賽門鐵克公司和美國波耐蒙研究所(Ponemon Institute)今日發(fā)布了《2013年數據泄露成本研究:全球分析報告》�。該項研究的數據表明,2012年���,三分之二的數據泄露事故均由人為錯誤和系統(tǒng)問題造成�,每項受損數據記錄的全球平均成本高達136美元�����。該研究也揭露了目前企業(yè)存在的一些問題:包括員工處理機密文件不當�、企業(yè)缺乏系統(tǒng)控制以及違反產業(yè)和政府規(guī)定等等。研究結果還揭示���,醫(yī)療保健�、金融和制藥等受嚴格監(jiān)管的行業(yè)的數據泄露成本比其他行業(yè)高出70%����。
與全球受影響客戶的數據泄漏成本同比皆上漲的趨勢相反,美國各項泄露事故的總成本則略有下降��,降至540萬美元���。下降原因主要得益于美國大部分公司均指派了首席信息安全官���,專門負責企業(yè)安全���、公司對全球事故做出及時響應,以及對企業(yè)總體安全程序進行加固等���。
波耐蒙研究所主席Larry Ponemon表示:“盡管外部攻擊者及其不斷演變的攻擊方法對企業(yè)構成了極大的威脅����,但與內部威脅相關的危險也可能造成同樣的破壞力和危害�����。八年的針對數據泄漏成本的研究結果也顯示�����,員工行為是當今企業(yè)面臨的最緊迫問題之一��,而自第一次調查后�,該項因素已經增長了22%��。”
賽門鐵克信息管理集團執(zhí)行副總裁Anil Chakravarthy表示:“與一般企業(yè)相比�����,那些信息安全措施嚴格、事故響應及時的企業(yè)的泄露成本要低20%����,因此,對信息安全采取統(tǒng)籌規(guī)劃和通盤考量極為重要�。”他還說,“不管客戶的敏感信息是存儲在私人電腦����、移動設備、企業(yè)網絡還是數據中心里����,企業(yè)都必須確保這些信息的安全。”
此次也是第八次年度全球報告基于對美國�、英國、法國��、德國���、意大利���、印度���、日本、澳大利亞和巴西這九個國家的277家企業(yè)的實際數據泄露調查結果���。該報告中研究的所有數據泄露事件均發(fā)生在2012年�����。為正確追蹤趨勢性數據�,波耐蒙研究所并未將超過十萬次的“大型數據泄漏事件”記錄包括在內�����。
各企業(yè)可以通過訪問賽門鐵克公司的“數據泄漏風險計算器”來分析自身面臨的風險�����。數據泄漏風險計算器將企業(yè)的規(guī)模�����、行業(yè)性質�、地理位置和安全措施做了全面考慮,通過此�,能夠生成一個對企業(yè)數據記錄的預測和企業(yè)本身的評估。
其他重要發(fā)現(xiàn)包括:
· 全球范圍內數據泄露平均成本差別顯著�����。這些差異大部分是因為企業(yè)所面臨的風險類型以及各國數據保護法律不同所致����。德國、澳大利亞�����、英國和美國等國家擁有更加完善的消費者保護法律和法規(guī)來加強數據保密性和網絡安全�����。盡管如此����,美國和德國的數據泄露成本依然最高 (平均事故成本分別達到188美元和199美元)。這兩個國家的單項數據泄露事故總成本也最高(美國為540萬美元�,德國為480萬美元)。
· 人為和系統(tǒng)錯誤是導致數據泄漏的主要原因���。在針對全球的研究中�,人為錯誤和系統(tǒng)問題導致了64%的數據泄漏事故,而此前的研究也顯示�,62%的員工表示可以將企業(yè)數據轉移至公司外部,并且大部分人從不刪除數據��,因而容易遭受數據外泄�。這說明有很大一部分數據泄露事件是由內部人員導致,致使企業(yè)承擔了高額的數據泄露成本�。研究還顯示,巴西的企業(yè)最有可能遭遇因人為錯誤而導致的數據泄漏事件�。印度的企業(yè)則最有可能因系統(tǒng)故障或業(yè)務流程崩潰而導致數據外泄。系統(tǒng)故障包括:應用程序錯誤��、無意識數據轉存�����、數據傳送中的邏輯錯誤�����、身份或身份驗證失敗(非法訪問)����、數據恢復失敗等等。
· 惡意和違法攻擊在各地都代價高昂�。綜合研究結果顯示,惡意和違法攻擊導致的數據泄露事件占比高達37%�����,而因此造成的數據外泄在九個國家中也成本最高�����。美國和德國公司因惡意或違法攻擊導致的數據外泄事故成本最高����,各項受損記錄成本分別為277美元和214美元。而巴西和印度的各項受損記錄成本最低���,分別為71美元和46美元�。德國公司最有可能遭遇惡意或違法攻擊���,緊接著是澳大利亞和日本��。
· 部分企業(yè)因自身管理到位而使數據泄漏成本降低����。美國和英國公司的信息安全措施嚴格、事故響應及時��,同時他們還任命了首席信息安全官來專門負責企業(yè)的安全問題��,因此其數據泄露成本下降幅度最大��。美國和法國還通過雇傭數據泄漏補救顧問來降低成本����。
為防止數據泄露并有效降低成本,賽門鐵克推薦企業(yè)遵守以下最佳實踐:
1. 教育和培訓員工如何處理機密信息;
2. 采用數據丟失防護技術來尋找敏感信息并防止離開公司后的信息外泄;
3. 部署加密和強身份驗證解決方案;
4. 制定事故響應計劃�����,包括采取適當的措施來通知客戶�����。
