北京�,2013年6月17日——賽門鐵克公司(納斯達(dá)克:SYMC)和美國波耐蒙研究所(Ponemon Institute)今日發(fā)布了《2013年數(shù)據(jù)泄露成本研究:全球分析報(bào)告》。該項(xiàng)研究的數(shù)據(jù)表明��,2012年�����,三分之二的數(shù)據(jù)泄露事故均由人為錯(cuò)誤和系統(tǒng)問題造成����,每項(xiàng)受損數(shù)據(jù)記錄的全球平均成本高達(dá)136美元。該研究也揭露了目前企業(yè)存在的一些問題:包括員工處理機(jī)密文件不當(dāng)���、企業(yè)缺乏系統(tǒng)控制以及違反產(chǎn)業(yè)和政府規(guī)定等等。研究結(jié)果還揭示���,醫(yī)療保健�、金融和制藥等受嚴(yán)格監(jiān)管的行業(yè)的數(shù)據(jù)泄露成本比其他行業(yè)高出70%��。
與全球受影響客戶的數(shù)據(jù)泄漏成本同比皆上漲的趨勢相反��,美國各項(xiàng)泄露事故的總成本則略有下降�,降至540萬美元。下降原因主要得益于美國大部分公司均指派了首席信息安全官,專門負(fù)責(zé)企業(yè)安全���、公司對(duì)全球事故做出及時(shí)響應(yīng)�����,以及對(duì)企業(yè)總體安全程序進(jìn)行加固等��。
波耐蒙研究所主席Larry Ponemon表示:“盡管外部攻擊者及其不斷演變的攻擊方法對(duì)企業(yè)構(gòu)成了極大的威脅�����,但與內(nèi)部威脅相關(guān)的危險(xiǎn)也可能造成同樣的破壞力和危害�。八年的針對(duì)數(shù)據(jù)泄漏成本的研究結(jié)果也顯示����,員工行為是當(dāng)今企業(yè)面臨的最緊迫問題之一,而自第一次調(diào)查后���,該項(xiàng)因素已經(jīng)增長了22%����。”
賽門鐵克信息管理集團(tuán)執(zhí)行副總裁Anil Chakravarthy表示:“與一般企業(yè)相比����,那些信息安全措施嚴(yán)格��、事故響應(yīng)及時(shí)的企業(yè)的泄露成本要低20%��,因此����,對(duì)信息安全采取統(tǒng)籌規(guī)劃和通盤考量極為重要�。”他還說,“不管客戶的敏感信息是存儲(chǔ)在私人電腦����、移動(dòng)設(shè)備、企業(yè)網(wǎng)絡(luò)還是數(shù)據(jù)中心里��,企業(yè)都必須確保這些信息的安全����。”
此次也是第八次年度全球報(bào)告基于對(duì)美國���、英國��、法國�、德國、意大利�����、印度���、日本����、澳大利亞和巴西這九個(gè)國家的277家企業(yè)的實(shí)際數(shù)據(jù)泄露調(diào)查結(jié)果���。該報(bào)告中研究的所有數(shù)據(jù)泄露事件均發(fā)生在2012年�。為正確追蹤趨勢性數(shù)據(jù)���,波耐蒙研究所并未將超過十萬次的“大型數(shù)據(jù)泄漏事件”記錄包括在內(nèi)���。
各企業(yè)可以通過訪問賽門鐵克公司的“數(shù)據(jù)泄漏風(fēng)險(xiǎn)計(jì)算器”來分析自身面臨的風(fēng)險(xiǎn)。數(shù)據(jù)泄漏風(fēng)險(xiǎn)計(jì)算器將企業(yè)的規(guī)模���、行業(yè)性質(zhì)�、地理位置和安全措施做了全面考慮����,通過此�����,能夠生成一個(gè)對(duì)企業(yè)數(shù)據(jù)記錄的預(yù)測和企業(yè)本身的評(píng)估�。
