数据泄露事件平均损失386万美元

在抵御网络攻击问题上，时间就是金钱。

最近，波耐蒙研究所受IBM委托，针对遭遇数据泄露的524家公司企业做了调查研究，收集了3200名员工的看法和意见，结果喜忧参半。这份题为《2020数据泄露事件损失报告》揭示，尽管相比2019年的392万美元，今年数据泄露事件平均损失386万美元有了明显下降，但成熟公司企业的价签显然要低得多，而安全自动化和事件响应过程毫无起色的公司企业付出的代价则高昂得多。与之类似，每记录平均损失也因暴露或被盗数据的类型不同而迥异。

波耐蒙分析的数据泄露事件中，最受攻击者青睐的记录类型是客户的个人可识别信息（PII）。80%的被黑公司企业报告称，窃贼特别针对PII下手。PII被盗的代价也是最高昂。调查数据显示，遗失或被盗数据每记录平均损失为146美元；但若被盗记录中包含客户个人信息，公司的每记录平均损失就上升至150美元。源自恶意攻击的数据泄露事件中，每记录平均损失增长至175美元。研究中1/4的数据泄露事件涉及匿名客户数据，平均损失为每记录143美元，其中源自恶意攻击的数据泄露事件每记录平均损失升至171美元。

垂直产业之间损失差异巨大

最近几年，安全事件的平均损失涨涨落落，但总的说来都在350万美元到400万美元之间起伏。然而，行业之间安全事件损失的差异巨大。公司企业发现和控制安全事件平均要花费280天。医疗保健行业在这方面表现相当差，数据泄露事件的平均损失为713万美元。调查分析的17个行业中，医疗保健行业平均损失最高，且发现和控制安全事件耗费的平均时间高达329天。 

最大的损失因素：业务损失

随着越来越多的公司企业迈向数字化，依赖IT服务完整性和可用性的收益份额也越来越大。不再回头的客户，也就是损失掉的业务，占到了每事件平均损失的40%（2020年，这一数字为152万美元）。其他业务损失源自客户流失增多、系统宕机、因公司声誉受损而需寻找新业务的支出、法务开支和监管处罚。 

重大数据泄露事件样例中，暴露超过100万条记录的公司企业，其损失远超总体平均数。100万到1000万条记录的数据泄露事件，平均损失为5000万美元，是10万条记录以下规模数据泄露事件386万美元平均损失的25倍。暴露5000万条记录以上的数据泄露事件，平均损失为3.92亿美元，超出总体平均数100倍。

恶意攻击是安全事件的主要源头

波耐蒙发现，恶意攻击是数据泄露最常见的原因（52%），其次是人为失误（23%）和系统故障（25%）。这几类的平均损失是427万美元。数据泄露的另一主要原因是云端错误配置。

导致损失最多的恶意数据泄露原因是凭证被盗。遭遇恶意数据泄露事件的公司企业中，几乎20%都是由于登录凭证被盗。此类原因所致的数据泄露事件平均总损失，从100万美元增加到了477万美元。

除了被盗凭证，恶意攻击所致数据泄露事件中另一常见威胁途径（19%）是错误配置的云服务器。此类攻击使数据泄露事件平均损失增加了超过50万美元，达到441万美元之多（高于总体每事件平均损失14%）。

民族国家攻击最贵

虽然恶意满满的攻击是勒索型网络罪犯发起的，但民族国家发起的攻击却导致了最为严重的经济损失。波耐蒙的数据显示，2020年调查研究中，仅有刚过半数（53%）的恶意攻击是网络勒索者的杰作。其他攻击由民族国家和激进黑客实施（各13%），另有21%出处不明。尽管没那么常见，国家支持的攻击导致了平均443万美元的数据泄露损失；与之相对的是，经济利益驱动的网络罪犯发起的攻击，所致平均损失为423万美元。

安全自动化可减少损失 

公司企业中利用安全自动化，尤其是基于人工智能的安全自动化解决方案的占比，从2018年的15%增长到了2020年的21%。这些解决方案一直在持续减少数据泄露的平均损失。没有自动化安全防护的公司企业，每安全事件平均支出603万美元，是全面部署了安全自动化的公司企业平均损失（245万美元）的两倍。相对于没有部署安全自动化的公司企业，全面部署安全自动化的公司企业每事件平均省下的358万美元，比2018年调查研究中的155万美元节省额增长颇多。

时间就是金钱

在当今数字世界，宕机和安全事件所造成的经济影响，比以往任何时候都大。由于大量员工被迫在家办公，新冠疫情已经极大影响了公司企业的运营方式。与此同时，视频会议、云应用、VPN接入和网络资源的需求激增，也给IT部门带来了新的挑战。调查研究中，76%的受访者称，远程办公会延长识别和控制安全事件的时间，70%的受访者表示这会增加安全事件的损失。

“平均识别时间”指的是发现安全事件发生所需要的时间。缓解时间描述的是公司控制和解决安全事件所需要的时间。这些都是评估公司安全事件响应与控制过程有效性的常用基准。发现和控制事件越快。损失就越少。