数据泄露的隐性成本
随着技术的发展,业务和风险模型也在发展。但很多企业没有真正意识到与数据泄露有关的成本,或者在通过实施工具以防止未来攻击时必须考虑哪些因素。
当涉及到防范数据泄露的安全问题时,企业往往只关注其系统受到攻击的可能性或所在行业受攻击的程度。为了更好地了解公司在加强防御时会发生什么,有必要将攻击的规模和可能性放在一起考虑。
网络安全应该更考虑风险
了解风险并意识到数据泄露的真正成本有助于做出更明智的决策。一旦从可能性和规模的角度了解了数据泄露的风险,公司就应该考虑数据泄露或勒索软件攻击的成本和防范成本。而且,网络攻击的真正代价往往在公司度过攻击后才更明显。
考虑到的隐形成本包括补救、收入损失、声誉损害、国家安全及生命。然而并非所有这些因素都是可衡量并有形的风险。
资金成本
法律成本是数据泄露的最大支出之一,其次是补救成本、GDPR罚款、数据丢失、通知成本或其他宏观损失。对于勒索软件攻击,数据和专家倾向于关注勒索的成本(赎金),而不是关注更大的收入损失。
网络攻击可以冻结公司的关键系统,导致运转停止,从而导致利润下降或客户流失。
持有机密客户资料、医疗记录、社会安全号码、地址或其他受高度保护的信息的公司极有可能因网络黑客攻击而失去信任和业务。数据泄露可能会进入公众视野,导致声誉受损和失去信任的潜在客户流失。
Experian的《2022年数据泄露行业预测》研究表明,威胁行为者将“更频繁地攻击电网、水坝或交通网络等物理基础设施”。
美国科洛尼尔输油管道公司(Colonial Pipeline)等供应链危机表明,迫切需要考虑与国家安全相关的网络风险。
生命成本
在随时都可能发生网络攻击的时代,网络安全的健壮与否也关系着生命安全。IBM和 Ponemon Institute分析了2020年5月至2021年3月全球500多家组织经历的大约100000起数据泄露事件,发现在医疗保健领域的数据泄露事件平均成本高达923万美元,比前一年增加了200万美元。
如果医院因数据泄露而受到影响并且系统受到影响,关键技术可能会暂时无法使用并导致死亡。如果发生这种情况,医疗保健公司不仅需要考虑情感负担和声誉损害,而且还会面临诉讼和其他重大财务负担的风险。
如果医院产生数据泄露而且系统受损,关键技术可能会暂时无法使用,同时影响患者生命安全,那么这家医院不仅要承担情感负担和声誉受损的影响,还可能面临诉讼和其他重大财务负担。
此外,2019年的一项卫生服务研究表明,一家遭遇网络入侵的医院每发生1万例心脏病发作,就会比医院的典型心脏病发作死亡率增加大约36人。
网络安全也应该涉及业务的各个方面,以保护组织、员工和客户数据免遭网络攻击者侵害。
预防成本与潜在违约成本
与数据泄露或勒索软件攻击相关的潜在成本可能非常高。如下图所示,损失因攻击类型而异。
资料来源:ThreatConnect
基于网络攻击的潜在成本,对网络安全工具的投资不仅值得,而且必不可少。
提高软件安全降低数据泄露风险
根据去年Verizon数据泄露调查报告显示,39%的数据泄露是由应用程序漏洞造成的。提高软件安全性,降低漏洞数有利于防范数据泄露。因此企业在开发软件的过程中有必要将安全放在开发周期全流程当中。静态代码安全检测可以检测所有的代码级别可执行路径组合,直接面向发现语义语法问题等和一些运行时出现的漏洞,提供实时、可操作的反馈,帮助开发人员能够在问题出现后立即修复。
随着数字时代的来临,数据已成为社会运转和人们便捷生活重要的基础保障。保护数据安全已成为网络安全的核心任务。
文章来源:
https://www.darkreading.com/attacks-breaches/hidden-costs-of-a-data-breach