数量有所不同。图3显示了在研究中所调研的国家和地区的组织发生数据泄露的平均规模。平均而言,印度、中东和美国组织的数据泄漏的平均记录数量最多。澳大利亚、南非和意大利组织的数据泄漏的平均记录数量最少。在本报告后面,我们将显示丢失或被盗记录的数量与数据泄露的成本之间的关系。

017数据泄露成本研究报告:全球概览"

图3:2017年数据泄漏的平均记录数量(按国家或地区划分)

某些行业有较高的数据泄露成本。图4显示了将按行业分类的综合样本的人均成本与四年平均值进行比较的研究结果。受到严格管制的行业,如医疗卫生、教育和金融行业的组织,人均数据泄露成本大大高于总体平均值(141美元)。公共部门、研究机构、媒体和运输组织的人均成本在总体平均值之下。

与四年平均值相比,人均成本显著增加是服务(+45美元)、金融(+23美元)、技术(+21美元)和医疗(+11美元)。显著下降的是教育(-60美元)、生命科学(-19美元)和通信(-18美元)。

017数据泄露成本研究报告:全球概览"

图4:人均成本(按行业分类)

数据泄露的根本原因

恶意或犯罪攻击造成了最多的数据泄露。下图5显示了所有组织的数据泄露根本原因的综合分析结果,其中47%的原因是由于恶意或犯罪攻击;25%是由于雇员或承包商的疏忽(人为因素);28%涉及系统故障,包括IT和业务流程故障。

017数据泄露成本研究报告:全球概览"

图5:发生数据泄露的根本原因的综合分布图

其中,恶意攻击的成本是最昂贵的。图6显示了三个根本原因产生的数据泄漏的人均成本。2017,由于恶意或犯罪攻击造成的数据泄漏人均成本为156美元,明显高于系统故障和人为因素造成的数据泄漏人均成本(分别为128美元和126美元)。

017数据泄露成本研究报告:全球概览"

图6:三个根本原因产生的数据泄漏的人均成本

影响数据泄露成本的因素

某些因素会降低或增加数据泄露的成本。图7显示了增加或减少数据泄露的人均成本的20个因素。如图所示,事件响应团队、广泛使用的加密、员工培训、业务持续管理、参与威胁情报共享和使用安全分析能够降低每条泄漏记录的人均成本(7美元或更多)。

由于第三方参与、大量的云迁移、合规的遵从性故障、移动平台的广泛使用、设备丢失或被盗、仓促的通知而导致的数据泄露增加了数据泄露的人均成本(-5美元或更多)。

举例说明,一个功能齐全的事故响应小组将数据泄露的成本从141美元(平均数)降低到了122美元,减少了19美元。与此相反,第三方参与的数据泄露的成本会增加了17美元,从141美元增加到158美元。

017数据泄露成本研究报告:全球概览"

图7:影响数据泄漏成本的20个因素

数据泄漏记录和客户流失的频率趋势

数据泄漏的记录越多,数据泄露的成本就越高。图8显示了数据泄漏的平均总成本和419个组织的数据泄漏规模大小之间的关系。在今年的研究中,成本超过190万美元的事故,泄漏的记录不到10,000条;而成本超过630万美元的事故,泄漏的记录超过了50,000条。

017数据泄露成本研究报告:全球概览"

图8:数据泄露的规模大小与平均总成本的关系

客户流失率越高,数据泄露的平均总成本越高。图9显示了419个组织的四个异常流失率(低于1%到高于4%)对应的数据泄露的平均总成本。我们估计,客户流失率低于1%的公司,数据泄漏的平均总成本为260万美元;当流失率超过4%时,公司的平均成本将超过510万美元。

017数据泄露成本研究报告:全球概览"

图9:客户异常流失率与数据泄漏的平均总成本的关系

数据泄露的成本构成要素的趋势

以数据泄漏检测和升级成本为例,进行说明。加拿大的组织数据泄漏检测和升级的成本最高,在巴西最低。检测和升级成本包括取证和调查活动、评估和审计服务、公关危机团队管理以及与行政管理和董事会的沟通。如图10所示,加拿大的组织的平均检测和升级成本为146万美,相比之下,巴西的平均成本只有43万美元。