其他重要發(fā)現(xiàn)包括:
全球范圍內(nèi)數(shù)據(jù)泄露平均成本差別顯著�����。這些差異大部分是因?yàn)槠髽I(yè)所面臨的風(fēng)險(xiǎn)類型以及各國數(shù)據(jù)保護(hù)法律不同所致����。德國、澳大利亞�����、英國和美國等國家擁有更加完善的消費(fèi)者保護(hù)法律和法規(guī)來加強(qiáng)數(shù)據(jù)保密性和網(wǎng)絡(luò)安全���。盡管如此����,美國和德國的數(shù)據(jù)泄露成本依然最高(平均事故成本分別達(dá)到188美元和199美元)�����。這兩個(gè)國家的單項(xiàng)數(shù)據(jù)泄露事故總成本也最高(美國為540萬美元���,德國為480萬美元)����。
人為和系統(tǒng)錯(cuò)誤是導(dǎo)致數(shù)據(jù)泄漏的主要原因�。在針對(duì)全球的研究中,人為錯(cuò)誤和系統(tǒng)問題導(dǎo)致了64%的數(shù)據(jù)泄漏事故����,而此前的研究也顯示,62%的員工表示可以將企業(yè)數(shù)據(jù)轉(zhuǎn)移至公司外部����,并且大部分人從不刪除數(shù)據(jù),因而容易遭受數(shù)據(jù)外泄����。這說明有很大一部分?jǐn)?shù)據(jù)泄露事件是由內(nèi)部人員導(dǎo)致,致使企業(yè)承擔(dān)了高額的數(shù)據(jù)泄露成本��。研究還顯示����,巴西的企業(yè)最有可能遭遇因人為錯(cuò)誤而導(dǎo)致的數(shù)據(jù)泄漏事件����。印度的企業(yè)則最有可能因系統(tǒng)故障或業(yè)務(wù)流程崩潰而導(dǎo)致數(shù)據(jù)外泄�����。系統(tǒng)故障包括:應(yīng)用程序錯(cuò)誤�����、無意識(shí)數(shù)據(jù)轉(zhuǎn)存�����、數(shù)據(jù)傳送中的邏輯錯(cuò)誤�、身份或身份驗(yàn)證失敗(非法訪問)�、數(shù)據(jù)恢復(fù)失敗等等。
惡意和違法攻擊在各地都代價(jià)高昂��。綜合研究結(jié)果顯示���,惡意和違法攻擊導(dǎo)致的數(shù)據(jù)泄露事件占比高達(dá)37%�,而因此造成的數(shù)據(jù)外泄在九個(gè)國家中也成本最高�����。美國和德國公司因惡意或違法攻擊導(dǎo)致的數(shù)據(jù)外泄事故成本最高����,各項(xiàng)受損記錄成本分別為277美元和214美元。而巴西和印度的各項(xiàng)受損記錄成本最低��,分別為71美元和46美元����。德國公司最有可能遭遇惡意或違法攻擊,緊接著是澳大利亞和日本��。
部分企業(yè)因自身管理到位而使數(shù)據(jù)泄漏成本降低�。美國和英國公司的信息安全措施嚴(yán)格、事故響應(yīng)及時(shí)�����,同時(shí)他們還任命了首席信息安全官來專門負(fù)責(zé)企業(yè)的安全問題����,因此其數(shù)據(jù)泄露成本下降幅度最大����。美國和法國還通過雇傭數(shù)據(jù)泄漏補(bǔ)救顧問來降低成本�。
為防止數(shù)據(jù)泄露并有效降低成本,賽門鐵克推薦企業(yè)遵守以下最佳實(shí)踐:
教育和培訓(xùn)員工如何處理機(jī)密信息����;
采用數(shù)據(jù)丟失防護(hù)技術(shù)來尋找敏感信息并防止離開公司后的信息外泄;
部署加密和強(qiáng)身份驗(yàn)證解決方案��;
制定事故響應(yīng)計(jì)劃���,包括采取適當(dāng)?shù)拇胧﹣硗ㄖ蛻簟?br />
