2021 年数据泄露成本报告解读
根据 ForgeRock 的研究显示,2022 年美国数据泄露的平均成本预计为 950 万美元,而 2021 年全球平均成本差不多是这个数字的一半。根据 IBM 和 Ponemon Institute 2021 年的报告,全球平均数据泄露成本约为 424 万美元,比 2019 年的 386 万美元增长了 10%,创下历史新高。
随着勒索攻击的数量激增,到 2021 年底全球网络犯罪的成本达到 6 万亿美元/年的峰值。
Ponemon Institute 和 IBM Security 的报告将数百个成本因素纳入研究统计,包括法律、监管及技术活动、品牌资产损失、客户流失和员工流失。该研究范围包含 17 个国家和 17 个行业的共计 537 起数据泄露事件,通过近 3500 次采访收集数据。该报告的主要目的是鼓励企业通过解决网络安全风险和改善整体安全状况来降低数据泄露的成本。
本文将会讨论 2021 年数据泄露成本报告中一些重要结果,并总结经验,通过数据保护、数据安全及数据泄露预防策略来降低数据泄露的风险和成本。
2021 年 IBM 数据泄露成本报告主要发现
IBM 和 Ponemon Institute 的数据泄露成本报告有 12 个主要发现:
1. 数据泄露成本较往年增加 10%
单位:百万美元
数据来源:2021 数据泄露成本报告(IBM & Ponemon)
2021 年平均数据泄露的成本为 424 万美元,比 2020 年的调查结果增长 10%。这也创下了 IBM 和 Ponemon Institute 报告历史数据泄露成本新高。
2. 远程办公成为数据泄露的原因之一
由于远程办公导致数据泄露并造成平均 107 万美元的损失。远程办公的员工需要花费更多时间和精力来避免数据泄露。据调研和访问结果显示,提供远程办公的企业中,50%的企业需要至少 58 天的时间来识别和控制数据泄露。
3. 医疗行业数据泄露成本最高
医疗保健行业的数据泄露成本连续 11 年保持最高。平均成本从 2020 年的 713 万美元增加到 2021 年的 923 万美元,涨幅 29.3%。
4. 业务流失造成的损失占数据泄露成本的 38%
数据泄露成本占比最大的因素是业务流失损失。这包括客户流失和获得新业务的额外成本,以及在网络攻击期间系统不可用导致的损失。
5. 客户 PII 失窃是数据泄露中最常见且代价最大损失
在 IBM 和 Ponemon Institute 的研究中,44% 的泄露事件中包含了客户个人身份信息(Personal Identifiable Information, PII)。每条客户 PII 记录的平均成本为 180 美元。
6. 凭据泄露成为最常被利用的初始攻击媒介
4 种主要初始攻击媒介分别造成的损失为:
商务电子邮件诈骗(Business Email Compromise, BEC) - 501 万美元
网络钓鱼 - 465 万美元
内部人员恶意行为 - 461 万美元
社交工程诈骗 - 447 万美元
7. 识别和遏制泄露的平均时长为 287 天
泄露被发现的时间越长,财务影响就越大。287 天远高于降低数据泄露成本的绝对最大阈值 200 天。在 200 天内发现并遏制的数据泄露事件的平均成本为 361 万美元。但 200 多天才能识别的平均成本为 487 万美元,相差 126 万美元。
8. 涉及至少 5000 万条记录的数据泄露成本高出 100 倍
涉及至少 5000 万条记录的大型泄露事件的成本是一般数据泄露事件的 100 倍。涉及 5000 万至 6500 万条记录的泄露在 2021 年的平均成本为 4.01 亿美元,而 2020 年为 3.92 亿美元。
9. 零信任策略将数据泄露的平均成本降低了 176 万美元
实施零信任架构的公司平均数据泄露成本为 328 万美元。相比之下,没有实施零信任策略的企业处理数据泄露的成本为 501 万美元,多出了 176 万美元。
10. Security AI 和自动化控制将数据泄露成本降低了 80%
Security AI 和自动化控制帮助企业更快地检测和控制数据泄露,因为这些工具能够有效减少处理数据泄露的时间。
11. 混合云环境中的数据泄露成本比公有、私有和本地云少 119 万美元
混合云环境数据泄露的平均成本为 361 万美元,比其他形式的云环境低 23%。
12. 勒索软件导致企业产生平均 462 万美元损失
勒索软件造成的损失平均为 462 万美元,高于数据泄露的平均成本 424 万美元。
数据泄露的影响、原因及应对思路
根据研究,时间是影响数据泄露成本的最大因素。发现泄露的时间越长,网络犯罪分子可以窃取的敏感数据就越多。当系统中断和客户流失导致业务损失时,延迟修复的负面财务影响会进一步加剧。
数据泄露会影响组织多久?