017数据泄露成本研究报告:全球概览"

图10:检测和升级的成本

其他的构成要素还包括通知、公布、数据泄漏发生后的响应和处理成本、直接费用和间接费用等。上文已有叙述,这里不再详细说明。

组织发生另外一起数据泄露事件的可能性

研究表明,组织发生的数据泄露越大,在接下来的24个月内发生另外一起数据泄漏事件的可能性就越小。依赖我们的研究经验,可以根据两个因素来预测数据泄露的概率:有多少记录丢失或被盗,以及组织的位置。

图11显示了数据泄露事件(涉及泄漏的记录数量最低10,000、最高100,000条)在未来24个月的时间内发生另外一起数据泄漏事件的概率分布,随着泄漏记录数量的增多,数据泄露的可能性减小。

017数据泄露成本研究报告:全球概览"

图11:数据泄漏的记录数量与再次发生数据泄漏事件的概率分布关系图

图12展示了不同国家或地区在未来24个月的时间内发生数据泄露的概率。该数字将今年的结果与四年平均值相比较。其中南非、印度和巴西的数据泄露概率最高,分别为40.6%、40.1%和39.3%;加拿大和德国的数据泄露概率最低,分别为14.5%和15.3%。值得注意的是,13个国家中有九个国家的再次发生数据泄露的概率有所增加,其中印度的增幅最大,为8.7%,其次是法国的4.2%。相比之下,加拿大的跌幅最大为2.4%。

017数据泄露成本研究报告:全球概览"

图12:不同国家和地区再次发生数据泄露的概率(2017年与四年平均值对比)

识别和控制数据泄露的时间

识别和控制数据泄露的速度越快,成本越低。MTTI和MTTC指标是用来确定一个组织的事件响应和控制过程的有效性。MTTI能够帮助企业了解它检测一个事件所需的时间; MTTC则度量了企业在解决事故和最终恢复服务的时间。

如图13所示,与去年相比,今年组织的MTTI和MTTC都有所下降。

017数据泄露成本研究报告:全球概览"

图13:数据泄漏发现和控制的时间(2017年与2016年相比)

数据泄漏事件产生的原因不同,识别和控制的事件也有所不同,其中恶意或犯罪攻击需要更长的时间来识别和检测。

017数据泄露成本研究报告:全球概览"

图14:不同原因导致的数据泄漏事件的识别和控制时间

企业如果不能快速地识别数据泄露事件,会增加数据泄漏地成本。图15显示了419家公司的总数据泄漏成本与检测时间之间的关系。以MTTI=100天为分叉口,如果MTTI低于100天,数据泄漏地平均总成本估计为280万美元;如果MTTI超过100天,数据泄漏地平均总成本估计为383万美元。这两个样本之间的显著的成本差异表明快速识别数据泄露事件的重要意义。企业拥有能够提高侦察或取证能力的工具可以显著地降低数据泄露成本。

017数据泄露成本研究报告:全球概览"

图15:数据泄漏的平均识别时间与平均总成本的关系

控制数据泄露的时间也能够影响数据泄漏的成本。图16显示了419家公司的总数据违约成本与控制时间之间的关系。以MTTC=30天为分叉口。如果MTTC低于30天,数据泄漏地平均总成本估计为283万美元;如果MTTC高于30天,数据泄漏地平均总成本估计为377万美元。这两个样本之间的显著的成本差异表明如果企业不能迅速遏制数据泄露,将导致更高的成本。具有增强补救能力的工具和过程(如功能完整的事件响应过程),d可以显著地降低数据泄漏的成本。

017数据泄露成本研究报告:全球概览"

图16:数据泄漏的平均控制时间与平均总成本的关系

我们如何计算数据泄露的成本

为了计算数据泄露的成本,我们使用了一种叫做ABC成本法(activity-based costing,基于活动的成本管理)的成本计算方法。ABC成本法根据确定的活动和实际使用情况分配成本,参与此基准研究的公司被要求估算他们用于解决数据泄露的所有活动的成本。

