2017年全球數據泄露成本研究報告解讀

近年來，全球各地無論是政府組織還是知名企業，頻繁被爆出大規模數據泄露事件，尤以信息化程度發達的國家更為嚴重。研究結果來自11個國家和2個區域，從中選擇了419個組織參加了今年的研究。

獨家投遞 | 安華金和

7月初，《2017年全球數據泄露成本研究》報告發布。研究結果顯示，IBM Security 和 Ponemon Institute兩家研究機構針對419家公司進行調研，合計數據泄露總成本達到362萬美元。每條包含敏感和機密信息的丟失或被盜記錄的平均成本達到141美元。對比往年，今年企業和組織數據泄露的規模較以往更大，平均規模增長了1.8%。

近年來，全球各地無論是政府組織還是知名企業，頻繁被爆出大規模數據泄露事件，尤以信息化程度發達的國家更為嚴重。研究結果來自11個國家和2個區域，從中選擇了419個組織參加了今年的研究。通過對這些組織中的1900多名專家進行訪談，以此了解：

數據泄露中有多少客戶記錄丟失(即泄露規模)

數據泄露后他們失去的客戶的百分比(即客戶流失)

數據泄露的根本原因

檢測和控制泄露事件的時間

發現和立即響應數據泄露的活動方面花費，例如取證和調查，以及發現後進行的活動，例如通知受害人和法律方面的費用

通過這些樣本對數據泄露成本進行研究和分析，不僅是為了核算成本和趨勢預判，最終目的是通過調研還原這些數據泄露事件全貌，為組織和企業的數據安全保護提供更有參考價值的建議，我們將報告中的一些重要觀點摘錄下來，以此作為重要的參考依據，思考在大數據時代下，如何通過行之有效的手段，規避未來可能會發生的泄露事件，為企業避免為此類負面事件付出高昂的成本。

數據泄露的主要原因

報告顯示，數據泄露事件的主要根源中，47%的事件涉及惡意或犯罪行為，25%是由於員工或承包商疏忽(人為因素)，28%涉及系統故障，包括IT和業務流程故障。

雖然本次調查沒有涉及的組織和企業，但這一趨勢與國內諸多安全研究結果較為一致。早期，惡意攻擊者的目標是業務系統，以導致業務中斷為目的。近年伴隨數據資產價值與日俱增，惡意攻擊者的目標越來越多的指向數據存儲的基礎設施-資料庫系統。針對資料庫的漏洞攻擊、SQL注入等手段不斷升級，目的正是對敏感數據的竊取，這些包含個人隱私或商業機密的數據流入黑產市場，經過多手倒賣，流入更多不法分子手中，震驚全球的雅虎5億用戶信息泄露事件正是源於黑客攻擊。

另一方面，與國內情況類似，內部員工及承包商(即第三方公司)的人為泄露比例正在逐年上升。企業信息化建設增速逐年提升，除了內部人員配備提升，為節省人力成本，引入第三方外包公司進行系統開發、測試、分析或代理運維等工作是目前常見的解決方式，在此過程中這類人群往往持有資料庫的高許可權賬戶，一面是內部人員可能產生的高危操作、誤操作，另一方面是第三方人員引發的數據泄露事件，這成為數據泄露的另一主因。

慶幸的是，國內的多數行業已經意識到內部威脅及第三方人員的數據泄露風險，會主動尋求技術手段規避。資料庫脫敏和資料庫安全運維產品的出現和應用正是基於此，對敏感數據做變形和漂白后可以放心交給第三方公司使用;即使內部及第三方運維人員擁有DBA高許可權賬戶，依然可以通過基於審批流機制的資料庫安全運維繫統，對敏感數據的運維操作進行審核和過濾，防止誤操作及高危操作。

外泄規模的大小以及丟失或被盜記錄的數量

調研結果顯示，數據泄露事件將導致客戶信任度下降、企業也需要投入大量成本進行取證調查，挽回數據，以及相關客戶的聯繫及法律成本。通過成本分析揭示了數據泄露的平均總成本與事件的大小之間的關係。在今年的研究中，少於10,000個損失記錄的事件的平均總成本190萬美元，超過50,000記錄的時間平均總成本是630萬美元。因此，丟失的記錄越多，數據泄露的成本就越高。對於這一情況，報告中提到數據分類存儲計劃對於了解敏感和機密信息至關重要。

這一結論與安華金和提出的數據安全治理思路不謀而合，我們認為要實現數據在使用中的安全，首先一步是要了解數據，通過對數據資產進行梳理，發現你的敏感數據資產有多少、分佈在哪裡，使用情況和訪問許可權怎樣。對數據資產進行分級分類，是為建立定製化的保護策略提供原始依據。

數據泄露的平均總成本與419個組織的事件大小之間的關係

哪些行業的數據泄露更為昂貴

每個丟失或被盜記錄的數據泄露的全球平均成本為141美元。然而，醫療保健機構的平均成本為380美元，金融服務平均成本為245美元。行業的數據特性，全球共通，醫療及金融行業的數據更多涉及公眾個人隱私及資產信息，數據量龐大;另一方面，從業務角度來看，這兩個行業與其他行業的數據集中、共享需求更為明顯，從國情來看，這兩個行業除了互相業務交叉，還會與政府、社保、工商、稅務財政等諸多行業發生數據共享，在數據使用和流轉的過程中，節點更多，一旦單點產生安全威脅，可能牽連出跨行業的極大規模數據泄露，由此產生的惡劣社會影響難以估計。

我們在與這些行業的用戶接觸時，發現他們對於數據安全防護的意識也更為強烈，但同時又有另一點考慮，由於業務複雜度高且應用繁多，用戶希望能夠在實現安全保障的基礎上不影響業務穩定性及連續性，這對於諸如資料庫防火牆、資料庫加密等技術手段的要求更高，這些必備的產品需要具備大型項目的實施基礎，以確保複雜場景下的性能要求。

今年綜合樣本平均成本按行業分類與四年平均水平

大量使用加密技術可降低成本

報告中指出，廣泛使用加密技術可以節省平均費用16美元，平均每筆記錄費用為125美元(141-16美元)。

在安華金和提出的資料庫安全防護體系中，資料庫加密技術被定義為底線防守。技術效果是將資料庫存儲層的明文數據替換為密文，並設置嚴格的許可權校驗機制，即使退一萬步，資料庫文件已經泄露，沒有密鑰和最高許可權，任何人都無法破解。如果按照每筆節省16美元的成本來算，一個技術手段的實施，可以讓一次大規模過萬條記錄的數據泄露事件成本直接下降數十萬美元，乃至更高。

藉助事件響應小組識別並控制數據泄漏的時間

在今年的研究中，事件響應(IR)團隊降低了每個泄露記錄19美元成本。因此，具有強大的IR能力的公司預計調整后的成本為122美元(每筆記錄141-19美元)。

國內的少數大型企業會成立專門的安全應急團隊，此外，專業的安全企業也應當具備安全攻防的研究能力，能夠為用戶提供及時有效的安全事件響應，通過審計追查等技術手段及人工分析快速定位泄露源，在最短時間內控制泄露規模和態勢，並能夠通過分析攻擊樣本，提供有效的安全加固策略。

無法快速識別數據泄露而增加的成本

通過了解報告中的觀點和分析，這些精確的數學核算讓我們對數據泄露的後果和影響有了更感性的認識。這些有價值的安全建議和技術手段並不會花費太大的成本，然而卻可以讓企業和組織不再為此類負面事件付出數百甚至數千倍的高昂成本，這其中的性價比應該是相當划算的。