數據泄露的隱性成本

隨著技術的發(fā)展，業(yè)務和風險模型也在發(fā)展。但很多企業(yè)沒有真正意識到與數據泄露有關的成本，或者在通過實施工具以防止未來攻擊時必須考慮哪些因素。

當涉及到防范數據泄露的安全問題時，企業(yè)往往只關注其系統(tǒng)受到攻擊的可能性或所在行業(yè)受攻擊的程度。為了更好地了解公司在加強防御時會發(fā)生什么，有必要將攻擊的規(guī)模和可能性放在一起考慮。

網絡安全應該更考慮風險

了解風險并意識到數據泄露的真正成本有助于做出更明智的決策。一旦從可能性和規(guī)模的角度了解了數據泄露的風險，公司就應該考慮數據泄露或勒索軟件攻擊的成本和防范成本。而且，網絡攻擊的真正代價往往在公司度過攻擊后才更明顯。

考慮到的隱形成本包括補救、收入損失、聲譽損害、國家安全及生命。然而并非所有這些因素都是可衡量并有形的風險。

資金成本

法律成本是數據泄露的最大支出之一，其次是補救成本、GDPR罰款、數據丟失、通知成本或其他宏觀損失。對于勒索軟件攻擊，數據和專家傾向于關注勒索的成本(贖金)，而不是關注更大的收入損失。

網絡攻擊可以凍結公司的關鍵系統(tǒng)，導致運轉停止，從而導致利潤下降或客戶流失。

持有機密客戶資料、醫(yī)療記錄、社會安全號碼、地址或其他受高度保護的信息的公司極有可能因網絡黑客攻擊而失去信任和業(yè)務。數據泄露可能會進入公眾視野，導致聲譽受損和失去信任的潛在客戶流失。

Experian的《2022年數據泄露行業(yè)預測》研究表明，威脅行為者將“更頻繁地攻擊電網、水壩或交通網絡等物理基礎設施”。

美國科洛尼爾輸油管道公司(Colonial Pipeline)等供應鏈危機表明，迫切需要考慮與國家安全相關的網絡風險。

生命成本

在隨時都可能發(fā)生網絡攻擊的時代，網絡安全的健壯與否也關系著生命安全。IBM和 Ponemon Institute分析了2020年5月至2021年3月全球500多家組織經歷的大約100000起數據泄露事件，發(fā)現(xiàn)在醫(yī)療保健領域的數據泄露事件平均成本高達923萬美元，比前一年增加了200萬美元。

如果醫(yī)院因數據泄露而受到影響并且系統(tǒng)受到影響，關鍵技術可能會暫時無法使用并導致死亡。如果發(fā)生這種情況，醫(yī)療保健公司不僅需要考慮情感負擔和聲譽損害，而且還會面臨訴訟和其他重大財務負擔的風險。

如果醫(yī)院產生數據泄露而且系統(tǒng)受損，關鍵技術可能會暫時無法使用，同時影響患者生命安全，那么這家醫(yī)院不僅要承擔情感負擔和聲譽受損的影響，還可能面臨訴訟和其他重大財務負擔。

此外，2019年的一項衛(wèi)生服務研究表明，一家遭遇網絡入侵的醫(yī)院每發(fā)生1萬例心臟病發(fā)作，就會比醫(yī)院的典型心臟病發(fā)作死亡率增加大約36人。

網絡安全也應該涉及業(yè)務的各個方面，以保護組織、員工和客戶數據免遭網絡攻擊者侵害。

預防成本與潛在違約成本

與數據泄露或勒索軟件攻擊相關的潛在成本可能非常高。如下圖所示，損失因攻擊類型而異。

資料來源：ThreatConnect

基于網絡攻擊的潛在成本，對網絡安全工具的投資不僅值得，而且必不可少。

提高軟件安全降低數據泄露風險

根據去年Verizon數據泄露調查報告顯示，39%的數據泄露是由應用程序漏洞造成的。提高軟件安全性，降低漏洞數有利于防范數據泄露。因此企業(yè)在開發(fā)軟件的過程中有必要將安全放在開發(fā)周期全流程當中。靜態(tài)代碼安全檢測可以檢測所有的代碼級別可執(zhí)行路徑組合，直接面向發(fā)現(xiàn)語義語法問題等和一些運行時出現(xiàn)的漏洞，提供實時、可操作的反饋，幫助開發(fā)人員能夠在問題出現(xiàn)后立即修復。

隨著數字時代的來臨，數據已成為社會運轉和人們便捷生活重要的基礎保障。保護數據安全已成為網絡安全的核心任務。

文章來源：

https://www.darkreading.com/attacks-breaches/hidden-costs-of-a-data-breach