数据泄露已成为一种全球性且不断增长的威胁,备受瞩目的事件经常成为头条新闻。不幸的是,除了制造新闻和损害声誉之外,违规行为还会带来经济成本。根据最新的 IBM 报告,数据泄露的平均总成本在 2022 年达到 435 万美元的历史新高,比上一年增长 2.6%,比 2020 年增长 12.7%。因此,我们必须承认并解决影响数据泄露。在本文中,我们将探讨导致数据泄露带来的高昂代价的因素,以及如何减轻这些损失。
数据泄露的成本是多少?
数据泄露的平均成本为 435 万美元。然而,没有两个漏洞是相同的,计算价格标签是一项复杂且多方面的任务。这个数字可能会因多种因素而有很大差异,例如受影响组织的规模和行业、被泄露的数据类型以及受害者的位置。
美国
美国连续12年保持数据泄露成本最高国家的地位。美国的平均数据泄露成本为944 万美元,比全球平均水平高出 509 万美元。在美国,数据泄露通常更昂贵的主要原因之一是市场规模。由于美国的人口比大多数其他国家多得多,因此它有更多的潜在受害者和更高的补救成本。
另一个因素是联邦和州层面复杂且不断发展的一套数据保护法规。遭受数据泄露的公司会因违规而被罚款和处罚,从而增加了泄露成本。最后,美国的诉讼文化意味着受影响的组织经常面临来自客户或股东的法律诉讼,从而导致高昂的法律费用和和解成本。
其他国家和地区
数据泄露是一个全球性问题,可能发生在任何地方。然而,它们在商业集中度更高、对数字基础设施的依赖程度更高的发达国家更为普遍。
另一方面,欠发达地区易受攻击的数字系统和网络较少。然而,随着它们继续发展和数字化,它们也将变得更容易受到网络攻击。
以下是除美国外因数据泄露而遭受高于平均水平损失的国家/地区:
中东 有几个高价值的网络犯罪目标,例如石油和天然气公司以及金融机构。该地区在平均数据泄露总成本方面保持第二高的地位,2021 年增长 7.6%,到2022 年达到 746 万美元。
加拿大 严重依赖技术部门并制定了严格的数据保护法,包括《个人信息保护和电子文件法》( PIPEDA )。加拿大排名第三,2022 年的平均违规成本为 564 万美元,比上年增长 4.4%。
英国 拥有许多大型跨国公司和蓬勃发展的中小企业部门。该国还有一些世界上最严格的数据保护法,包括《通用数据保护条例》( GDPR ) 和《 2018 年数据保护法》。2022年,英国超越德国、日本和法国,成为17个国家中的第四位。英国数据泄露的平均总成本上升了 8.1%,达到505 万美元。
德国 是一个工业强国,拥有强大的数据保护法,例如 GDPR 和联邦数据保护法 ( BDSG )。德国的平均数据泄露成本下降了 0.8% , 到 2022 年 降至 489 万美元。
日本 有许多横跨科技、汽车和金融服务行业的大公司,以及特别严格的数据保护法,包括个人信息保护 ( APPI ) 法。2022 年,日本的 平均数据泄露总成本下降了 2.5% ,降至 457 万美元。
按行业划分的数据泄露成本
由于各种因素,例如存储的数据类型以及组织 IT 基础设施的规模和复杂性,数据泄露的成本因行业而异。例如,处理大量敏感客户数据的行业更有可能遭遇后果严重的违规行为。
令人担忧的是,在 2022 年, 接受调查的关键基础设施组织中有 28% 遭受了勒索软件攻击,而17% 的组织因业务合作伙伴受损而遭到破坏。关键基础设施组织的数据泄露平均成本为482 万美元,比其他行业组织的平均成本高出100 万美元。
医疗保健行业再次受到重创。它以 1010 万美元的价格连续第 12 年成为平均数据泄露成本最高的行业。此外,医疗保健提供商的 违规成本同比激增 9.4% ,自 2020 年以来增长了42% 。
2022 年 IBM 数据泄露成本报告细目
IBM 的年度数据泄露报告是该领域的黄金标准,提供最准确、最全面的数据泄露数据。最近发布的 数据泄露成本报告 揭示了许多有趣的见解。
以下是报告中最值得注意的要点的细分:
检测和升级超过损失的业务成本
检测和升级是指确认违规、评估其影响并通知相关利益相关者。另一方面,业务损失成本代表客户信任度和声誉下降的财务影响,这不可避免地导致收入减少和难以获得新客户。
