【IT168 技术】Ponemon Institute在其第六次数据泄漏年度报告中发现,企业的数据泄漏平均成本连续五年不断攀升,已升至720万美元。
赛门铁克与Ponemon Institute在3月8日发布的2010年数据泄漏报告显示,不断攀升的还不止总成本,每次受影响的平均成本也增加到了214美元。在2009年,平均成本为204美元,每次数据泄漏企业的总成本为680万美元。该报告还称,数据泄漏的总成本自2006年以来呈逐年增长趋势,Ponemon Institute预计短期内将无下降倾向。
Ponemon Institute创办者和董事长Larry Ponemon表示:“企业因遭受数据泄漏而花费的成本还将继续增长。”
Application Security 的CTO Josh Shaul 表示,Ponemon Institute在计算成本时综合了很多因素,比如检测和调查数据泄漏的程序者、如何通报受影响者的,以及部署新恢复方案解决问题的成本。当然,还存在其他相关费用,比如设立呼叫中心以使受影响者能够获得更多信息,支付信用保障服务,因客户不再信任企业维护数据安全而导致的销售额和生产能力的损失。
Shaul还表示,如果监管者进行严厉打击处罚,也将产生额外的费用,就像最近医疗机构因违反HIPAA而受到的罚款一样。
Ponemon Institute研究发现,数据泄漏成本近两年连续增长的原因在于企业都迅速应对这些事件。调查显示,迅速反应的企业相比动作缓慢的企业,都会多花费54%的成本。
约43%的公司在一个月内通报受影响者发生数据泄漏,面临了每个记录268美元的平均成为本。相比2009年,2010年许多公司或7%的公司都有更加快速的反应,但它们的成本也提高了22%。那些长时间才做一次通报的公司则仅需为每个记录支付174美元。
许多法规都规定企业必须在发现数据泄漏之后60到120天内通报受影响客户。
然而数据泄漏的总成本根据企业的规模、行业、位置和现有安全规范而不同,Ponemon Institute发现丢失案件的数量与事件成本之间呈正比。
报告指出,无论是来自内部还是外部的恶意攻击,其造成的损失都是最大的,而发生的频率似乎在不断的增加。近三分之一(确切的说是31%)的记录都涉及了恶意或犯罪行为,相比2009年增加了7%。恶意攻击有可能让公司为每个受害记录损失318美元的成本,相比2009年增加了43%。
尽管恶意攻击在不断的增加,可最常见的威胁仍来自员工的疏忽。因疏忽导致的泄漏案件数量(不妥善保护数据)略微增长至41%,每个记录平均成本位196美元。
赛门铁克企业安全群组高级副总裁Francis deSouza称:“各级企业将继续面临着保证信息安全的挑战,但绝大数的数据泄漏都是可预防的。企业必须建立起‘安全文化’,其中包括培训、数据安全策略和技术。”
发生数据泄漏之后,企业也继续主要依靠培训和宣传方案来强调信息安全。有63%的受访者提到了培训,而实施加密机制是数据泄漏的第二个主要补救方式,有61%的受访者表示采用该方法。而既进行加密又实施数据丢失防护的企业自2008年以来增加了17%。
加密数据最大程度的降低了数据丢失或被盗的影响,因为盗贼或未经授权的用户不能轻易的访问敏感信息。赛门铁克还建议企业将信息保护措施融入业务流程,所以安全并非只是亡羊补牢。
数据泄漏记录数量范围在4200 到105000起。2010 年度报告:美国数据泄漏成本基于2010发生的真实数据泄漏记录,其中涉及来自15个不同行业的51家公司,包括金融、卫生保健、科技和交通。