7月初,《2017年全球数据泄露成本研究》报告发布。研究结果显示,IBM Security 和 Ponemon Institute两家研究机构针对419家公司进行调研,合计数据泄露总成本达到362万美元。每条包含敏感和机密信息的丢失或被盗记录的平均成本达到141美元。对比往年,今年企业和组织数据泄露的规模较以往更大,平均规模增长了1.8%。 近年来,全球各地无论是政府组织还是知名企业,频繁被爆出大规模数据泄露事件,尤以信息化程度发达的国家更为严重。研究结果来自11个国家和2个区域,从中选择了419个组织参加了今年的研究。通过对这些组织中的1900多名专家进行访谈,以此了解:
通过这些样本对数据泄露成本进行研究和分析,不仅是为了核算成本和趋势预判,最终目的是通过调研还原这些数据泄露事件全貌,为组织和企业的数据安全保护提供更有参考价值的建议,我们将报告中的一些重要观点摘录下来,以此作为重要的参考依据,思考在大数据时代下,如何通过行之有效的手段,规避未来可能会发生的泄露事件,为企业避免为此类负面事件付出高昂的成本。
虽然本次调查没有涉及中国的组织和企业,但这一趋势与国内诸多安全研究结果较为一致。早期,恶意攻击者的目标是业务系统,以导致业务中断为目的。近年伴随数据资产价值与日俱增,恶意攻击者的目标越来越多的指向数据存储的基础设施-数据库系统。针对数据库的漏洞攻击、SQL注入等手段不断升级,目的正是对敏感数据的窃取,这些包含个人隐私或商业机密的数据流入黑产市场,经过多手倒卖,流入更多不法分子手中,震惊全球的雅虎5亿用户信息泄露事件正是源于黑客攻击。
另一方面,与国内情况类似,内部员工及承包商(即第三方公司)的人为泄露比例正在逐年上升。企业信息化建设增速逐年提升,除了内部人员配备提升,为节省人力成本,引入第三方外包公司进行系统开发、测试、分析或代理运维等工作是目前常见的解决方式,在此过程中这类人群往往持有数据库的高权限账户,一面是内部人员可能产生的高危操作、误操作,另一方面是第三方人员引发的数据泄露事件,这成为数据泄露的另一主因。
庆幸的是,国内的多数行业已经意识到内部威胁及第三方人员的数据泄露风险,会主动寻求技术手段规避。数据库脱敏和数据库安全运维产品的出现和应用正是基于此,对敏感数据做变形和漂白后可以放心交给第三方公司使用;即使内部及第三方运维人员拥有DBA高权限账户,依然可以通过基于审批流机制的数据库安全运维系统,对敏感数据的运维操作进行审核和过滤,防止误操作及高危操作。
调研结果显示,数据泄露事件将导致客户信任度下降、企业也需要投入大量成本进行取证调查,挽回数据,以及相关客户的联系及法律成本。通过成本分析揭示了数据泄露的平均总成本与事件的大小之间的关系。在今年的研究中,少于10,000个损失记录的事件的平均总成本190万美元,超过50,000记录的时间平均总成本是630万美元。因此,丢失的记录越多,数据泄露的成本就越高。对于这一情况,报告中提到数据分类存储计划对于了解敏感和机密信息至关重要。
数据泄露的平均总成本与419个组织的事件大小之间的关系
每个丢失或被盗记录的数据泄露的全球平均成本为141美元。然而,医疗保健机构的平均成本为380美元,金融服务平均成本为245美元。行业的数据特性,全球共通,医疗及金融行业的数据更多涉及公众个人隐私及资产信息,数据量庞大;另一方面,从业务角度来看,这两个行业与其他行业的数据集中、共享需求更为明显,从中国国情来看,这两个行业除了互相业务交叉,还会与政府、社保、工商、税务财政等诸多行业发生数据共享,在数据使用和流转的过程中,节点更多,一旦单点产生安全威胁,可能牵连出跨行业的极大规模数据泄露,由此产生的恶劣社会影响难以估计。
今年综合样本平均成本按行业分类与四年平均水平
在安华金和提出的数据库安全防护体系中,数据库加密技术被定义为底线防守。技术效果是将数据库存储层的明文数据替换为密文,并设置严格的权限校验机制,即使退一万步,数据库文件已经泄露,没有密钥和最高权限,任何人都无法破解。如果按照每笔节省16美元的成本来算,一个技术手段的实施,可以让一次大规模过万条记录的数据泄露事件成本直接下降数十万美元,乃至更高。
通过了解报告中的观点和分析,这些精确的数学核算让我们对数据泄露的后果和影响有了更感性的认识。这些有价值的安全建议和技术手段并不会花费太大的成本,然而却可以让企业和组织不再为此类负面事件付出数百甚至数千倍的高昂成本,这其中的性价比应该是相当划算的。
©2024 aliyunhn.com. All Rights Reserved 中科九洲科技股份有限公司-阿里云河南授权服务中心 豫B2-20080032-14 统计