李汶龙
波耐蒙研究所(Ponemon Institute LLC) 发布的《2015年数据泄露成本全球分析报告》显示,几乎所有发达国家和新兴发展中国家都受到数据泄露的挑战,但在范围、程度及成本上略有不同。相比之下,巴西和法国最容易发生数据泄露,而加拿大和德国的几率最小。
2015年,全球数字安全公司Gemalto调查了澳大利亚、巴西、法国、德国、日本、英国及美国的5750位消费者后发现,超过1/3的人曾受到数据泄露的影响,近1/5的人认为在未来1~3年中可能会成为数据泄露的受害者。
数据泄露的风险已经成为全球性难题,初步踏入信息社会的我们尚没有找到保障数据安全的有效方式。
进入21世纪以来,数据泄露愈发频繁,从2013年的美国超级零售商Target,到2014年的索尼娱乐公司,再到2015年美国约会网站Ashley Madison,全球范围内很多公司先后遭受重创。有人曾将2014年称之为“数据泄露元年”,从那时起至今,数据泄露已不再是简单的科技事件,而愈发成为严重的社会问题。
不断发生的惊人事件让人们开始集中关注数据安全的问题,但其实我们熟知的近期发生的泄露事件在规模和影响上都并不突出。有史以来最严重的数据泄露发生于2005年到2012年,持续8年之久。来自俄罗斯和乌克兰的黑客组织侵袭了包括纳斯达克在内的多家美国公司,窃取共1.6亿条银行卡号码,侵入80多万银行账号。排名第二的是2014年的eBay数据泄露事件,共1.48亿用户的姓名、住址、生日及密码遭泄。2006~2008年,昔日最大的支付公司Heartland的数据泄露事件排名第三,共1.3亿银行账号被黑客获取。
中国企业也在劫难逃。2010年,支付宝前技术员工下载了超过20G的支付宝用户资料出售给其他数据公司;2011年,天涯网盛极之时,有4000万用户的数据被黑客泄露;2014年5月,小米论坛数据有800万注册用户的数据遭泄,黑客随意进入账户。
2015年,世界范围内发生的大型数据泄露事件共有四起:当年2月,美国第二大医疗保险公司Anthem数据库遭泄露,近8000万用户的个人信息失窃;6月,美国政府人事管理办公室也惨遭网络袭击,共400多万员工的记录被盗;一个月之后,媒体铺天盖地报道了极富争议的约会网站Ashley Madison数据被窃事件,共3700万用户受到了影响;10月,英国电信公司TalkTalk的400万用户数据被黑客窃走。
发生数据泄露的成本究竟有多大?大型数据泄露事件的直接经济成本几乎都是过亿级的:美国零售业巨头Target公司为数据泄露支付了10亿美元;索尼娱乐亏损数十亿美元;美国家居零售商Home Depot要向5600万用户赔偿总共100亿美元的损失;而Ashley Madison泄露事件导致该公司陷入多起诉讼,成本之大不可预估。
最新数据显示,数据泄露的平均成本已经由2014年的352万美元上升到379万(上涨23%),平均一份数据泄露的成本由145美元增长为154美元。Pomenon对比各国情况发现,美国数据泄露的成本最高,为217美元,其次是德国的211美元。泄露成本最低的是巴西和印度,分别为78和56美元。从行业视角来看,医疗健康领域的成本最高,高达363美元,第二名是教育领域(300美元),最低的是交通领域和公共部门,分别为121美元和68美元。
上面的数字只是冰山一角。数据泄露的成本不仅体现在直接经济损失上,还有很多隐藏成本,它是指那些经常被忽略,不容易与成本建立关联,有些甚至无法被量化的负面因素。
在所有隐藏成本中,重建用户信任的成本最大,而数据泄露对用户信任带来严重的挑战。在数据事故频发的今天,消费者对于数据公司的信任已经跌到了底点。Gemalto提供的数据显示,只有1/4的消费者认为数据公司非常重视数据安全。而对数据公司的员工所做的调查显示,仅2/5的员工认为自己的公司非常重视数据安全问题。
