赛门铁克公司和美国波耐蒙研究所(Ponemon Institute)今日发布了《2013年数据泄露成本研究:全球分析报告》。该项研究的数据表明,2012年,三分之二的数据泄露事故均由人为错误和系统问题造成,每项受损数据记录的全球平均成本高达136美元。该研究也揭露了目前企业存在的一些问题:包括员工处理机密文件不当、企业缺乏系统控制以及违反产业和政府规定等等。研究结果还揭示,医疗保健、金融和制药等受严格监管的行业的数据泄露成本比其他行业高出70%。
与全球受影响客户的数据泄漏成本同比皆上涨的趋势相反,美国各项泄露事故的总成本则略有下降,降至540万美元。下降原因主要得益于美国大部分公司均指派了首席信息安全官,专门负责企业安全、公司对全球事故做出及时响应,以及对企业总体安全程序进行加固等。
波耐蒙研究所主席Larry Ponemon表示:“尽管外部攻击者及其不断演变的攻击方法对企业构成了极大的威胁,但与内部威胁相关的危险也可能造成同样的破坏力和危害。八年的针对数据泄漏成本的研究结果也显示,员工行为是当今企业面临的最紧迫问题之一,而自第一次调查后,该项因素已经增长了22%。”
赛门铁克信息管理集团执行副总裁Anil Chakravarthy表示:“与一般企业相比,那些信息安全措施严格、事故响应及时的企业的泄露成本要低20%,因此,对信息安全采取统筹规划和通盘考量极为重要。”他还说,“不管客户的敏感信息是存储在私人电脑、移动设备、企业网络还是数据中心里,企业都必须确保这些信息的安全。”
此次也是第八次年度全球报告基于对美国、英国、法国、德国、意大利、印度、日本、澳大利亚和巴西这九个国家的277家企业的实际数据泄露调查结果。该报告中研究的所有数据泄露事件均发生在2012年。为正确追踪趋势性数据,波耐蒙研究所并未将超过十万次的“大型数据泄漏事件”记录包括在内。
各企业可以通过访问赛门铁克公司的“数据泄漏风险计算器”来分析自身面临的风险。数据泄漏风险计算器将企业的规模、行业性质、地理位置和安全措施做了全面考虑,通过此,能够生成一个对企业数据记录的预测和企业本身的评估。
其他重要发现包括:
· 全球范围内数据泄露平均成本差别显著。这些差异大部分是因为企业所面临的风险类型以及各国数据保护法律不同所致。德国、澳大利亚、英国和美国等国家拥有更加完善的消费者保护法律和法规来加强数据保密性和网络安全。尽管如此,美国和德国的数据泄露成本依然最高 (平均事故成本分别达到188美元和199美元)。这两个国家的单项数据泄露事故总成本也最高(美国为540万美元,德国为480万美元)。
· 人为和系统错误是导致数据泄漏的主要原因。在针对全球的研究中,人为错误和系统问题导致了64%的数据泄漏事故,而此前的研究也显示,62%的员工表示可以将企业数据转移至公司外部,并且大部分人从不删除数据,因而容易遭受数据外泄。这说明有很大一部分数据泄露事件是由内部人员导致,致使企业承担了高额的数据泄露成本。研究还显示,巴西的企业最有可能遭遇因人为错误而导致的数据泄漏事件。印度的企业则最有可能因系统故障或业务流程崩溃而导致数据外泄。系统故障包括:应用程序错误、无意识数据转存、数据传送中的逻辑错误、身份或身份验证失败(非法访问)、数据恢复失败等等。
· 恶意和违法攻击在各地都代价高昂。综合研究结果显示,恶意和违法攻击导致的数据泄露事件占比高达37%,而因此造成的数据外泄在九个国家中也成本最高。美国和德国公司因恶意或违法攻击导致的数据外泄事故成本最高,各项受损记录成本分别为277美元和214美元。而巴西和印度的各项受损记录成本最低,分别为71美元和46美元。德国公司最有可能遭遇恶意或违法攻击,紧接着是澳大利亚和日本。
· 部分企业因自身管理到位而使数据泄漏成本降低。美国和英国公司的信息安全措施严格、事故响应及时,同时他们还任命了首席信息安全官来专门负责企业的安全问题,因此其数据泄露成本下降幅度最大。美国和法国还通过雇佣数据泄漏补救顾问来降低成本。
为防止数据泄露并有效降低成本,赛门铁克推荐企业遵守以下最佳实践:
1. 教育和培训员工如何处理机密信息;
2. 采用数据丢失防护技术来寻找敏感信息并防止离开公司后的信息外泄;
3. 部署加密和强身份验证解决方案;
4. 制定事故响应计划,包括采取适当的措施来通知客户。