數(shù)據(jù)泄露的隱性成本

隨著技術(shù)的發(fā)展，業(yè)務(wù)和風(fēng)險(xiǎn)模型也在發(fā)展。但很多企業(yè)沒(méi)有真正意識(shí)到與數(shù)據(jù)泄露有關(guān)的成本，或者在通過(guò)實(shí)施工具以防止未來(lái)攻擊時(shí)必須考慮哪些因素。

當(dāng)涉及到防范數(shù)據(jù)泄露的安全問(wèn)題時(shí)，企業(yè)往往只關(guān)注其系統(tǒng)受到攻擊的可能性或所在行業(yè)受攻擊的程度。為了更好地了解公司在加強(qiáng)防御時(shí)會(huì)發(fā)生什么，有必要將攻擊的規(guī)模和可能性放在一起考慮。

網(wǎng)絡(luò)安全應(yīng)該更考慮風(fēng)險(xiǎn)

了解風(fēng)險(xiǎn)并意識(shí)到數(shù)據(jù)泄露的真正成本有助于做出更明智的決策。一旦從可能性和規(guī)模的角度了解了數(shù)據(jù)泄露的風(fēng)險(xiǎn)，公司就應(yīng)該考慮數(shù)據(jù)泄露或勒索軟件攻擊的成本和防范成本。而且，網(wǎng)絡(luò)攻擊的真正代價(jià)往往在公司度過(guò)攻擊后才更明顯。

考慮到的隱形成本包括補(bǔ)救、收入損失、聲譽(yù)損害、國(guó)家安全及生命。然而并非所有這些因素都是可衡量并有形的風(fēng)險(xiǎn)。

資金成本

法律成本是數(shù)據(jù)泄露的最大支出之一，其次是補(bǔ)救成本、GDPR罰款、數(shù)據(jù)丟失、通知成本或其他宏觀損失。對(duì)于勒索軟件攻擊，數(shù)據(jù)和專家傾向于關(guān)注勒索的成本(贖金)，而不是關(guān)注更大的收入損失。

網(wǎng)絡(luò)攻擊可以凍結(jié)公司的關(guān)鍵系統(tǒng)，導(dǎo)致運(yùn)轉(zhuǎn)停止，從而導(dǎo)致利潤(rùn)下降或客戶流失。

持有機(jī)密客戶資料、醫(yī)療記錄、社會(huì)安全號(hào)碼、地址或其他受高度保護(hù)的信息的公司極有可能因網(wǎng)絡(luò)黑客攻擊而失去信任和業(yè)務(wù)。數(shù)據(jù)泄露可能會(huì)進(jìn)入公眾視野，導(dǎo)致聲譽(yù)受損和失去信任的潛在客戶流失。

Experian的《2022年數(shù)據(jù)泄露行業(yè)預(yù)測(cè)》研究表明，威脅行為者將“更頻繁地攻擊電網(wǎng)、水壩或交通網(wǎng)絡(luò)等物理基礎(chǔ)設(shè)施”。

美國(guó)科洛尼爾輸油管道公司(Colonial Pipeline)等供應(yīng)鏈危機(jī)表明，迫切需要考慮與國(guó)家安全相關(guān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

生命成本

在隨時(shí)都可能發(fā)生網(wǎng)絡(luò)攻擊的時(shí)代，網(wǎng)絡(luò)安全的健壯與否也關(guān)系著生命安全。IBM和 Ponemon Institute分析了2020年5月至2021年3月全球500多家組織經(jīng)歷的大約100000起數(shù)據(jù)泄露事件，發(fā)現(xiàn)在醫(yī)療保健領(lǐng)域的數(shù)據(jù)泄露事件平均成本高達(dá)923萬(wàn)美元，比前一年增加了200萬(wàn)美元。

如果醫(yī)院因數(shù)據(jù)泄露而受到影響并且系統(tǒng)受到影響，關(guān)鍵技術(shù)可能會(huì)暫時(shí)無(wú)法使用并導(dǎo)致死亡。如果發(fā)生這種情況，醫(yī)療保健公司不僅需要考慮情感負(fù)擔(dān)和聲譽(yù)損害，而且還會(huì)面臨訴訟和其他重大財(cái)務(wù)負(fù)擔(dān)的風(fēng)險(xiǎn)。

如果醫(yī)院產(chǎn)生數(shù)據(jù)泄露而且系統(tǒng)受損，關(guān)鍵技術(shù)可能會(huì)暫時(shí)無(wú)法使用，同時(shí)影響患者生命安全，那么這家醫(yī)院不僅要承擔(dān)情感負(fù)擔(dān)和聲譽(yù)受損的影響，還可能面臨訴訟和其他重大財(cái)務(wù)負(fù)擔(dān)。

此外，2019年的一項(xiàng)衛(wèi)生服務(wù)研究表明，一家遭遇網(wǎng)絡(luò)入侵的醫(yī)院每發(fā)生1萬(wàn)例心臟病發(fā)作，就會(huì)比醫(yī)院的典型心臟病發(fā)作死亡率增加大約36人。

網(wǎng)絡(luò)安全也應(yīng)該涉及業(yè)務(wù)的各個(gè)方面，以保護(hù)組織、員工和客戶數(shù)據(jù)免遭網(wǎng)絡(luò)攻擊者侵害。

預(yù)防成本與潛在違約成本

與數(shù)據(jù)泄露或勒索軟件攻擊相關(guān)的潛在成本可能非常高。如下圖所示，損失因攻擊類型而異。

資料來(lái)源：ThreatConnect

基于網(wǎng)絡(luò)攻擊的潛在成本，對(duì)網(wǎng)絡(luò)安全工具的投資不僅值得，而且必不可少。

提高軟件安全降低數(shù)據(jù)泄露風(fēng)險(xiǎn)

根據(jù)去年Verizon數(shù)據(jù)泄露調(diào)查報(bào)告顯示，39%的數(shù)據(jù)泄露是由應(yīng)用程序漏洞造成的。提高軟件安全性，降低漏洞數(shù)有利于防范數(shù)據(jù)泄露。因此企業(yè)在開發(fā)軟件的過(guò)程中有必要將安全放在開發(fā)周期全流程當(dāng)中。靜態(tài)代碼安全檢測(cè)可以檢測(cè)所有的代碼級(jí)別可執(zhí)行路徑組合，直接面向發(fā)現(xiàn)語(yǔ)義語(yǔ)法問(wèn)題等和一些運(yùn)行時(shí)出現(xiàn)的漏洞，提供實(shí)時(shí)、可操作的反饋，幫助開發(fā)人員能夠在問(wèn)題出現(xiàn)后立即修復(fù)。

隨著數(shù)字時(shí)代的來(lái)臨，數(shù)據(jù)已成為社會(huì)運(yùn)轉(zhuǎn)和人們便捷生活重要的基礎(chǔ)保障。保護(hù)數(shù)據(jù)安全已成為網(wǎng)絡(luò)安全的核心任務(wù)。

文章來(lái)源：

https://www.darkreading.com/attacks-breaches/hidden-costs-of-a-data-breach