80％ 數(shù)據(jù)泄露事件導(dǎo)致客戶個人數(shù)據(jù)暴露；人工智能和自動化技術(shù)將數(shù)據(jù)泄露成本降低一半。

2020年 7月，IBM Security 發(fā)布《2020年數(shù)據(jù)泄露成本報告》，宣布其全球調(diào)研結(jié)果。該項調(diào)研研究了數(shù)據(jù)泄露的財務(wù)影響，揭示了數(shù)據(jù)泄露事件給企業(yè)造成的平均成本為 386萬美元，而其中員工賬戶遭受攻擊是最昂貴的原因。對全球 500多個組織數(shù)據(jù)泄露事件的深入分析發(fā)現(xiàn)，有 80％ 的事件導(dǎo)致了客戶個人身份信息 （PII，Personally Identifiable Information） 暴露。在因數(shù)據(jù)泄露而暴露的所有數(shù)據(jù)類型中，客戶 PII 也是造成企業(yè)耗費成本最高的一項。

企業(yè)越來越多地通過新的遠程工作模式、基于云的業(yè)務(wù)運營模式來訪問敏感數(shù)據(jù)，為此，該報告還闡明了這些數(shù)據(jù)遭受泄露后組織可能遭受的財務(wù)損失。IBM 的另一項調(diào)研發(fā)現(xiàn)，盡管這種工作方式轉(zhuǎn)變已經(jīng)引起了風險模型的變化，但超過半數(shù)的因新冠疫情而開始居家辦公的員工并未獲得有關(guān)如何處理客戶 PII 的新準則。

《2020年數(shù)據(jù)泄露成本報告》是由 IBM Security 贊助、Ponemon Institute 編寫，基于過去一年中遭受數(shù)據(jù)泄露的組織中的 3，200多名安全專業(yè)人員的深入訪談而編制。 

今年報告的一些重要調(diào)查結(jié)果包括：

智能技術(shù)將數(shù)據(jù)泄露成本降低了一半：與尚未部署安全自動化技術(shù)的公司相比，已完全部署了此類技術(shù)的公司（即利用 AI、分析和自動編排來識別和響應(yīng)安全事件的公司）所遭受的數(shù)據(jù)泄露成本要減少一半（245萬美元對 603萬美元）。

為受攻擊的憑證“買單”：在攻擊者利用被盜或受到攻擊的憑證訪問公司網(wǎng)絡(luò)而導(dǎo)致的事件中，公司遭受的數(shù)據(jù)泄露成本比全球平均水平高出近 100萬美元 － 每次數(shù)據(jù)泄露的成本高達 477萬美元。利用第三方漏洞是造成惡意數(shù)據(jù)泄露成本第二高的根本原因（高達 450萬美元）。

特大型數(shù)據(jù)泄露事件的成本飆升數(shù)百萬美元［2］：超過 5，000萬條記錄被泄露的數(shù)據(jù)泄露事件的成本，從去年的 3．88億美元躍升至 3．92億美元。泄露記錄條數(shù)從 40 到 5000萬條不等的數(shù)據(jù)泄露事件的平均成本達到 3．64億美元，與 2019年相比，該項成本增加了 1，900萬美元。

民族國家攻擊 － 最具破壞性的數(shù)據(jù)泄露：據(jù)報告研究，相對于其它攻擊者而言，始于民族國家的攻擊導(dǎo)致的數(shù)據(jù)泄露事件成本最高。由國家資助的攻擊造成的數(shù)據(jù)泄露事件平均成本為 443萬美元，高于出于經(jīng)濟動機的網(wǎng)絡(luò)犯罪分子和黑客造成的數(shù)據(jù)泄露事件成本。

IBM X－Force 威脅情報副總裁 Wendi Whitmore 表示：

在企業(yè)減緩數(shù)據(jù)泄露影響的能力方面，我們看到部署了自動化技術(shù)的公司擁有明顯的優(yōu)勢。隨著企業(yè)以更快的速度擴展其數(shù)字化業(yè)務(wù)，加上安全行業(yè)的人才短缺情況持續(xù)存在，團隊因需要保護更多的設(shè)備、系統(tǒng)和數(shù)據(jù)而不堪重負。安全自動化可以解決這一負擔，不僅可以實現(xiàn)更快的泄露響應(yīng)，而且還可以顯著提高成本效益?！?/p>

員工憑證及云配置錯誤－ 攻擊者選擇的切入點

報告顯示，憑證被盜或受攻擊以及云配置錯誤是導(dǎo)致惡意數(shù)據(jù)泄露事件的最常見原因，占比近 40％。2019年共有超過 85億條記錄被暴露，在五分之一的所分析數(shù)據(jù)泄露事件中，攻擊者使用了先前暴露的電子郵件和密碼，因此，企業(yè)已經(jīng)開始通過采用零信任的方法來重新考慮其安全戰(zhàn)略 － 重新審視他們在用戶身份驗證方面的方式和程度。

同樣，公司在應(yīng)對安全性復(fù)雜性（數(shù)據(jù)泄露成本的主要因素之一）方面遭遇的困境也使得云配置錯誤成為日益嚴峻的安全性挑戰(zhàn)之一。2020年的報告顯示，攻擊者有幾乎 20％ 的時間選擇通過云配置錯誤來破壞網(wǎng)絡(luò)，這導(dǎo)致數(shù)據(jù)泄露成本平均增加了 50多萬美元，達到了 441萬美元，使得云配置錯誤成為了報告中成本第三高的初始感染媒介。