六年来,检测和升级首次超过损失的业务成本,成为最昂贵的类别。平均检测和升级成本从 2021 年的 124 万美元增加到2022 年的 144 万美元,增幅为16.1% 。另一方面,业务损失成本 从 2021 年的 159 万美元下降10.7%至 2022 年的142 万美元。
数据表明,消费者承认公司为保护他们的数据所做的努力,并认识到一些数据泄露是不可避免的,而不仅仅是公司的责任。此外,检测和解决安全威胁的成本不断增加反映了组织为增强其网络安全而采取的额外措施。
泄露的凭据仍然是主要的攻击媒介
凭据被盗或泄露仍然是数据泄露的最常见原因,也是2022 年19%泄露事件的 主要攻击媒介。 虽然不是最昂贵的,平均成本为 450 万美元,但凭据被盗或泄露造成的泄露也有平均持续时间最长,需要 327 天 才能检测和遏制,比平均时间长 16.6%。
网络钓鱼占数据泄露的 16% ,是第二常见的原因,但也是最昂贵的,平均造成 491 万美元的 成本。在网络钓鱼之后,最昂贵的违规类型是企业电子邮件受损,平均成本为 489 万美元。受损的商业电子邮件占 所有泄露事件的6% 。第三大损失是由于第三方软件中的漏洞造成的,平均损失为455 万美元。
勒索软件攻击增加
2022 年, 勒索软件攻击占违规事件的11% ,比 2021 年有所增加,当时勒索软件占 7.8%。然而,勒索软件攻击的平均成本略有下降,从 2021 年的 462 万美元下降到2022 年的 454 万美元。这一成本略高于数据泄露的总体平均总成本,为 435 万美元。
平均而言,选择不支付赎金的组织 比支付赎金的组织高出 13.1% 。具体而言,支付赎金的组织的违规代价为449 万美元。相比之下,拒绝支付的组织不得不花费 512 万美元,导致 两组之间相差 63万美元。
影响数据泄露成本的因素
数据泄露的成本受到一系列组织和技术因素的影响,这些因素在改善组织的网络安全状况方面发挥着至关重要的作用。让我们探讨可以轻松改进的方面。
最省钱的因素
以下是组织应实施的几种策略,以降低 2023 年数据泄露的成本。
人工智能与自动化
全面部署安全人工智能和自动化的组织平均违规成本为 315 万美元。这几乎是 620 万美元的一半,没有 AI 安全性的组织不得不掏腰包。
此外,与没有安全人工智能的公司相比,拥有安全人工智能的公司检测和遏制漏洞的时间平均减少了 74 天。换句话说,使用 AI 将违规生命周期从323 天减少到249 天。
在过去两年中,安全人工智能和自动化的采用显着增长,增幅接近 20%。具体而言,这些技术的利用率从 2020 年的 59% 增加到 2022 年的 70%,凸显了人工智能在保护组织免受数据泄露和其他安全威胁方面的重要性日益增加。
零信任
零信任 是一种日益流行的安全策略,旨在改善公司的安全状况。与依赖基于边界的方法的传统网络安全模型不同,在传统网络安全模型中,网络内部的一切都是可信的,零信任不会自动信任任何用户、设备或应用程序,无论它们是在网络内部还是外部。
相反,零信任要求在授予对任何资源或数据的访问权限之前验证每个用户和设备的身份和安全性。这种方法最大限度地降低了未经授权访问的风险,减少了攻击面,并更有效地检测和缓解威胁。
近年来,事实证明采用零信任安全措施是一种具有成本效益的策略。根据当前数据,采用零信任策略的组织平均节省近 100 万美元,违规成本为 415 万美元,而没有采用 零信任策略的组织则为510 万美元。
事件响应计划
强大的事件响应(IR) 框架对于最大限度地减少数据泄露的影响和保持业务连续性至关重要。 拥有专门的 IR 团队和定期测试计划的企业报告说,与没有 IR 团队或没有定期测试 IR 计划的组织相比,数据泄露给他们造成的损失平均少 266 万美元。成本节省代表 减少了 58% , 对于拥有强大 IR 框架的公司而言, 违规成本总计为 326 万美元,而 没有 IR 框架的公司则为592 万美元。
风险因素
到 2023 年,以下因素将成为造成财务损失的最主要因素:
响应时间慢
违规的经济后果与其未被发现的时间长短成正比。最新调查结果显示,发现漏洞之前的平均持续时间为 277 天。勒索软件攻击是最难识别的,与其他漏洞相比,检测时间平均要长49 天。相比之下,发现供应链漏洞需要大约26 天的时间。
