近日,IBM Security发布了一项年度全球研究结果。该研究发现,每单个数据泄露事件令受访公司所承担的平均成本高达424万美元,创该报告发布17年以来的最高纪录。该报告对500多家组织所经历的真实数据泄露事件进行了深入分析,研究显示,由于组织在新冠病毒疫情期间的运营方式发生了重大转变,因此安全事件给组织造成了更大的损失(较去年增加了 10%),也更加难以遏制。
去年,面对新冠病毒疫情危机,各行各业都被迫快速适应新的技术方法,许多公司鼓励或要求员工在家办公,60%的组织进一步转向云端开展各项业务。[1]此次研究的新发现显示,组织的安全性可能已经跟不上这些迅速出现的IT变革,从而削弱了组织应对数据泄露的能力。
这项由Ponemon Institute操刀、由IBM Security赞助和分析的年度数据泄露成本报告,揭示受访组织出现了以下几个趋势:
远程办公造成的影响:组织在新冠肺炎肆虐期间迅速转向远程办公,导致数据泄露的成本增加。与未采用远程办公的组织相比,采用远程办公的组织的数据泄露成本平均高出100万美元(分别为496万美元和389万美元)[2]。
医疗数据泄露的成本飙升:对于那些在新冠病毒疫情肆虐期间面临运营方式巨变的行业(医疗、零售、酒店和消费品生产/分销),数据泄露成本与去年同期相比大幅增加。迄今为止,医疗行业的数据泄露成本最高,每次泄露事件的成本高达923万美元,较去年增加了200万美元。
证书被盗导致数据泄露:研究显示,用户证书被盗是最常见的数据泄露根本原因。与此同时,客户个人数据(如姓名、电子邮件、密码)是数据泄露事件中最常见的被泄露的信息—— 44%的泄露事件涉及此类数据。这些因素的叠加会导致螺旋效应,因为用户名/密码的泄露为攻击者提供了未来发动更多数据盗窃的筹码。
现代化的方法可降低成本:采用人工智能、安全分析和加密是降低数据泄露成本的三大缓解因素。与没有广泛采用这些工具的企业相比,使用这些工具的企业可节省125万至149万美元。在此次研究所涉及的云数据泄露事件当中,实施混合云方法的组织其数据泄露成本(361万美元)低于主要采用公有云的组织(480万美元)或主要采用私有云的组织(455万美元)。
IBM Security副总裁兼总经理Chris McCurdy 表示:“在新冠病毒疫情期间,企业经历了技术上的迅速转变,随之而来的数据泄露成本增加是企业不得不承担的又一项额外支出。尽管数据泄露成本在去年创下了历史新高,但这份报告同时也显示,采用现代化的安全策略(例如:人工智能、自动化和采用零信任方法)会产生积极影响,有望降低此类数据泄露事件的成本。”
远程办公与上云对数据泄露的影响
随着整个社会在新冠病毒疫情期间更加依赖数字交互,企业在不断适应网络世界的过程中也逐渐接受了远程办公和云环境。报告发现,这些因素对数据泄露响应产生了重大影响。接受调查的组织之中有近20%表示,远程办公是导致数据泄露的一个因素,而此类数据泄露则给公司造成高达496万美元的损失(比平均水平高出近15%)。
在云迁移项目期间遭遇数据泄露事件的企业所承担的成本比平均水平高出18.8%。然而,该研究还发现,那些在整体云现代化战略中走得更远的企业(进入“成熟”阶段)能够对数据泄露事件做出更有效的检测和响应,比处于“早期“阶段的企业平均快77天。此外,在此次研究涉及的云数据泄露事件当中,实施混合云方法的组织其数据泄露成本(361万美元)低于主要采用公有云的组织(480万美元)或主要采用私有云的组织(455万美元)。
证书泄露的风险呈上升趋势
该报告还揭示了一个日益严重的问题——即消费者数据(包括证书)在数据泄露事件中被盗,之后可被用于进一步发动攻击。82%的受访个人承认,他们在多个账户中重复使用相同密码,因此,证书被盗既是数据泄露的主要原因,也是数据泄露的结果,这导致企业同时面临多重风险。
