2016年全球数据泄露成本调研

上月,IBM联合 Ponemon Institute 发布报告《2016年数据泄露成本研究:全球分析》,包括美国、欧洲、亚太、中东、南非 等12个国家和地区,383家曾遭遇过数据泄露事件的企业进行调研,并从经济影响的角度,给出企业在防范和减少事件所带来的不良后果时的资源投入参考。

  2014到2016财年数据泄露每条记录的平均成本

安全牛第一时间拿到中文版报告全文,现将主要结论整理如下。

一、全球各行业数据泄露成本差别及影响数据泄露成本的因素

除了澳大利亚和南非,与去年相比,所有国家/地区的总平均成本均有所增加。美国样本的总平均成本最高,价值超过701万美元;德国紧随其后,价值为501万美元。相比之下,印度和南非企业的总平均成本最低,分别为160万美元和187万美元。

而在泄露和受损记录数量上面,印度、阿拉伯地区和美国企业的丢失或被盗记录平均数最高。南非的丢失或被盗记录平均数最低。

  泄露记录平均数(按国家/地区划分)

而在某些特定行业,比如受到严格监管医疗、教育和金融等,每条记录平均数据泄露成本要远高于158美元的整体平均值。相反,在公共部门、科研和运输机构,每条记录平均成本则低于整体平均值。

  每条记录平均成本(按行业划分)

企业的一些措施可以降低数据泄露的成本,例如事件响应团队、广泛应用加密、员工培训、参与威胁共享体系或业务持续性管理均有助于降低数据泄露时每条记录平均成本。而第三方参与、大规模云迁移、紧急通知或设备丢失/被盗所引发的数据泄露则会增加泄露的平均成本。

  16项对数据泄露时每条记录平均成本有影响的因素

二、数据泄露成本构成及客户流失趋势

此次数据泄露成本构成主要包括三个方面,分别是“检测和上报成本”、“告知成本”和“业务丢失成本”。

与检测和上报相关的数据泄露成本主要用于取证和调查活动、评估和审计服务、危机团队管理及高管和董事会沟通。加拿大的平均检测和上报成本最高,为160万美元。相比之下,印度平均成本最低,仅为53万美元。

  检测和上报成本

相关活动包括创建联系人数据库、确定各类监管要求、聘请外部专家、邮政开支、电子邮件反弹及入站通信建立有关的 IT 活动等的告知成本,目前美国企业最高,告知成本为59万美元。

  告知成本

事后响应成本主要包括技术支持活动、入站通信、专项调查活动、补救措施、法律开支、产品折扣、身份保护服务及监管干预。其中美国和德国的事后响应和检测相关成本最高,分别为为172万美元和154万美元

业务丢失成本构成包括非正常的客户流动、客户获取活动成本上升、信誉损害及商誉降低。这之中美国企业的业务丢失成本尤其高,为397万美元。

  业务丢失成本

在业务成本的客户流失泄露成本的关系方面,调研表明客户流失越大,数据泄露时每条记录平均成本越高。现有客户流失低于 1% 的企业其平均数据泄露成本为270万美元;倘若现有客户流失率超过 4%,则平均成本将跃升至550万美元。

而在客户流失趋势上,不同国家和地区也有着显著的差异。这意味着流失率较高的国家/地区企业可重点开展客户保留活动,维护声誉和品牌价值,从而大幅降低数据泄露成本。

  三年非正常流失率(按国家/地区样本划分)

从行业的角度来看,金融、医疗和服务机构的非正常流失率相对较高,而公共部门和教育机构的非正常流失率则相对较低。

  非正常流失率(按基准企业的行业分类划分)

三、数据泄露事件发生概率和识别并控制所需平均时间

有意思的是,随着泄露数据规模的增加,数据泄露的发生概率稳步降低。预计未来24个月发生包含一万条记录(最低规模)的数据泄露的概率约为 26%,发生包含十万条记录的数据泄露的概率不足 1%。

同时,从国家/地区的不同对数据泄露事件的阻碍角度来看,不同国家/地区估算得出的重大数据泄露概率确实差异较大。其中,巴西和南非发生数据泄露的概率似乎最高。德国和澳大利亚发生数据泄露的概率最低。

  发生包含一万条以上记录数据泄露的概率(按国家/地区划分)