2015年因数据泄露导致的信任危机量化后的成本高达157万美元,2014年这一数字为133万。这些成本包括商誉减损、用户不正常流失、公司随后开展的大量挽救用户的活动。 全球近64%的消费者认为,如果某家公司的财务信息被盗,就不愿意再购买这家公司的服务,或者与其做生意;还有近1/2的人认为,如果某家公司发生了数据泄露事件,也不会再使用他们的服务。可见,信任补救成本对于公司而言是“实打实”的损失,而且其负面影响无法全部量化。
用户数据面临的安全威胁来源多样,有外部因素和内部因素,也可分为人为因素和非人为因素。大体上包括网络恶意袭击、系统故障以及员工行为三种情况。
网络恶意袭击(cyber attack) 在所有因素中产生的成本最高:在2015年,每丢失一份数据要产生170美元的成本,与上一年相比上涨11美元。近两年,网络恶意袭击呈直线上升之势。2013年的报告显示,恶意袭击因素在当时的比重仅占37%,与第二名的“人为因素”仅相差2个百分点。两年之后,二者差距已经被实质性地拉大,而其他因素如系统故障和人为因素的比例都不超过30%。
人为因素也不可被忽视。赛门铁克(Symantec)的一项研究表明,有超过一半的员工离职12个月以后仍然持有旧公司的保密数据,40%的人会在下一份工作中继续使用这些数据。62%的员工认为可以在离职后将原公司的数据复制带走,而且大部分人都不会删除原公司的数据。只有47%的公司会在员工离职后仍使用原公司数据的情况下会采取行动,而68%的公司没有任何限制措施。
数据泄露事件如此猖獗,一定程度上与业界对风险的理解不足和控制不利有关。从公司治理的角度来看,这反映了很多高层对于数据安全问题不以为然,在数据库防御方面没有足够的预算,在公司政策上也没有限制措施。
侥幸和过度自信的态度,导致很多公司面临严重的后果:轻则声誉受损,面临大量诉讼;重则服务停滞,濒临破产倒闭。随着社会数据化程度的加深,互联网+公司的生存发展取决于公司高层的态度转变:数据泄露不是一个遥远的概念,也不是一个纯粹的技术问题,而成为了一种极大的商业风险。
研究结果表明,企业持续性数据风险管理在降低成本上发挥着有效的作用。在完善具体应对数据泄露的方案上,可以从事前防范和事后处理两个方向入手。
事前防范包括预算和团队管理两方面。首先,降低数据泄露风险需要加大在数据安全方面的投资预算。很多公司对这一问题不够重视,甚至倾向于减少安全方面的成本。值得重视的是,处理数据泄露的成本也在逐年增长。这一成本包括展开调查、评估、审计的费用、危机管理团队的运营以及与董事和股东沟通的成本。从2014到2015年,处理数据泄露的平均成本已经由76万美元上涨到近100万美元,幅度超过31%。
其次,可以通过购买保险降低可能的损失。研究数据显示,保险能够有效降低4.4美元/数据的成本。2014年美国零售巨头Target因数据泄露遭到重创,损失高达6100万美元,但其中有4400万(72.1%) 得到了保险公司的补偿。这意味着Target给消费者重新置办购物卡、处理法律诉讼和政府调查,以及支持相关执法行动没有花一分钱。
公司在组织架构方面应突出数据安全的重要性。目前较为流行的做法是任命首席信息安全官 ,专门管理数据泄露的风险,并围绕这一核心角色建立团队。
对员工的教育与培训也是非常重要的措施。一方面要开展数据安全意识培训,在公司政策和劳动合同上突出保护数据安全的共同义务;另一方面还要教会员工使用防数据丢失的技术。
对数据泄露事后处理的基础建立一套全面、完整、可执行的事故应急方案。公司用多快的速度采取行动识别和应对数据泄露,是与最终的泄露成本存在直接因果关系的。2015年,公司确认出现数据泄露所需的平均时间为206天,有效阻止数据泄露所需的平均时间为69天。在泄露没有被发现或及时制止之前,每一分钟的代价都是巨大的。Gartner的研究数据显示,网络宕机的成本是5600美元/分钟。
如今,越来越多的公司开始使用技术工具来侦查数据事故背后的网络犯罪活动,取得了不错的效果。这一做法可以对公司数据安全状况进行完整的评估,展现数据安全可能存在的隐患。随着数字化逐渐渗透到人们生活的方方面面,数据泄露将成为公司面对的巨大挑战,也将成为社会生活中极具关注度的安全问题。
(本文由本刊与新媒体微思客合作出品)