数据泄露成本研究发现,平均而言,53%的数据泄露成本产生在第一年,31%则产生在第二年,16%产生在事件发生后两年以上。
与监管不严的行业相比,高度监管行业的组织(如医疗保健组织和金融服务)数据泄露影响的时间更长远,第二年和第三年的数据泄露成本上升。第一年产生了 47% 的成本,在第二年产生了 33%,在数据泄露 2 年后产生了 20%。
平均数据泄露生命周期有多长?
数据泄露生命周期是指数据泄露发生到泄露被遏制的时间。2019 年,发现泄露平均需要 206 天,控制泄露平均需要 73 天,也就是说数据泄露生命周期为 279 天。而在 2021 年,平均发现泄露时间为 212 天,平均遏制时间为 75 天,数据泄露生命周期总计为 287 天。
在前文有强调过,数据泄露被检测和控制的越迅速,对应的成本就越低。与生命周期超过 200 天的泄露事件相比,生命周期少于 200 天的平均损失成本为 361 万美元,比生命周期超过 200 天的泄露事件成本少 126 万美元。
最常见和代价最大的泄露原因是?
根据数据泄露成本报告研究显示,最常见的初始攻击媒介是凭据泄露,其次是网络钓鱼、云配置错误和第三方软件中的漏洞。
2021 年最主要的 5 个数据泄露攻击途径及成本是:
商业电子邮件诈骗 - 501 万美元
网络钓鱼 - 465 万美元
内部人员恶意行为 - 461 万美元
社交诈骗 - 447 万美元
第三方软件的漏洞 - 433 万美元
人为错误和系统故障造成的泄露成本是多少?
数据泄漏通常涉及用户凭据,而这些无意的暴露通常是由人为错误引起的。人为错误是网络钓鱼攻击和社交诈骗的主要促成因素,而人为错误导致的数据泄露成本平均成本估算为 463 万美元。
小型企业是否受到数据泄露的影响?
2021 年,员工人数在 500 到 1000 人之间的企业平均数据泄露成本最低,为 263 万美元。员工数量在 500 人以内的平均数据泄露成本出乎意料的更高,为 298 万美元。员工数量规模达 10000-25000 人的企业所产生的数据泄露成本最高,为 552 万美元。
造成数据泄露成本成倍增加的因素
泄露超过 5000 万条记录 - 数据泄露成本增加 100 倍
缺乏应对 COVID-19 的数字化转型 - 数据泄露成本比平均高出 75 万美元
远程办公模式 – 数据泄露生命周期延长多达 58 天
缺乏安全自动化 – 未能有效减少 80%的泄露成本
降低数据泄露成本的方式
数据加密、数据丢失防护、威胁情报共享和 DevSecOps 的广泛实施和使用都与较低的平均数据泄露成本相关。
在这些因素中,数据加密产生了最大的积极影响。使用高标准加密方法(至少 256 次 AES 加密)的企业平均违规成本为 362 万美元。而使用低标准加密方式或不使用加密方法的企业平均数据泄露成本为 487 万美元。
事件响应团队和测试的影响
能够针对数据泄露制定并实施时间响应计划并进行充分演练的企业,数据泄露的平均成本从 571 万美元降低到了 388 万美元。
自动化安全流程降低数据泄露成本
采用安全自动化技术的企业可将数据泄露成本降低 80%。未部署安全自动化技术的企业平均数据泄露成本高达 671 万美元,而实施此类解决方案的企业相应成本则为 290 万美元。
对于企业来说,不使用自动化工具的成本变得越来越高。没有自动化工具的企业平均数据泄露成本从 2019 年的 516 万美元上升到 2021 年的 671 万美元。
版权声明: 本文为 InfoQ 作者【SEAL软件供应链安全】的原创文章。
原文链接:【http://xie.infoq.cn/article/53e37aa96368b472ca5490daa】。文章转载请联系作者。
评论