在识别并控制数据泄露的平均时间上,则主要考量平均识别时间 (MTTI) 和平均控制时间 (MTTC) 这两个用于确定企业实施事故响应及控制流程的有效性的指标。

根据383家企业的综合样本,估算出的平均识别时间为201天,时间范围介于20至569天。平均控制时间70天,时间范围介于11至126天。

而在平均识别和控制时间与总平均成本的关系上,如果平均识别时间小于100天,识别数据泄露的平均成本为323万美元;如果超过100成本则为438万美元。而如果在平均控制时间小于30天,则控制成本为318万美元;如果超过,则成本会升到435万美元。

此次调研的12个行业中,48%的事故涉及恶意或犯罪攻击,25%因员工或承包商疏忽(人为错误)导致,另有27%的事故涉及系统故障(包括 IT 和业务流程故障)。且在2016年,恶意或犯罪攻击引发的数据泄露平均成本每条记录高达170美元,远高于系统故障和人为因素造成的数据泄露每条记录平均成本的138美元和133美元。

当然,平均识别时间和平均控制时间这两个指标也会受到发生数据泄露的原因影响。

  数据泄露事故的平均识别时间和平均控制时间(按根源划分;单位:天)

四、一些发现

美国和德国的数据泄露成本最高,巴西和印度最低;

通过事故响应团队以及广泛使用加密来降低数据泄露成本;

丢失的记录越多,数据泄露的成本越高;

美国企业数据泄露后的客户损失成本最高;

识别并控制数据泄露所需的时间会对成本造成影响……

安全牛评

近两年频繁爆发的数据泄露事件给企业和用户带来了重大的经济损失和不良声誉影响,除了在事后消除影响的成本投入外,在数据泄露事件发生之前如果能对数据泄露大致成本有明确清晰的认识,也会对企业高层做出更合理的预防和应对措施有所帮助。

报告目录

第一部分 简介

全球研究一览

数据泄露成本研究揭示的七大全球性趋势

一些显著的企业发现和影响

数据泄露成本常见问题解答

全球一览

第二部分 主要发现

全球和行业数据泄露成本差别

引发数据泄露的根本原因

影响数据泄露成本的因素

受损记录出现频率和客户流动或流失趋势

数据泄露成本构成趋势

企业发生数据泄露的概率

识别并控制数据泄露所需的平均时间

业务持续性管理对数据泄露成本的影响

第三部分 如何计算数据泄露成本

第四部分 组织特征与基准算法

第五部分 限制

====================================分割线================================

本文转自d1net(转载)

时间: 2024-06-11 19:22:32

2016年全球数据泄露成本调研的相关文章

Forcepoint 2016年全球威胁报告:入侵、内部攻击和高级勒索软件;针对亚洲地区被称为 “Jaku”的新型僵尸网络

Forcepoint,作为通过革命性安全技术保障各机构业务驱动的全球领导者,于今日发布了Forcepoint 2016年度全球威胁报告.通过在世界范围内155个国家收集多达30多亿的数据点,该报告详述了部分最新发展演变的攻击. 本年度报告分析了如下攻击活动的影响: · 通过Forcepoint特别调查(SI)小组六个月调查发现,被Forcepoint称为"Jaku"的全新僵尸网络活动: · 由不断消失的外围导致一系列投机勒索软件.反恶意软件工具和问题的产生,给网络安全专家和他们旨在保护

Gartner:2016年全球IoT安全开支将达到3.48亿美元

据Gartner称,2016年全球物联网(IoT)安全开支将达到3.48亿美元,相比2015年的2.815亿美元增长23.7%.预计到2018年,物联网安全开支将达到5.47亿美元.尽管整体支出最初是平稳的,但Gartner预测物联网安全市场开支在2020年之后将呈现高速增长态势,原因包括改善的技能.组织变革以及更具可扩展性的服务选择改善了执行力. "物联网安全产品的市场目前规模较小,但是不断增长的,消费者和企业开始越来越多地使用连接的设备,"Gartner研究总监Ruggero Co

