IBM發(fā)布的《2021年數(shù)據(jù)泄露成本》報告揭示,數(shù)據(jù)泄露成本從386萬美元增至424萬美元��,為其17年報告發(fā)布史上最高平均總成本數(shù)額�����。
英國文化��、媒體和體育部(DCMS)最近發(fā)布的報告顯示���,英國大中型企業(yè)越來越來難以承受數(shù)據(jù)泄露不斷高企的成本。該報告顯示���,2021年��,英國大中型企業(yè)平均損失了1.94萬英鎊���,而2020年時這一數(shù)字還只是1.34萬���。有意思的是,如果考慮大中小各種規(guī)模的企業(yè)��,數(shù)據(jù)泄露的平均成本驟降至4200英鎊���。而且�����,相比2020年的8460英鎊還腰斬了�����。
每年都有很多這樣的報告向我們揭示身邊正發(fā)生什么��,數(shù)據(jù)泄露和網(wǎng)絡攻擊的成本又增加了多少���。這些報告都很有價值,因為能讓我們了解到價格�����、所用方法和組織是怎樣應對日益增多的威脅的。但是���,我們需要謹慎對待這些報告���,因為這些報告沒有準確描述,也無法準確描述我們數(shù)字世界中正在發(fā)生一切��,更別說精準統(tǒng)計數(shù)據(jù)泄露的影響了��。這并不是針對研究人員本身的抱怨��,而是一種客觀觀察:計算問題的規(guī)?����;蛩斐捎绊懙某杀緯r��,我們無法靠慮到如此之多的因素�����。
盡管報道數(shù)據(jù)泄露的財務影響既必不可少又很有價值�����,但這種報告過于武斷���,并沒有給出更難以量化的數(shù)據(jù)泄露的真實成本��。當然��,把這些統(tǒng)計數(shù)據(jù)擺上董事會會議桌來合理化網(wǎng)絡安全預算還是很不錯的���,但我們還應該考慮數(shù)據(jù)泄露那些不太明顯的影響,因為數(shù)據(jù)泄露的成本和對業(yè)務的影響遠遠高于報告數(shù)字所呈現(xiàn)的���。
聲譽損害
數(shù)據(jù)泄露事件發(fā)生后���,組織往往必須與顧客、長期客戶和雇員就所發(fā)生的事情艱難溝通�����。在了解事件發(fā)生經過和計算出財務影響之前���,必須精心準備所有電話���、電子郵件和新聞稿�����。每一場溝通都有可能失去一個客戶��,組織的聲譽所受的負面影響不斷累積��。
當然���,這并不意味著組織應該蒙混過關或者盡量避免這些溝通,因為從長遠看���,這么做顯然會讓他們陷入更糟糕的境地���。只要組織以開放的態(tài)度誠實通報所發(fā)生的一切,那么大多數(shù)(不是全部)客戶��、供應商和雇員都會給予諒解�����,尤其是在遭到有組織網(wǎng)絡犯罪侵害的情況下��。但堅持這么做也很冒險��,因為在發(fā)現(xiàn)自己是網(wǎng)絡攻擊真正的受害者時�����,耐心和慷慨往往是稀缺品���。
時間回溯到2013年�����,美國零售業(yè)巨頭塔吉特被網(wǎng)絡罪犯攻陷�����,數(shù)據(jù)泄露影響4100萬客戶�����。塔吉特在16天內檢測到了泄露���,并在發(fā)現(xiàn)后20天里公開披露了此事�����,但很多客戶對這家公司的披露耗時非常不滿�����。
這無疑在相當長的一段時間里影響了塔吉特的股價���。當然,任何公司的股價都是公司聲譽和地位的金融表征���。
賠償和罰款
考慮數(shù)據(jù)泄露成本時我們最常想到的就是聲譽上的影響���,但需要考慮的其他因素還有很多。
數(shù)據(jù)泄露還會引發(fā)索賠��,甚至制裁和罰款���。信息專員辦公室(ICO)是英國的監(jiān)管機構���,根據(jù)英國《數(shù)據(jù)保護法案》和歐盟《通用數(shù)據(jù)保護條例》(GDPR)監(jiān)管治理和合規(guī)事宜。如果發(fā)生數(shù)據(jù)泄露���,組織可能必須向ICO作出解釋��,等待ICO的后續(xù)動作��。無論采取何種形式的制裁���,律師都會介入,數(shù)據(jù)泄露的財務影響會再次迅速升級���。
發(fā)生數(shù)據(jù)泄露事件之后�����,有一種影響往往會忘了討論��,這種影響雖然也會造成財務損失��,但在初步評估中卻不是那么明顯�����。
人員影響
發(fā)生數(shù)據(jù)泄露時��,光確定發(fā)生了什么和需要采取哪些行動就有一大堆事情要做��。事件響應團隊會采取行動���,按計劃果斷行事�����,以期恢復業(yè)務正常運行���。
在響應和恢復過程中,相關人員面臨著全力確保盡快恢復的壓力��。假期被取消�����,育兒和照顧親屬的個人義務被忽視�����,當前要務就是維持或恢復業(yè)務正常運營���。
因此���,恢復團隊成員承受的壓力是巨大的���,而在考慮誰應該加入恢復團隊時,這種壓力又常常遭到忽視�����。大多數(shù)主管和經理都需要能夠在壓力下保持冷靜���。不過,數(shù)據(jù)泄露或網(wǎng)絡事件并不是大多數(shù)人需要面對的日常(謝天謝地)��。因此���,人們對安全事件的反應天差地別��,但無論如何反應���,終歸逃不脫最初都是人類會有的反應。
別對人性抱有太高的幻想���,數(shù)據(jù)泄露發(fā)生時���,團隊的第一反應會是:“這對我有什么影響�����?我得擔責嗎��?”或許這種想法轉瞬即逝�����,但肯定會出現(xiàn)�����。于是���,壓力和焦慮開始出現(xiàn),因為這個人會在個人責任和崗位職責之間掙扎���。
難怪最近的研究顯示���,24%的財富500強企業(yè)首席信息安全官(CISO)履職時間僅一年,而平均任期為26個月��。那么,IT團隊成員的情況又如何呢��?相應團隊中的其他人又是何種情況��?事件發(fā)生后他們會待多久呢���?
當然��,壓力和焦慮會導致心理健康問題���,而如果我們回到資產負債表��,生產力問題會導致更多的經濟損失��。
結語
計算數(shù)據(jù)泄露的成本確實可以歸結為我們可以往電子表格中填入什么�����,但我們不應該僅僅看到數(shù)據(jù)泄露表面的財務影響��。如果想要深入了解真實成本�����,我們就得考慮數(shù)據(jù)泄露事件的方方面面�����。這意味著要考慮對我們聲譽的影響、損失的機會成本��、對生產力的影響���、增加的運營成本���、賠償和罰款,以及對我們人員的影響�����。
對人員的影響往往是最難以計算的��,因為沒有明確的指征表明何時會感受到這種影響���;團隊成員可能會在業(yè)務開始恢復的那一刻開始尋找另一份工作���,并且可能永遠不會提到那次事件是離職的催化劑。
財務成本可能僅僅是電子表格中細細的一行��,但數(shù)據(jù)泄露的實際成本遠不止如此,還有對內部和外部利益相關者的信任侵蝕��。
注:文章及圖片��,轉載自網(wǎng)絡�����,如有侵權���,請聯(lián)系刪除���。
| 
