2018数据泄露成本研究 公司如何降低数据泄露成本?哪些行业的成本最高?

2018数据泄露成本研究首次分析了与违规行为相关的成本,范围从100万到5000万失踪记录。该研究得出,数据泄露的平均成本为386万美元,平均成本比去年增加了6.4%。数据泄露除了造成经济损失外,其造成的声誉损害也可能会对受害者产生重大影响,声誉损害可能会使公司退出市场,因为商业伙伴会认为这是不值得信任的。最终,研究得出的排名中,医疗保健行业的数据泄露成本最高,其次是金融和服务行业。

声誉损害可能会使公司退出市场,因为商业伙伴会认为这是不值得信任的。

数据泄露成本是多少?

该研究得出的第一个信息是,数据泄露的平均成本为386万美元,但影响超过100万条记录的大型事件要贵得多。

图1 – 数据泄露的全球成本

该研究显示,违规的平均总成本从220万美元(对于记录损失少于10,000的事件)到690万美元(对于超过50,000个受损记录的事件)。大规模安全漏洞的成本从4000万美元到100万美元的记录损失到3.5亿美元,其中5000万条记录丢失。

例如,涉及5000万条记录的数据泄露将导致总成本为3.554亿美元。

图2 – 数据泄露大小的平均总成本

研究人员证实,公司的平均成本比去年增加了6.4%。

虽然与五年平均值相比,13个国家的组织数据泄露成本增加,但专家指出,巴西和日本的数据已经减少。大多数安全漏洞(大约48%)是由恶意或犯罪攻击造成的。人均相关费用为157美元。

其他原因是人为错误(27%),人均成本为131美元,系统故障(25%)为人均128美元。

“今年我们发现,数据泄露的平均总成本,每个丢失或被盗记录的平均成本(人均成本)以及数据泄露的平均规模都超过了2017年的报告平均值,平均总成本从3.62美元上升到386万美元,增长了6.4%。每个失去的记录的平均成本从141美元上升到148美元,增长了4.8% 这项研究中数据泄露的平均规模增加了2.2%。”

根据该研究,虽然有几个因素影响事件的总体成本,但第三方参与是最重要的。

报告指出:

“如果第三方造成数据泄露,那么每次折衷记录的成本增加超过13美元,调整后的平均成本为161美元,高于每条记录148美元。在违规时正在进行重大云迁移的组织
将人均成本增加了12美元,调整后的平均成本为160美元,高于每条记录148美元。”

今年专家们还首次评估了两个新成本因素的影响:安全自动化和物联网(IoT)设备的广泛使用。

图3 – 影响数据泄露成本的因素

该研究表明,数据泄露造成的声誉损害可能会对受害者产生重大影响,专家可以对其进行计算。

声誉损害可能会使公司退出市场,因为商业伙伴会认为这是不值得信任的。

由于安全漏洞而损失不到百分之一的客户的公司平均总成本为280万美元。专家估计,如果损失4%或更多,平均总成本为600万美元。

该研究表明,数据泄露在美国和中东是最昂贵的,而这类事件在巴西和印度的成本最低。

对每个地理区域成本的分析显示,美国的平均总成本为791万美元,中东为531万美元,而巴西为124万美元,印度为177万美元。美国人的另一个坏消息是:他们面临的平均人均成本最高为233美元,其次是加拿大,为202美元。

一些费用,如通知,在美国是最高的。它们包括管理数据泄露通知的所有活动,例如联系人数据库的管理,所有监管要求的确定,外部专家的参与,邮政支出,电子邮件退回和入站通信设置。

在美国,组织的通知费用最高为740,000美元,而在印度,它们最低为20,000美元。

哪些行业的数据泄露成本最高?

连续第8年,医疗保健行业的数据泄露成本最高。丢失或被盗医疗保健记录的平均成本为408美元,是跨行业平均值(148美元)的三倍。

在排名中,金融和服务行业的成本分别为206美元和181美元。

图4 – 每个部门的数据泄露成本

道德黑客培训 – 资源(INFOSEC)

公司如何降低数据泄露成本?

根据这项研究,确定违规行为的平均时间仍然很长 – 大约是197天 – 而遏制违规行为的平均时间是69天。

能够在不到100天的时间内发现安全漏洞的公司比那些耗时超过100天的公司节省了100多万美元。包含违规行为的公司在不到30天的时间内节省了超过100万美元,与那些花费超过30天来解决问题的公司相比。

研究人员强调,企业可以通过采用适当的策略来降低数据泄露的潜在成本。例如:事件响应团队的建立和加密的广泛使用。

“在今年的研究中,事件响应(IR)团队将每个受损记录的成本降低了14美元。因此,具有强大IR能力的公司可以预期调整后的成本为134美元,低于每条记录148美元,同样,加密的广泛使用使人均成本降低了13美元,调整后的平均成本为135美元,低于每条记录148美元。”

2018年数据违规研究成本中报告的数据证实,美国和中东在数据泄露后的反应上花费最多。

该报告还分析了数据泄露的间接成本,其中包括员工花费时间,精力和其他组织资源来通知受害者和调查事件,以及丧失商誉和客户流失。

美国间接人均成本最高为152美元,其次是加拿大116美元。

图5 – 数据泄露的直接和间接成本

今年发布的报告的另一个有趣的新颖之处在于,研究人员首次分析了采用AI和物联网设备的组织作为其安全策略的一部分的影响。

人工智能安全平台的采用可以让公司节省资金 – 研究人员估计每个受损记录的平均价格为8美元。机器学习系统,分析和编排是人类活动在早期识别和减轻安全漏洞方面的重要支持。

该分析发现的最令人担忧的数据是,只有15%的受访公司已完全部署了人工智能系统来保护其基础设施。

“该报告首次审查了安全自动化工具的效果,该工具使用人工智能,机器学习,分析和协调来增强或取代人为干预,以识别和控制违规行为,分析发现,广泛部署自动化安全技术的组织在违规总成本上节省了超过150万美元(288万美元,而没有部署安全自动化的用户则为443万美元)。”

影响数据泄露成本的另一个因素是使用物联网设备。广泛使用这一系列设备的企业平均每个折衷记录支付5美元。

研究人员还发布了一个数据泄露计算器,允许用户在受到安全事件影响的情况下探索行业,位置和成本因素。

发表评论