Gartner预测2016年全球IT支出将保持稳定

全球领先的信息技术研究和顾问公司Gartner预测,2016年全球IT支出将维稳在3.41万亿美元的水准(参见表一),高于上季度全年0.5%负增长的预测,而股市的持续波动是造成此差异的主要原因. Gartner研究副总裁John-David Lovelock表示:"最近一期Gartner全球IT支出预测(Gartner Worldwide IT Spending Forecast)的内容是建立在英国不会脱离欧盟的假设上.英国决定脱欧后将很有可能降低企业的信心与产品价格上扬的空间,这都会给英国.西

2016年全球10大数据中心提供商概览

过去几年的实践已经表明,运行托管数据中心服务的业务规模越大越好.在零售和批发数据中心市场中,规模最大的公司已经通过收购大量的竞争对手进一步巩固了他们的统治地位,而在二级市场上出现了一波整合浪潮,因为较小的厂商寻求扩展规模以进行竞争. 大型跨国客户更喜欢与能够在全国或全球范围内为其提供基础架构的供应商合作,如果供应商是一个拥有一个或两个区域市场的公司,那么大部分都会与亚马逊和微软等公共云巨头进行市场竞争,为中小型企业提供服务. 根据调研机构Structure Research的报告,总部位于美国旧

Gartner:2016 年全球公有云服务市场将成长 17%

国际研究暨顾问机构 Gartner 指出,2016 年全球公有云服务市场规模可望达到 2,086 亿美元,较 2015 年的 1,780 亿美元成长 17.2%.成长最快的是基础架构即服务(IaaS),2016 年预计将成长 42.8%.软件即服务(SaaS)是全球云端服务市场中规模最大的区块之一,2016 年可望成长 21.7%,达 389 亿美元. Gartner 研究总监 Sid Nag 表示:"根据 Gartner 在 2015 年所做的云端服务采用调查,公有云之所以获得成长,主要是因为

Gartner:2016年全球公有云服务市场将增长17%

ZD至顶网CIO与应用频道 09月16日 北京消息:Gartner称,2016年全球公有云服务市场预计增长17.2%,总额达到2086 亿美元,高于2015年的1780亿美元.增幅最大的将是IaaS细分市场,在2016年预计增长42.8%.SaaS是全球云服务市场最大的细分市场,在2016年预计增长21.7%达到389亿美元. Gartner:2016年全球公有云服务市场增长17% Gartner研究总监Sid Nag表示:"根据Gartner在2015年有关云采用的调查发现,企业采用公有云可以

由波耐蒙研究所完成的第九份《数据泄露成本研究》年度报告显示

平均每起数据泄露事件的成本较2012年上升15%,达350万美元(约合2190万元人民币).全球范围内,受害方在每起数据泄露事件中遭受的平均损失为145美元(约合906元人民币),比2012年增加9%.该报告称,数据泄露成本最高的是美国和德国,受害方每次遭受的损失分别为201美元和195美元:成本最低的为印度和巴西,分别为51美元和70美元.不同国家数据泄露事件发生的根源不同.中东国家和德国主要是由于恶意或网络犯罪攻击,印度主要是由于系统故障或业务流程失误,而英国和巴西则主要是由于人为失误.大多

全球数据泄露问题愈演愈烈

日前,金雅拓公布的<数据泄露水平指数调查报告>显示,与2015年下半年相比,2016年上半年的数据泄露总数增长了15%.在全球范围内,2016年上半年已曝光的数据泄露事件高达974起,数据泄露记录总数超过了5.54亿条,而去年下半年数据泄露事件和数据泄露记录总数分别为844起和4.24亿条.此外,今年上半年曝光的数据泄露事件中,有52%的数据泄露事件都未公布数据泄露记录数量. "数据泄露水平指数"是跟踪全球数据泄露事件的数据库,旨在基于多个维度来评估数据泄露事件的严重程度,

IBM发布《发现云中的秘密》2013全球企业云计算调研报告

日前,IBM召开了2013 IBM CIO领导力高峰论坛,并隆重发布了针对全球800多位云计算决策者及客户调研产生的<发现云中的秘密>2013 全球企业云计算调研白皮书.该调研指出,云计算对于业务领导的战略重要性将从34%增长到72%,甚至高于IT部门的58%.大规模部署云计算的企业是谨慎应用云计算企业收入的两倍,毛利收入高近2.5倍.同时,随着云计算应用的深入,领导型企业正通过云计算在实现战略性变革.更精准的决策和更深入的协作三方面构建核心竞争优势.基于对云计算应用及发展的深刻洞察,IBM正