Ponemon研究所的一项研究发现,数据泄露、丢失等破坏行为的平均开销正在逐年增加。这其中,对于一家企业来说,首当其冲的就是业务的损失,占到了总花费的69%。
数据破坏是一项需要花钱的事情,而且要想让它什么时候变得价格低廉一些,几乎是不可能的。尤其是由第三方组织引起的的数据破坏行为。
但是,根据Ponemon研究所的最新研究我们发现,数据破坏的开销不只是接收到通知后的那种单一的开销。它们同样使企业蒙受失去重要业务和商业机会的损失,这是为什么数据破坏行为会给企业带来昂贵开销的主要原因。
根据由PGP发起的一项调查,我们看到,数据破坏的平均花费从检测到通知再到回复,在过去的2008年是202美元。相对于2007年的197美元来说,可以看到,数字在增长。
研究显示,2008年,业务方面的经济损失数字为全部数据破坏开销的69%,多于2007年的65%和2006年的54%。
Ponemon研究所的研究发现是基于43个遭受数据破坏的集团的经验总结出来的。他们中的84%都在过去经历过一次数据破坏行为。
正如其他研究发现一样,Ponemon研究所通报说道,大部分的数据破坏行为都不是由于黑客引起的,而是源于某些内部人士的疏忽大意。有关第三方组织(如外包商、承建商和顾问公司)的行为经披露占到了被告者的44%,是2005年所占百分比的双倍数字还多。第三方组织的花费往往在52美元以上,平均为231美元 。
“我感觉,现在很多客户仍然将防御外部威胁看得远高于内部威胁,并投入过多的努力在上面,”身份和准入管理厂商SailPoint科技首席执行官Mark McClain说,“相比那些行为不轨的员工来说,他们有更多的力量来保护自己抵御那些臭名昭著的东欧黑客。”
然而,当我们看到Heartland支付系统违反的案例和在这之前的无数有关联的事件时,我们看到了网络骗子不约而同的图谋,那就是,他们总是着眼于企业的数据。在Heartland的这个实例中,公司首先发现了涉及信用卡交易的可疑活动,这比交易从Visa 转到 MasterCard。在随即他们展开的调查中发现,黑客早已在他们的系统中部署了恶意软件。
一旦数据破坏行为发生,企业往往会对培训加大资金投入和采取更进一步的加密策略。
“他们要做的第一件事就是按照安全手册的条文进行培训,他们这么做似乎是合理的,因为这些行为都来自于内部人士的疏忽。”研究所的学会主席Larry Ponemon说,“但是从技术角度来看,违反行为发生后第一应该做的事情是进行加密,我们的研究发现似乎暗示出了加密手段的一个更全面和战略性的用途。”
自数据破坏行为去年为大家所认识后,Heartland官员已经确立了一个内部部门专门致力于开发端到端的加密技术,保护在金融交易过程中的商家和消费者的信息。
Heartland 首席执行官Robert O. Carr说《支付卡行业数据安全标准》已经达到了一定影响作用,因此激进的网络窃贼也需要更进一步的方法了。
“对于确保支付系统安全来说,世界上没有绝对的灵丹妙药,所以持之以恒的警觉意识和管理的基础设施将一直被需要。”他在一份声明中说:“尽管如此,我相信,开发和部署端到端的加密技术将为我们提供使安全防护水平不断提高的能力,而它们已经变得炙手可热。”
有人说,支付卡行业数据安全标准(Payment Card Industry (PCI) Data Security Standard)可能也做不到充分保护客户或商家,这一观点引起了一场轰轰烈烈的辩论,人们开始怀疑在IT行业法律的所扮演的到底是什么样的角色。尽管,一个人认为法规中的有关安全技术的一些指导方针是不错的想法,但是这其中还是存在着不容忽视的风险,那就是,法律始终是落后在时间后面的,Ponemon对人们这样警示道。
“法规条例的滞后性不用多说,”他说,“今天按照法律,你必须采取这样的加密策略或是那样的软件保护,但是,立法者根本没意识到其余的所有的巨大的安全威胁。导致的结果就是,你正全力以赴地执行的一些做法可能永远落后于那些最新兴的科学技术。这个世界不存在受法律限制的创新。”