根據最新的卡巴斯基報告“企業如何將數據泄露的成本降到最低”，決定主動將數據泄露事件披露給利益相關者和公眾的中小企業的平均損失要比那些事故泄露給媒體的同行要少40%。在大型企業中，也出現了相同的趨勢。

如果不及時將有關數據泄露的信息適當地通知公眾，可能會讓數據泄露造成的經濟和信譽損失更為嚴重。一些備受矚目的案件包括雅虎(Yahoo!)，因為沒有將其遭遇的數據泄露事件通知其投資者而被罰款和批評，還有Uber 因掩蓋其數據泄露事件而被罰款。

卡巴斯基的報告基于對全球5,200多名IT和網絡安全從業者的調查，調查顯示，能夠掌控局面的組織通常能夠降低損失。披露數據泄露事件的中小企業的成本估計為930,000美元，而事件泄露給媒體的同行則遭受了155,000美元的損失。大型企業面臨的情況同樣如此：那些主動披露遭遇數據泄露事件的企業遭受的損失較那些事件被泄露給媒體的企業較少(少28%)，它們的損失分別為113.4萬美元和158.3萬美元。

只有約一半(46%)的企業會主動披露數據泄露事件。經歷過數據泄露的組織和企業中，有30%選擇不披露事件。當事件泄露給媒體后，有近四分之一(24%)的企業試圖掩蓋事件。

盡管企業不披露數據泄露事件所造成的損失最小，但是這種做法遠非理想。如果無意間向公眾泄露了其網絡安全事件，那么這類公司就有遭受更大損失的風險。

調查進一步證明，對于那些無法立即發現攻擊的公司，風險尤其高。29%的中小企業要花費一周多的事件才從媒體新聞中發現自己遭受了入侵，這比那些幾乎立即發現入侵的企業(15%)多出一倍。對大型企業來說，這些數據也很相似，分別為32%和19%。

主動披露可以幫助公司扭轉局面，將其向對公司有利的方向發展，而且還不僅限于經濟影響。如果客戶第一時間知道發生了什么，他們很可能還會保持對品牌的信任。另外，公司還可以給客戶提供下一步該怎么做的建議，讓他們的資產得到保護。公司還可以通過與媒體分享可靠和正確的信息，從他們的角度來敘述事情，而不是依賴第三方媒體來錯誤地描述情況，”卡巴斯基高級產品營銷經理 Yana Shevchenko 評論說。

為了降低數據泄露帶來的破壞性后果的幾率，卡巴斯基建議企業提前采取以下措施：

• 為了實現企業端點級別的高級威脅檢測、調查和主動威脅追蹤以及快速響應，請部署EDR解決方案，例如卡巴斯基端點檢測和響應。網絡安全專業技能有限的小型企業可以從卡巴斯基EDR Optimum中獲益。該解決方案提供基礎的 EDR 功能，包括更好的端點可視性、簡化的原因分析和自動響應選項。
• 除了端點保護外，企業應當部署能夠在網絡層面檢測高級威脅并得到威脅情報加強(例如卡巴斯基反針對性攻擊平臺)的企業級安全解決方案。這種解決方案有助于防范專業網絡罪犯的攻擊，這些罪犯偏愛多種媒介的攻擊方法，往往將許多不同的技術組合成一種計劃攻擊。
• 為了及時應對網絡攻擊，聯合內部的事件響應團隊作為第一線響應，并將更復雜的事件升級，將其提交給第三方專家。
• 為員工引入安全意識培訓，向他們解釋如何識別網絡安全事件以及發生事件時應該如何做，包括立即通知公司的IT安全部門。
• 考慮對涉及數據泄露后果的所有各方進行特別培，包括船舶專業人員和IT安全負責人，例如卡巴斯基事件傳播。

完整版報告請參見這里。

關于這項調查

卡巴斯基全球企業IT安全風險調查(ITSRS)于2020年6月采訪了31個國家的5,266名IT業務決策者。受訪者被問及其組織內部的IT安全狀況、面臨的威脅類型以及從攻擊中恢復時需要應對的成本。