上月，IBM聯合 Ponemon Institute 發布報告《2016年數據泄露成本研究：全球分析》，包括美國、歐洲、亞太、中東、南非 等12個國家和地區，383家曾遭遇過數據泄露事件的企業進行調研，并從經濟影響的角度，給出企業在防范和減少事件所帶來的不良后果時的資源投入參考。

2014到2016財年數據泄露每條記錄的平均成本

安全牛第一時間拿到中文版報告全文，現將主要結論整理如下。

一、全球各行業數據泄露成本差別及影響數據泄露成本的因素

除了澳大利亞和南非，與去年相比，所有國家/地區的總平均成本均有所增加。美國樣本的總平均成本最高，價值超過701萬美元;德國緊隨其后，價值為501萬美元。相比之下，印度和南非企業的總平均成本最低，分別為160萬美元和187萬美元。

而在泄露和受損記錄數量上面，印度、阿拉伯地區和美國企業的丟失或被盜記錄平均數最高。南非的丟失或被盜記錄平均數最低。

泄露記錄平均數(按國家/地區劃分)

而在某些特定行業，比如受到嚴格監管醫療、教育和金融等，每條記錄平均數據泄露成本要遠高于158美元的整體平均值。相反，在公共部門、科研和運輸機構，每條記錄平均成本則低于整體平均值。

每條記錄平均成本(按行業劃分)

企業的一些措施可以降低數據泄露的成本，例如事件響應團隊、廣泛應用加密、員工培訓、參與威脅共享體系或業務持續性管理均有助于降低數據泄露時每條記錄平均成本。而第三方參與、大規模云遷移、緊急通知或設備丟失/被盜所引發的數據泄露則會增加泄露的平均成本。

16項對數據泄露時每條記錄平均成本有影響的因素

二、數據泄露成本構成及客戶流失趨勢

此次數據泄露成本構成主要包括三個方面，分別是“檢測和上報成本”、“告知成本”和“業務丟失成本”。

與檢測和上報相關的數據泄露成本主要用于取證和調查活動、評估和審計服務、危機團隊管理及高管和董事會溝通。加拿大的平均檢測和上報成本最高，為160萬美元。相比之下，印度平均成本最低，僅為53萬美元。

檢測和上報成本

相關活動包括創建聯系人數據庫、確定各類監管要求、聘請外部專家、郵政開支、電子郵件反彈及入站通信建立有關的 IT 活動等的告知成本，目前美國企業最高，告知成本為59萬美元。

告知成本

事后響應成本主要包括技術支持活動、入站通信、專項調查活動、補救措施、法律開支、產品折扣、身份保護服務及監管干預。其中美國和德國的事后響應和檢測相關成本最高，分別為為172萬美元和154萬美元

業務丟失成本構成包括非正常的客戶流動、客戶獲取活動成本上升、信譽損害及商譽降低。這之中美國企業的業務丟失成本尤其高，為397萬美元。

業務丟失成本

在業務成本的客戶流失泄露成本的關系方面，調研表明客戶流失越大,數據泄露時每條記錄平均成本越高。現有客戶流失低于 1% 的企業其平均數據泄露成本為270萬美元;倘若現有客戶流失率超過 4%，則平均成本將躍升至550萬美元。

而在客戶流失趨勢上，不同國家和地區也有著顯著的差異。這意味著流失率較高的國家/地區企業可重點開展客戶保留活動，維護聲譽和品牌價值，從而大幅降低數據泄露成本。

三年非正常流失率(按國家/地區樣本劃分)

從行業的角度來看，金融、醫療和服務機構的非正常流失率相對較高，而公共部門和教育機構的非正常流失率則相對較低。 

非正常流失率(按基準企業的行業分類劃分)

三、數據泄露事件發生概率和識別并控制所需平均時間

有意思的是，隨著泄露數據規模的增加，數據泄露的發生概率穩步降低。預計未來24個月發生包含一萬條記錄(最低規模)的數據泄露的概率約為 26%，發生包含十萬條記錄的數據泄露的概率不足 1%。

同時，從國家/地區的不同對數據泄露事件的阻礙角度來看，不同國家/地區估算得出的重大數據泄露概率確實差異較大。其中，巴西和南非發生數據泄露的概率似乎最高。德國和澳大利亞發生數據泄露的概率最低。

發生包含一萬條以上記錄數據泄露的概率(按國家/地區劃分)

在識別并控制數據泄露的平均時間上，則主要考量平均識別時間 (MTTI) 和平均控制時間 (MTTC) 這兩個用于確定企業實施事故響應及控制流程的有效性的指標。

根據383家企業的綜合樣本，估算出的平均識別時間為201天，時間范圍介于20至569天。平均控制時間70天，時間范圍介于11至126天。

而在平均識別和控制時間與總平均成本的關系上，如果平均識別時間小于100天，識別數據泄露的平均成本為323萬美元;如果超過100成本則為438萬美元。而如果在平均控制時間小于30天，則控制成本為318萬美元;如果超過，則成本會升到435萬美元。

此次調研的12個行業中，48%的事故涉及惡意或犯罪攻擊，25%因員工或承包商疏忽(人為錯誤)導致，另有27%的事故涉及系統故障(包括 IT 和業務流程故障)。且在2016年，惡意或犯罪攻擊引發的數據泄露平均成本每條記錄高達170美元，遠高于系統故障和人為因素造成的數據泄露每條記錄平均成本的138美元和133美元。

當然，平均識別時間和平均控制時間這兩個指標也會受到發生數據泄露的原因影響。 

數據泄露事故的平均識別時間和平均控制時間(按根源劃分;單位：天)

四、一些發現

美國和德國的數據泄露成本最高，巴西和印度最低;

通過事故響應團隊以及廣泛使用加密來降低數據泄露成本;

丟失的記錄越多，數據泄露的成本越高;

美國企業數據泄露后的客戶損失成本最高;

識別并控制數據泄露所需的時間會對成本造成影響……

安全牛評

近兩年頻繁爆發的數據泄露事件給企業和用戶帶來了重大的經濟損失和不良聲譽影響，除了在事后消除影響的成本投入外，在數據泄露事件發生之前如果能對數據泄露大致成本有明確清晰的認識，也會對企業高層做出更合理的預防和應對措施有所幫助。

報告目錄

第一部分 簡介

全球研究一覽

數據泄露成本研究揭示的七大全球性趨勢

一些顯著的企業發現和影響

數據泄露成本常見問題解答

全球一覽

第二部分 主要發現

全球和行業數據泄露成本差別

引發數據泄露的根本原因

影響數據泄露成本的因素

受損記錄出現頻率和客戶流動或流失趨勢

數據泄露成本構成趨勢

企業發生數據泄露的概率

識別并控制數據泄露所需的平均時間

業務持續性管理對數據泄露成本的影響

第三部分 如何計算數據泄露成本

第四部分 組織特征與基準算法

第五部分 限制