今年數據泄露事故每條記錄的成本達到154美元。

根據IBM和Ponemon研究所近日發布的報告顯示，今年數據泄露事故每條記錄的成本達到154美元，這比2014年的145美元增長了12%。

此外，單起數據泄露事故的平均總成本上升了23%，達到379萬美元。

而在上個月Verizon的研究結果則顯示數據泄露每條記錄平均僅為58美分，這兩個調查結果簡直是天壤之別。

Verizon的計算結果是基于191個保險索賠，這也是其年度數據泄露事故調查報告的一部分。

但是Ponemon研究所主席兼創始人Larry Ponemon稱，保險理賠并不能顯示完整的情況。

有的公司沒有購買足夠的保險來涵蓋數據泄露事故的總成本，這些保險不包括間接費用或業務損失。

他舉例說，Target遭遇的數據泄露事故估計給該公司帶來超過10億美元的損失，但該公司僅投保1億美元。

在一般情況下，企業會購買足夠的保險來涵蓋其50%的固定資產價值，但只有12%數字資產的價值。

業務損失也是數據泄露總成本的很大一部分。客戶流失、聲譽和商譽受損等，這總共會給每家公司帶來157萬美元的損失，上年這個數字還是133萬美元。

“我們花了很多時間來基于真正的成本構建分析模型，”他補充說，Ponemon十年來一直在收集這種數據。今年，Ponemon對11個國家的350個公司的數據進行了分析，這些公司都遭受了數據泄露事故。

最后，他表示，Verizon的回歸分析是基于非常少量的數據點，這些并不一定具有代表性。

“但Verizon數據泄露事故調查報告的主體部分非常有趣，其中表明該公司專注于未來，他們應該繼續其研究。”

IBM安全部門副總裁Caleb Barlow稱，在企業遭遇數據泄露事故后，至少應該發送郵件告知客戶他們遭受攻擊。“Verizon做了很不錯的工作，但我們不得不說，58美分并沒有涵蓋企業的總損失。”

對于數據泄露事故，醫療保健行業的成本最高

根據Ponemon的報告顯示，在不同行業和地域，數據泄露事故的成本都各有不同。

美國的每記錄成本最高，為217美元，其次是德國，為211美元，印度最低，為56美元。

從行業來看，最高成本是在醫療保健行業，平均每條記錄為363美元。

這是因為醫療記錄中的信息比信用卡號有著更長的使用期。

“對于信用卡，信用卡公司可以取消原有的信用卡號碼，再啟用新的號碼，”他表示，“但醫療記錄可以用來建立永久訪問。”醫療記錄包含了豐富的個人信息，包括社保號和保險號。

他說道：“這些號碼可以用來建立信用或者用于在10年或15年內竊取你的身份信息。”這還不包括醫療欺詐的成本。

影響數據泄露成本的因素

Ponemon報告還分析了可能影響數據泄露事故成本的其他因素，與行業或地域因素不同(+本站微信networkworldweixin)，很多這些因素正受到管理控制。

例如，提前部署事件響應小組可以將每記錄成本降低12.6美元，利用加密可降低12美元的成本，員工培訓則可降低8美元。如果業務連續性管理人員是事件響應小組的成員，成本可降低7.1美元。CISO領導層可降低5.6美元，董事會參與可降低5.5美元，網絡保險可降低4.4美元。

“如果提前做好準備，讓董事會參與進來，并具有保險保障，也已經做了應該做的工作，他們面臨的數據泄露成本會更低，”Barlow稱，“我們有確鑿的證據證明，這樣做的企業的損失要低得多。你沒有幾天來作出響應，你甚至沒有幾小時的時間，你只有幾分鐘。”

增加成本的因素是聘請外部顧問，這會增加4.5美元的成本。如果出現設備丟失或被盜，成本平均增加9美元。而最大的因素是，在數據泄露事故中，涉及第三方。這將給每條記錄的成本增加了16美元，從154美元到170美元。

成本隨時間增長

Ponemon發現，數據泄露事故發現的時間與數據泄露事故的總成本之間，還有緩解數據泄露事故的時間與成本之間，都存在正比的關系。

平均而言，企業要花256天發現由惡意攻擊者造成的數據泄露事故，并花82天來遏制它。

系統故障造成的數據泄露事故要花173天來發現，60天來遏制。而由人為錯誤造成的事故需要158天才會被發現，以及57天來緩解事故。