數據泄露的實際成本:聲譽受損、客戶流失、罰款、停業
IBM發布的《2021年數據泄露成本》報告揭示,數據泄露成本從386萬美元增至424萬美元,為其17年報告發布史上最高平均總成本數額。
英國文化、媒體和體育部(DCMS)最近發布的報告顯示,英國大中型企業越來越來難以承受數據泄露不斷高企的成本。該報告顯示,2021年,英國大中型企業平均損失了1.94萬英鎊,而2020年時這一數字還只是1.34萬。有意思的是,如果考慮大中小各種規模的企業,數據泄露的平均成本驟降至4200英鎊。而且,相比2020年的8460英鎊還腰斬了。
每年都有很多這樣的報告向我們揭示身邊正發生什么,數據泄露和網絡攻擊的成本又增加了多少。這些報告都很有價值,因為能讓我們了解到價格、所用方法和組織是怎樣應對日益增多的威脅的。但是,我們需要謹慎對待這些報告,因為這些報告沒有準確描述,也無法準確描述我們數字世界中正在發生一切,更別說精準統計數據泄露的影響了。這并不是針對研究人員本身的抱怨,而是一種客觀觀察:計算問題的規模或所造成影響的成本時,我們無法考慮到如此之多的因素。
盡管報道數據泄露的財務影響既必不可少又很有價值,但這種報告過于武斷,并沒有給出更難以量化的數據泄露的真實成本。當然,把這些統計數據擺上董事會會議桌來合理化網絡安全預算還是很不錯的,但我們還應該考慮數據泄露那些不太明顯的影響,因為數據泄露的成本和對業務的影響遠遠高于報告數字所呈現的。
聲譽損害
數據泄露事件發生后,組織往往必須與顧客、長期客戶和雇員就所發生的事情艱難溝通。在了解事件發生經過和計算出財務影響之前,必須精心準備所有電話、電子郵件和新聞稿。每一場溝通都有可能失去一家客戶,組織的聲譽所受的負面影響不斷累積。
當然,這并不意味著組織應該蒙混過關或者盡量避免這些溝通,因為從長遠看,這么做顯然會讓他們陷入更糟糕的境地。只要組織以開放的態度誠實通報所發生的一切,那么大多數(不是全部)客戶、供應商和雇員都會給予諒解,尤其是在遭到有組織網絡犯罪侵害的情況下。但堅持這么做也很冒險,因為在發現自己是網絡攻擊真正的受害者時,耐心和慷慨往往是稀缺品。
時間回溯到2013年,美國零售業巨頭塔吉特被網絡罪犯攻陷,數據泄露影響4100萬客戶。塔吉特在16天內檢測到了泄露,并在發現后20天里公開披露了此事,但很多客戶對這家公司的披露耗時非常不滿。
這無疑在相當長的一段時間里影響了塔吉特的股價。當然,任何公司的股價都是公司聲譽和地位的金融表征。
賠償和罰款
考慮數據泄露成本時我們最常想到的就是聲譽上的影響,但需要考慮的其他因素還有很多。
數據泄露還會引發索賠,甚至制裁和罰款。信息專員辦公室(ICO)是英國的監管機構,根據英國《數據保護法案》和歐盟《通用數據保護條例》(GDPR)監管治理和合規事宜。如果發生數據泄露,組織可能必須向ICO做出解釋,等待ICO的后續動作。無論采取何種形式的制裁,律師都會介入,數據泄露的財務影響會再次迅速升級。
發生數據泄露事件之后,有一種影響往往會忘了討論,這種影響雖然也會造成財務損失,但在初步評估中卻不是那么明顯。
人員影響
發生數據泄露時,光確定發生了什么和需要采取哪些行動就有一大堆事情要做。事件響應團隊會采取行動,按計劃果斷行事,以期恢復業務正常運行。
在響應和恢復過程中,相關人員面臨著全力確保盡快恢復的壓力。假期被取消,育兒和照顧親屬的個人義務被忽視,當前要務就是維持或恢復業務正常運營。
因此,恢復團隊成員承受的壓力是巨大的,而在考慮誰應該加入恢復團隊時,這種壓力又常常遭到忽視。大多數主管和經理都需要能夠在壓力下保持冷靜。不過,數據泄露或網絡事件并不是大多數人需要面對的日常(謝天謝地)。因此,人們對安全事件的反應天差地別,但無論如何反應,終歸逃不脫最初都是人類會有的反應。
別對人性保有太高的幻想,數據泄露發生時,團隊的第一反應會是:“這對我有什么影響?我得擔責嗎?”或許這種想法轉瞬即逝,但肯定會出現。于是,壓力和焦慮開始出現,因為這個人會在個人責任和崗位職責之間掙扎。
難怪最近的研究顯示,24%的財富500強企業首席信息安全官(CISO)履職時間僅一年,而平均任期為26個月。那么,IT團隊成員的情況又如何呢?響應團隊中的其他人又是何種情況?事件發生后他們會待多久呢?
當然,壓力和焦慮會導致心理健康問題,而如果我們回到資產負債表,生產力問題會導致更多的經濟損失。
結語
計算數據泄露的成本確實可以歸結為我們可以往電子表格中填入什么,但我們不應該僅僅看到數據泄露表面的財務影響。如果想要深入了解真實成本,我們就得考慮數據泄露事件的方方面面。這意味著要考慮對我們聲譽的影響、損失的機會成本、對生產力的影響、增加的運營成本、賠償和罰款,以及對我們人員的影響。
對人員的影響往往是最難以計算的,因為沒有明確的指征表明何時會感受到這種影響;團隊成員可能會在業務開始恢復的那一刻開始尋找另一份工作,并且可能永遠不會提到那次事件是離職的催化劑。
財務成本可能僅僅是電子表格中細細的一行,但數據泄露的實際成本遠不止如此,還有對內部和外部利益相關者的信任侵蝕。
因此,我們應該提出的真正問題和做出的計算是:您對信任標價幾何?