发现并立即响应数据泄露事件的典型活动包括以下内容:

  • 进行调查和取证以确定数据泄露的根本原因
  • 确定数据泄露的可能受害者
  • 组织事故响应团队
  • 对外进行沟通和公共关系联系
  • 为数据泄露受害者和监管机构准备通知文件和其他必要的信息披露
  • 实施呼叫帮助中心流程和专业培训

发生数据泄漏事件后后进行的典型活动包括:

  • 审计和咨询服务
  • 法律咨询服务
  • 法律合规服务
  • 向受害者提供免费或打折服务
  • 提供身份保护服务
  • 计算客户流失因失去客户造成的业务损失
  • 顾客获取和忠诚度维护的成本

一旦公司估计了这些活动的成本范围,我们将成本定义三类:直接成本、间接成本和机会成本:

  • 直接成本——完成某项活动的直接费用支出。
  • 间接成本——分配给用于处理数据泄漏事件的雇员时间、精力和其他组织资源,而非直接的现金支出。
  • 机会成本——因数据泄漏产生的负面声誉影响、失去的商业机会所造成的成本(向媒体公开)。

我们的研究还着眼于与组织在数据泄露的检测、响应、遏制和补救等核心过程中进行的相关活动的成本支出。其中最主要的四个成本,上文中也有提及,它们分别是:

  • 检测或发现:使公司能够对风险(隐患)或正在发生的事故进行合理检测的活动。
  • 升级:在规定时间内向适当人员报告数据泄漏相关信息的必要活动。
  • 通知:允许公司以信函、热线电话、电子邮件或一般通知等方式通知数据泄漏主体其个人信息丢失或被盗的活动。
  • 数据泄漏后的处理:与数据泄漏行为的受害者进行沟通,帮助他们减少潜在的危害并提供其他援助,如用户信用报告监测或重建一个新的帐户或信用卡。

局限性

我们的研究使用了一个机密的和专有的计算方法,已经在早期的研究中得以成功的实践和应用。然而,这种研究存在着固有的局限性,在得出结论之前需要仔细考虑。

  • 非统计结果:我们的研究借鉴了一个具有代表性的非统计样本,选定的全球样本在过去12个月内都经历了涉及客户或消费者记录丢失或被盗的数据泄漏事件。不过由于我们的抽样方法不科学,所以不能对这些数据应用科学的统计分析,如计算误差范围和置信区间等。
  • 没有反应偏差:目前的调查结果是基于一个小样本的基准。在这项全球研究中,有419家公司完成了基准流程。而且我们对客户没有进行反应偏差的测试,所以可能没有参与的公司在基本数据违约成本方面有很大的不同。
  • 抽样框架偏差:由于我们的抽样框架是具有主观判断性,抽样结果的质量受框架所代表的公司、人员、程度的影响。我们认为,当前的抽样框架偏向于拥有更成熟的隐私保护或信息安全程序的公司。
  • 公司特定信息:基准信息是敏感和机密的,因此,目前的工具没有捕获公司特定的身份识别信息。
  • 未被测量的因素:为了保持交谈过程的简洁和专注,我们忽略了一些其他同样重要的变量,如领导趋势和组织特征。对这些变量的遗漏也导致了基准测试结果的不确定性。
  • 推断成本的结果:基准研究的质量依赖于调研公司的参与员工提供的机密信息的完整性。虽然某些检查和平衡因素可以纳入到基准过程中,但答复者总是有可能没有提供准确或真实的答复。此外,使用推测成本而不是实际成本数据可能会无意中引入偏差和不准确。

货币换算损益:今年,美元的汇率对全球成本分析产生了重大影响,国家和地区当地的美元的汇率转换会对人均与平均总成本的估计产生影响。但为了与往年保持一致,我们决定继续采用同样的会计方法,而不是调整成本。

 

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/reports/104842.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code