您可以通过以下方式缩短数据泄露的响应时间:
- 制定稳健而清晰的事件响应计划。
- 定期进行培训和演练,以确保做好准备。
- 尽可能自动化检测和响应过程。
- 实施实时监控技术和警报。
- 在所有利益相关者之间建立明确的沟通协议。
远程工作
平均而言,涉及远程工作的违规行为导致的成本比 不考虑远程工作的违规行为高出 近100 万美元——分别为 499 万美元和 402 万美元。此外,与远程工作相关的数据泄露成本 比全球数据泄露平均成本高出约600,000 美元。
由于以下几个因素,远程工作会增加数据泄露成本:
- 个人设备的使用增加,这些设备通常不如公司发行的设备安全,并且缺乏足够的端点安全性。
- 网络安全性较弱,因为远程工作人员有时会使用公共 Wi-Fi 网络或其他不安全的连接来访问公司系统。
- 人为错误的风险更大,因为远程工作人员通常在不熟悉或分散注意力的环境中工作。
云计算
大约 45% 的数据泄露发生在云中,发现混合云的成本低于私有云或公共云。具体而言,混合云环境中泄露的平均成本为 380 万美元,低于 私有云和公共云泄露的平均成本分别为424 万美元 和 502 万美元。与仅使用公共或私有云模型的组织相比,使用混合云架构的组织不仅体验到更低的泄露成本,而且它们的泄露生命周期也更短。
声誉受损
客户的信任很容易失去并且很难重新获得,而数据泄露的最大成本之一就是它对公司声誉造成的损害。随着竞争对手获得相对优势,这种影响通常反映在其市场地位的变化上。
例如,数据泄露会削弱公司的品牌价值,导致公司要求的溢价下降、客户转换成本增加以及市场份额流失。2022 年数据泄露造成的业务损失平均成本为 140 万美元, 占总成本的 32% 。
数据泄露对上市公司价格的影响反映在其股价中。根据 研究,经历数据泄露的公司预计 在数据泄露发生后大约 110 个交易日后其股价将下跌3.5% 。违规对股价的长期影响更为显着,平均股价 在违规一年后下跌8.6% ,表现低于纳斯达克指数相同幅度。科技和金融企业对股价的影响似乎最为显着,而电子商务和社交媒体公司受到的影响往往较小。
值得记住的是,公司对数据泄露的响应方式会显着影响其声誉和随之而来的财务后果。例如,隐瞒问题比违规行为本身更能损害客户的信任。另一方面,主动向客户披露违规行为会积极影响他们对公司诚信和透明度承诺的看法。
法规、诉讼和罚款
数据泄露会产生涉及响应和遏制的直接成本,但也可能导致巨额法律罚款和和解。受到高度监管的行业尤其容易受到影响,因为它们经常面临监管机构的额外处罚,并且更有可能面临受影响个人的法律诉讼。
具有严格数据保护法规的行业的违规行为也往往会在违规后的几年内产生成本。这种“长尾”效应意味着平均 24% 的成本会在事件发生两年后累积。在监管不严的环境中,影响并不明显,成本往往会在前三到六个月内累积。
无论是支付违规罚款、解决集体诉讼索赔,还是支付法律费用,企业都必须在其规划中考虑潜在的监管和诉讼费用。最后,值得记住的是,数据泄露的成本很可能会超出泄露本身的直接后果。
数据泄露安全措施
数据泄露是当今数字环境中的一个持续威胁,尽管人们试图阻止它们,但它们几乎不可能完全停止。
以下是降低数据泄露风险的十项最佳实践:
- 实施全面的安全计划,包括定期漏洞评估和渗透测试。
- 建立并实施强密码策略,包括尽可能进行多因素身份验证。
- 使用最新的安全补丁更新所有软件和系统。
- 就适当的安全协议对员工进行培训,并提供持续的安全意识培训。
- 仅限需要的人访问敏感数据和系统。
- 加密传输中和静态的敏感数据。
- 实施监控和日志记录工具以检测异常活动和潜在的安全漏洞。
- 制定并定期测试您的事件响应计划,以确保快速有效地响应潜在的违规行为。
- 定期对关键数据进行备份,并测试备份和恢复过程。
- 与拥有强大安全和隐私实践的值得信赖的供应商和合作伙伴合作。
结论
数据泄露的平均总成本在 2022 年达到 435 万美元的历史新高。这个数字可能会继续增加。虽然数据泄露可能会造成毁灭性的后果,但它们也可以成为增长和改进的催化剂。通过应对这些挑战,组织可以获得对其网络安全态势的宝贵见解,并确定需要改进的领域。此外,数据泄露提供了一个机会,可以通过展示对透明度和问责制的承诺来增强与客户和利益相关者的信任。