國家資助的攻擊所造成的危害最大

2020年的報告顯示，盡管由國家資助的威脅攻擊者造成的數(shù)據(jù)泄露事件在惡意事件中的占比只有 13％，但此類卻是最具破壞性的事件，這表明出于經(jīng)濟動機的攻擊（占比為 53％）不會為企業(yè)帶來更高的財務(wù)損失。由國家支持的攻擊具有高度戰(zhàn)術(shù)性、長期性和隱蔽性等特點，而且針對的都是高價值數(shù)據(jù)，因此通常會導(dǎo)致受害者環(huán)境受到更大范圍的破壞，導(dǎo)致平均數(shù)據(jù)泄露成本增加至 443萬美元。

實際上，與其他地區(qū)相比，中東歷來是由國家發(fā)起的攻擊活動占比比較高的地區(qū)，其數(shù)據(jù)泄露平均成本每年增長 9％，在受調(diào)研的 17個地區(qū)中是數(shù)據(jù)泄露平均成本第二高的地區(qū)（高達 652萬美元）。［3］同樣，能源行業(yè)也是最經(jīng)常被民族國家攻擊所針對的領(lǐng)域之一，其數(shù)據(jù)泄露成本同比增長了 14％，平均達到 639萬美元。

高級安全技術(shù)有助于提升業(yè)務(wù)智能水平

該報告強調(diào)了實施高級安全技術(shù)的企業(yè)與落后企業(yè)之間的數(shù)據(jù)泄露成本鴻溝越來越大，具體來說：完全部署了安全自動化技術(shù)的公司與尚未部署此類技術(shù)的公司相比，節(jié)省了 358萬美元的成本。兩者之間的成本差距從 2018年的 155萬美元增加到了 200萬美元。

通過完全部署安全自動化技術(shù)，企業(yè)響應(yīng)數(shù)據(jù)泄露所需的時間大幅縮短，這是降低數(shù)據(jù)泄露成本的一個關(guān)鍵因素。該報告顯示，人工智能、機器學習、分析和其他形式的安全自動化技術(shù)使得完全部署了安全自動化技術(shù)的公司對數(shù)據(jù)泄露的響應(yīng)速度比尚未部署安全自動化的公司要快 27％ 以上，后者平均需要多出 74天才能識別并遏制數(shù)據(jù)泄露。

事件響應(yīng) （IR） 方面的準備程度也繼續(xù)嚴重影響著數(shù)據(jù)泄露的財務(wù)后果。既沒有成立 IR 團隊也沒有制定 IR 計劃測試的公司，其數(shù)據(jù)泄露平均成本為 529萬美元；而成立了 IR 團隊并使用桌面演練或模擬來測試 IR 計劃的公司，其數(shù)據(jù)泄露平均成本則比前者低 200萬美元，這再次表明了充分的準備可在網(wǎng)絡(luò)安全方面產(chǎn)生可觀的投資回報。

今年報告還披露了一些其他調(diào)查結(jié)果：

遠程工作風險將會招致成本 － 該報告顯示，由于混合工作模式導(dǎo)致工作環(huán)境受控程度較低，因此在新冠疫情期間采用遠程辦公模式的公司中，70％ 的公司預(yù)計將會增加數(shù)據(jù)泄露的成本。

盡管決策權(quán)有限，但首席信息安全官仍然要為數(shù)據(jù)泄露負責：盡管只有 27％ 的受訪者表示 CISO／CSO 是其所在組織的安全戰(zhàn)略和技術(shù)決策者，但 46％ 的受訪者表示，他們的 CISO／CSO 最終都要對數(shù)據(jù)泄露事件負責，該報告顯示，相比單次數(shù)據(jù)泄露的平均成本，任命 CISO 可以幫助企業(yè)節(jié)省 14．5萬美元的成本。

大多數(shù)購買網(wǎng)絡(luò)保險的企業(yè)都使用索賠來支付第三方費用：該報告顯示，購買了網(wǎng)絡(luò)保險的組織的數(shù)據(jù)泄露平均成本比全球平均值 386萬美元要低近 20萬美元。實際上，在購買了網(wǎng)絡(luò)保險的組織中，有 51％ 的組織將索賠用于支付第三方咨詢費和律師費，而 36％ 的組織將其用于受害者的賠償。只有 10％ 的受訪者表示會支付勒索軟件的費用或勒索費用。

區(qū)域和行業(yè)洞察力：盡管美國企業(yè)的數(shù)據(jù)泄露成本仍然居于全球首位，平均達到 864萬美元，但報告顯示，斯堪的納維亞地區(qū)的數(shù)據(jù)泄露成本同比增幅最大，接近 13％。醫(yī)療保健行業(yè)仍舊是數(shù)據(jù)泄露平均成本最高的行業(yè)，高達 713萬美元 － 與 2019年相比，增幅超過了 10％。

［1］ 該報告分析了 2019年 8月至 2020年 4月之間發(fā)生的數(shù)據(jù)泄露事件。關(guān)于采用分析方法的局限性，報告中亦有闡述。

［2］ 《2020年數(shù)據(jù)泄露成本報告》基于對特定樣本的單獨分析，研究了特大型數(shù)據(jù)泄露事件（即丟失或被盜記錄條數(shù)超過 100萬條的數(shù)據(jù)泄露事件）的成本。

［3］ IBM 2020 X－Force 威脅情報指數(shù)報告顯示

關(guān)于本次調(diào)研

本年度數(shù)據(jù)泄露成本報告基于對 2019年 8月至 2020年 4月發(fā)生的真實數(shù)據(jù)泄露事件的深入分析而編制，同時考慮了數(shù)百個成本因素，包括法律、法規(guī)和技術(shù)活動以及品牌資產(chǎn)損失、 客戶和員工生產(chǎn)效率損害等。