賽門鐵克公司和美國波耐蒙研究所(Ponemon Institute)今日發(fā)布了《2013年數(shù)據(jù)泄露成本研究:全球分析報告》���。該項(xiàng)研究的數(shù)據(jù)表明,2012年�,三分之二的數(shù)據(jù)泄露事故均由人為錯誤和系統(tǒng)問題造成,每項(xiàng)受損數(shù)據(jù)記錄的全球平均成本高達(dá)136美元�����。該研究也揭露了目前企業(yè)存在的一些問題:包括員工處理機(jī)密文件不當(dāng)�、企業(yè)缺乏系統(tǒng)控制以及違反產(chǎn)業(yè)和政府規(guī)定等等���。研究結(jié)果還揭示���,醫(yī)療保健�����、金融和制藥等受嚴(yán)格監(jiān)管的行業(yè)的數(shù)據(jù)泄露成本比其他行業(yè)高出70%����。
與全球受影響客戶的數(shù)據(jù)泄漏成本同比皆上漲的趨勢相反�,美國各項(xiàng)泄露事故的總成本則略有下降,降至540萬美元�。下降原因主要得益于美國大部分公司均指派了首席信息安全官,專門負(fù)責(zé)企業(yè)安全���、公司對全球事故做出及時響應(yīng)����,以及對企業(yè)總體安全程序進(jìn)行加固等�����。
波耐蒙研究所主席Larry Ponemon表示:“盡管外部攻擊者及其不斷演變的攻擊方法對企業(yè)構(gòu)成了極大的威脅����,但與內(nèi)部威脅相關(guān)的危險也可能造成同樣的破壞力和危害����。八年的針對數(shù)據(jù)泄漏成本的研究結(jié)果也顯示�,員工行為是當(dāng)今企業(yè)面臨的最緊迫問題之一,而自第一次調(diào)查后���,該項(xiàng)因素已經(jīng)增長了22%���。”
賽門鐵克信息管理集團(tuán)執(zhí)行副總裁Anil Chakravarthy表示:“與一般企業(yè)相比,那些信息安全措施嚴(yán)格��、事故響應(yīng)及時的企業(yè)的泄露成本要低20%�,因此,對信息安全采取統(tǒng)籌規(guī)劃和通盤考量極為重要���。”他還說�����,“不管客戶的敏感信息是存儲在私人電腦、移動設(shè)備��、企業(yè)網(wǎng)絡(luò)還是數(shù)據(jù)中心里,企業(yè)都必須確保這些信息的安全�。”
此次也是第八次年度全球報告基于對美國、英國���、法國��、德國��、意大利���、印度、日本�、澳大利亞和巴西這九個國家的277家企業(yè)的實(shí)際數(shù)據(jù)泄露調(diào)查結(jié)果。該報告中研究的所有數(shù)據(jù)泄露事件均發(fā)生在2012年���。為正確追蹤趨勢性數(shù)據(jù)��,波耐蒙研究所并未將超過十萬次的“大型數(shù)據(jù)泄漏事件”記錄包括在內(nèi)���。
各企業(yè)可以通過訪問賽門鐵克公司的“數(shù)據(jù)泄漏風(fēng)險計算器”來分析自身面臨的風(fēng)險。數(shù)據(jù)泄漏風(fēng)險計算器將企業(yè)的規(guī)模���、行業(yè)性質(zhì)�����、地理位置和安全措施做了全面考慮����,通過此,能夠生成一個對企業(yè)數(shù)據(jù)記錄的預(yù)測和企業(yè)本身的評估�。
其他重要發(fā)現(xiàn)包括:
· 全球范圍內(nèi)數(shù)據(jù)泄露平均成本差別顯著。這些差異大部分是因?yàn)槠髽I(yè)所面臨的風(fēng)險類型以及各國數(shù)據(jù)保護(hù)法律不同所致���。德國�����、澳大利亞��、英國和美國等國家擁有更加完善的消費(fèi)者保護(hù)法律和法規(guī)來加強(qiáng)數(shù)據(jù)保密性和網(wǎng)絡(luò)安全���。盡管如此,美國和德國的數(shù)據(jù)泄露成本依然最高 (平均事故成本分別達(dá)到188美元和199美元)���。這兩個國家的單項(xiàng)數(shù)據(jù)泄露事故總成本也最高(美國為540萬美元�����,德國為480萬美元)���。
· 人為和系統(tǒng)錯誤是導(dǎo)致數(shù)據(jù)泄漏的主要原因。在針對全球的研究中���,人為錯誤和系統(tǒng)問題導(dǎo)致了64%的數(shù)據(jù)泄漏事故��,而此前的研究也顯示�,62%的員工表示可以將企業(yè)數(shù)據(jù)轉(zhuǎn)移至公司外部����,并且大部分人從不刪除數(shù)據(jù),因而容易遭受數(shù)據(jù)外泄��。這說明有很大一部分?jǐn)?shù)據(jù)泄露事件是由內(nèi)部人員導(dǎo)致���,致使企業(yè)承擔(dān)了高額的數(shù)據(jù)泄露成本��。研究還顯示�����,巴西的企業(yè)最有可能遭遇因人為錯誤而導(dǎo)致的數(shù)據(jù)泄漏事件�����。印度的企業(yè)則最有可能因系統(tǒng)故障或業(yè)務(wù)流程崩潰而導(dǎo)致數(shù)據(jù)外泄�����。系統(tǒng)故障包括:應(yīng)用程序錯誤�����、無意識數(shù)據(jù)轉(zhuǎn)存�、數(shù)據(jù)傳送中的邏輯錯誤、身份或身份驗(yàn)證失敗(非法訪問)�����、數(shù)據(jù)恢復(fù)失敗等等�����。
· 惡意和違法攻擊在各地都代價高昂��。綜合研究結(jié)果顯示�,惡意和違法攻擊導(dǎo)致的數(shù)據(jù)泄露事件占比高達(dá)37%��,而因此造成的數(shù)據(jù)外泄在九個國家中也成本最高�����。美國和德國公司因惡意或違法攻擊導(dǎo)致的數(shù)據(jù)外泄事故成本最高�,各項(xiàng)受損記錄成本分別為277美元和214美元����。而巴西和印度的各項(xiàng)受損記錄成本最低����,分別為71美元和46美元。德國公司最有可能遭遇惡意或違法攻擊�,緊接著是澳大利亞和日本。
· 部分企業(yè)因自身管理到位而使數(shù)據(jù)泄漏成本降低��。美國和英國公司的信息安全措施嚴(yán)格�、事故響應(yīng)及時,同時他們還任命了首席信息安全官來專門負(fù)責(zé)企業(yè)的安全問題��,因此其數(shù)據(jù)泄露成本下降幅度最大��。美國和法國還通過雇傭數(shù)據(jù)泄漏補(bǔ)救顧問來降低成本����。
為防止數(shù)據(jù)泄露并有效降低成本����,賽門鐵克推薦企業(yè)遵守以下最佳實(shí)踐:
1. 教育和培訓(xùn)員工如何處理機(jī)密信息;
2. 采用數(shù)據(jù)丟失防護(hù)技術(shù)來尋找敏感信息并防止離開公司后的信息外泄;
3. 部署加密和強(qiáng)身份驗(yàn)證解決方案;
4. 制定事故響應(yīng)計劃�,包括采取適當(dāng)?shù)拇胧﹣硗ㄖ蛻簟?/p>
