2021年数据泄露成本报告解读

浅沫记忆

根据 ForgeRock 的研究显示，2022年美国数据泄露的平均成本预计为950万美元，而2021年全球平均成本差不多是这个数字的一半。根据 IBM 和 Ponemon Institute 2021年的报告，全球平均数据泄露成本约为424万美元，比2019年的386万美元增长了10%，创下历史新高。
随着勒索攻击的数量激增，到2021年底全球网络犯罪的成本达到6万亿美元/年的峰值。
Ponemon Institute 和 IBM Security 的报告将数百个成本因素纳入研究统计，包括法律、监管及技术活动、品牌资产损失、客户流失和员工流失。该研究范围包含17个国家和17个行业的共计537起数据泄露事件，通过近3500次采访收集数据。该报告的主要目的是鼓励企业通过解决网络安全风险和改善整体安全状况来降低数据泄露的成本。
本文将会讨论2021年数据泄露成本报告中一些重要结果，并总结经验，通过数据保护、数据安全及数据泄露预防策略来降低数据泄露的风险和成本。
2021年 IBM 数据泄露成本报告主要发现
IBM 和 Ponemon Institute 的数据泄露成本报告有 12 个主要发现：
1. 数据泄露成本较往年增加10%

单位：百万美元
数据来源：2021 数据泄露成本报告（IBM & Ponemon）
2021 年平均数据泄露的成本为 424 万美元，比 2020 年的调查结果增长 10%。这也创下了 IBM 和 Ponemon Institute 报告历史数据泄露成本新高。
2. 远程办公成为数据泄露的原因之一
由于远程办公导致数据泄露并造成平均107万美元的损失。远程办公的员工需要花费更多时间和精力来避免数据泄露。据调研和访问结果显示，提供远程办公的企业中，50%的企业需要至少58天的时间来识别和控制数据泄露。
3. 医疗行业数据泄露成本最高
医疗保健行业的数据泄露成本连续11年保持最高。平均成本从2020年的713万美元增加到2021年的923万美元，涨幅29.3%。
4. 业务流失造成的损失占数据泄露成本的38%
数据泄露成本占比最大的因素是业务流失损失。这包括客户流失和获得新业务的额外成本，以及在网络攻击期间系统不可用导致的损失。
5. 客户 PII 失窃是数据泄露中最常见且代价最大损失
在 IBM 和 Ponemon Institute 的研究中，44% 的泄露事件中包含了客户个人身份信息（Personal Identifiable Information, PII）。每条客户 PII 记录的平均成本为 180 美元。
6. 凭据泄露成为最常被利用的初始攻击媒介
4种主要初始攻击媒介分别造成的损失为：

  

• 商务电子邮件诈骗（Business Email Compromise, BEC) - 501万美元
    
  
• 网络钓鱼 - 465 万美元
    
  
• 内部人员恶意行为 - 461 万美元
    
  
• 社交工程诈骗 - 447万美元
  
  