个人数据暴露:在调查中,近一半 (44%) 的泄露事件都分析了暴露在外的客户个人数据,例如姓名、电子邮箱、密码,甚至是医疗数据,这些都是报告中最常见的泄露记录类型。
客户个人身份信息(PII)泄露造成的损失最大:与其他类型的数据相比,客户个人身份信息泄露造成的损失最大——每条个人身份信息丢失或被盗造成的损失高达180美元,相较于总体每条信息被盗造成的平均损失为161美元。
最常见的攻击方法:利用泄露的用户证书是攻击者最常用的切入点,本次研究涉及的所有漏洞事件中有20%,攻击者都是用这种方法来发动攻击。
需要更长时间才能发现并遏制数据泄露:发现因用户凭证被盗而导致的数据泄露所需的时间最长——平均需要250天才能发现,相较于所有数据泄露类型的平均发现时间为212天。
现代化企业的数据泄露成本较低
虽然企业在新冠病毒疫情期间进行的 IT 转型导致数据泄露成本增加,但是,那些没有为了实现经营现代化而实施任何数字化转型项目的组织遭受的损失更大。那些没有因为新冠病毒疫情而进行任何数字化转型的组织,因每次数据泄露事件而承担的成本比平均水平高75万美元(比平均水平高16.6%)。
研究表明,采用零信任安全方法的企业能够更好地应对数据泄露事件。零信任方法是假设用户身份或网络本身可能已经受到攻击,在此前提下依靠人工智能和分析来持续验证用户、数据与资源之间的连接。拥有成熟的零信任策略的组织,其平均数据泄露成本为328万美元,比未部署该方法的组织低176万美元。
报告还显示,与前几年相比,更多企业正在部署安全自动化,从而节省了大量成本。大约65%的受访企业表示,他们在企业安全环境中部分或全面部署了自动化,而两年前这一比例仅为52%。那些已“全面部署”安全自动化策略的组织因每次数据泄露而承担的平均成本为290万美元,而那些未部署自动化的组织的平均成本要高出一倍多,达到671万美元。
此外,对事件响应团队和计划的投资降低了受访企业的数据泄露成本。设有事件响应团队并对事件响应计划进行测试的企业,其平均成本为325万美元,而那些既没有响应团队,也未进行测试的企业,其平均成本为571万美元(相差54.9%)。
更多关于2021年报告的发现还包括:
响应时间:发现并遏制数据泄露所需的平均时间为287天(发现所需的时间为212天,遏制所需的时间为75天),比去年报告的时间长一周。
超大规模数据泄露:导致5000万至6500万条记录泄露的超大规模数据泄露的平均成本为4.01亿美元。[3]这比报告中研究的大多数数据泄露事件(泄露数量在1000-100000条之间)的成本高出近100倍。
按行业分析:医疗行业的数据泄露成本最高(923万美元),其次是金融行业(572万美元)和制药行业(504万美元)。虽然零售、媒体、酒店和公共部门的总体成本较低,但较去年也有大幅增加。
按国家/地区分析:美国的数据泄露成本最高,每次事件的成本高达905万美元,其次是中东(693万美元)和加拿大(540万美元)
研究方法及其它数据泄露统计数据
IBM Security和Ponemon Institute对全球500多个组织在2020年5月至2021年3月期间经历的涉及10万条或以下记录的真实数据泄露事件进行了深入分析,在此基础上发布了《2021年数据泄露成本报告》。本报告考虑了数据泄露事件涉及的数百个成本因素,包括法律、监管和技术活动以及数据泄露带来的品牌资产、客户和员工生产力损失等等。
IBM商业价值研究院:新冠病毒疫情与企业的未来
采用远程办公的受访者的平均成本为496万美元,未采用远程办公的组织的平均成本为389万美元
《2021 年数据泄露成本报告》对涉及一百万条及更多记录丢失或被盗的特定样本进行了单独分析,审视了超大规模数据泄露的成本。总体平均数据泄露报告计算未包含超大规模数据泄露样本,仅包含数据泄露量在1000-100000条之间的数据泄露事件。