7. 识别和遏制泄露的平均时长为287天
泄露被发现的时间越长，财务影响就越大。287 天远高于降低数据泄露成本的绝对最大阈值 200 天。在200天内发现并遏制的数据泄露事件的平均成本为361万美元。但200多天才能识别的平均成本为487万美元，相差 126 万美元。
8. 涉及至少5000万条记录的数据泄露成本高出100倍
涉及至少5000万条记录的大型泄露事件的成本是一般数据泄露事件的100倍。涉及5000万至6500万条记录的泄露在2021年的平均成本为4.01亿美元，而 2020 年为3.92亿美元。
9. 零信任策略将数据泄露的平均成本降低了176万美元
实施零信任架构的公司平均数据泄露成本为328万美元。相比之下，没有实施零信任策略的企业处理数据泄露的成本为501万美元，多出了176万美元。
10. Security AI 和自动化控制将数据泄露成本降低了80%
Security AI 和自动化控制帮助企业更快地检测和控制数据泄露，因为这些工具能够有效减少处理数据泄露的时间。
11. 混合云环境中的数据泄露成本比公有、私有和本地云少119万美元
混合云环境数据泄露的平均成本为 361 万美元，比其他形式的云环境低23%。
12. 勒索软件导致企业产生平均462万美元损失
勒索软件造成的损失平均为462万美元，高于数据泄露的平均成本424万美元。
数据泄露的影响、原因及应对思路
根据研究，时间是影响数据泄露成本的最大因素。发现泄露的时间越长，网络犯罪分子可以窃取的敏感数据就越多。当系统中断和客户流失导致业务损失时，延迟修复的负面财务影响会进一步加剧。
数据泄露会影响组织多久？
数据泄露成本研究发现，平均而言，53%的数据泄露成本产生在第一年，31%则产生在第二年，16%产生在事件发生后两年以上。
与监管不严的行业相比，高度监管行业的组织（如医疗保健组织和金融服务）数据泄露影响的时间更长远，第二年和第三年的数据泄露成本上升。第一年产生了 47% 的成本，在第二年产生了 33%，在数据泄露2年后产生了20%。
平均数据泄露生命周期有多长？
数据泄露生命周期是指数据泄露发生到泄露被遏制的时间。2019年，发现泄露平均需要206天，控制泄露平均需要73天，也就是说数据泄露生命周期为279天。而在2021年，平均发现泄露时间为 212 天，平均遏制时间为75 天，数据泄露生命周期总计为287天。
在前文有强调过，数据泄露被检测和控制的越迅速，对应的成本就越低。与生命周期超过200天的泄露事件相比，生命周期少于200天的平均损失成本为361万美元，比生命周期超过200天的泄露事件成本少126万美元。
最常见和代价最大的泄露原因是？
根据数据泄露成本报告研究显示，最常见的初始攻击媒介是凭据泄露，其次是网络钓鱼、云配置错误和第三方软件中的漏洞。
2021年最主要的5个数据泄露攻击途径及成本是：

  

• 商业电子邮件诈骗 - 501 万美元
    
  
• 网络钓鱼 - 465 万美元
    
  
• 内部人员恶意行为 - 461万美元
    
  
• 社交诈骗 - 447万美元
    
  
• 第三方软件的漏洞 - 433万美元
  
  

人为错误和系统故障造成的泄露成本是多少？
数据泄漏通常涉及用户凭据，而这些无意的暴露通常是由人为错误引起的。人为错误是网络钓鱼攻击和社交诈骗的主要促成因素，而人为错误导致的数据泄露成本平均成本估算为463万美元。
小型企业是否受到数据泄露的影响？
2021年，员工人数在500到1000人之间的企业平均数据泄露成本最低，为263万美元。员工数量在500人以内的平均数据泄露成本出乎意料的更高，为298万美元。员工数量规模达10000-25000人的企业所产生的数据泄露成本最高，为552万美元。
造成数据泄露成本成倍增加的因素

  

• 泄露超过5000万条记录 - 数据泄露成本增加100倍
    
  
• 缺乏应对 COVID-19 的数字化转型 - 数据泄露成本比平均高出75万美元
    
  
• 远程办公模式 – 数据泄露生命周期延长多达58天
    
  
• 缺乏安全自动化 – 未能有效减少80%的泄露成本
  
  

降低数据泄露成本的方式
数据加密、数据丢失防护、威胁情报共享和 DevSecOps 的广泛实施和使用都与较低的平均数据泄露成本相关。
在这些因素中，数据加密产生了最大的积极影响。使用高标准加密方法（至少256次 AES 加密）的企业平均违规成本为 362 万美元。而使用低标准加密方式或不使用加密方法的企业平均数据泄露成本为487万美元。
事件响应团队和测试的影响
能够针对数据泄露制定并实施时间响应计划并进行充分演练的企业，数据泄露的平均成本从571万美元降低到了388万美元。
自动化安全流程降低数据泄露成本
采用安全自动化技术的企业可将数据泄露成本降低80%。未部署安全自动化技术的企业平均数据泄露成本高达671万美元，而实施此类解决方案的企业相应成本则为290万美元。
对于企业来说，不使用自动化工具的成本变得越来越高。没有自动化工具的企业平均数据泄露成本从2019年的516万美元上升到2021年的671万美元。