數據泄露成本飆升:購買網絡保險的5個理由
責編:gltian |2019-02-28 13:43:04鑒于網絡環境的日趨復雜以及威脅的不斷變化,組織盡可能地采取積極主動的手段也變得更為重要。
盡管數據泄露成本正在不斷飆升,但是大多數組織仍未做好應對財務和聲譽影響的準備。這也就很好地解釋了為什么對于組織而言,網絡保險日益成為了一項必不可少的業務。
如今,網絡風險仍然是每個董事會和中小型企業(SEM)領導者的主要關注點。
目前的網絡格局異常混亂——國家支持的間諜組織、經濟動機的網絡犯罪團伙以及由于疏忽所導致的數據丟失案件層出不窮。風險無處不在,而其造成的經濟后果也是異常沉重。不得不說,網絡威脅仍然是當今組織面臨的最重要且不斷增長的風險之一,但糟糕的現實是,很少有組織真正準備好了應對這一挑戰。
根據Ponemon Institute最新的年度數據違規成本研究顯示,2018年數據泄露的全球平均成本已高達148美元,較2017年增長了6.4%。有趣的是,經歷過最昂貴的損失成本的地點包括美國和英國,其報告的損失成本幾乎是全球平均水平的5倍。
很顯然,這種問題并不會消失。雖然網絡安全最常因大規模的泄露事件登上新聞頭條,但最常見的威脅實際上卻是針對中小型企業。本質上來說,較小的組織一般是敏捷且創新的,它們會利用技術和互聯網的力量來吸引客戶群,但是,正是這種技術和互聯網的大范圍運用反而增加了攻擊面。根據國家網絡安全聯盟進行的一項研究結果顯示,60%遭受黑客攻擊的中小型企業都會在6個月后面臨停業倒閉結局。
購買網絡保險的5個理由
在如今這樣一個 “數字干擾” 時代,想要增強自身對網絡風險的抵御能力,便要了解網絡治理責任的全部范圍。以下是為什么每個企業(無論規模或所有權)都需要網絡保險的5個理由:
1. 網絡犯罪正呈現指數級增長
絕大多數企業都異常依賴在線服務,這也進一步擴大了它們的網絡攻擊面。根據英國政府進行的《2018年網絡安全漏洞調查報告》顯示,在過去12個月中,43%接受調查的英國組織遭受過網絡安全攻擊或數據泄露事件。由于高度復雜的攻擊手段如今已經司空見慣,企業需要假設它們會在某些時候遭到破壞,并制定措施(例如,購買網絡保險)緩解風險。
2. 數據泄露成本異常昂貴
如上所述,據Ponemon Institute《2018年數據違規成本研究》結果顯示,2018年全球數據泄露平均成本為148美元,而數據泄露的總成本已接近400萬美元。這一數據還不包括歐盟《通用數據保護法案》(GDPR,2018年5月生效)和加利福尼亞州《消費者保護法案》(2020年正式生效)所涉及的罰款和制裁金額。相信未來當這些法案都正式生效后,這些損失成本一定會進一步增長。
但是,組織遭受攻擊的真正代價不僅僅只有財務或補救成本,還會造成無法估量和挽回的聲譽損失——遭受網絡攻擊可能會導致客戶的信任感喪失,從而造成客戶流失;此外,“安全性差”的名聲也可能導致組織無法開展新的業務或獲得政府合同等等。
3. 如果第三方數據在泄漏事件中受到損害,組織需要承擔法律和財務責任
美國國防部(DoD)和歐盟GDPR宣布的新法規規定,組織只負責任命第三方,這些第三方需要能夠提供足夠的保證,以滿足NIST 800-171和GDPR的要求。國防部和英國信息專員辦公室(ICO)將對未進行盡職調查以確保第三方合規的任何組織進行責任追究,并可能對其進行罰款。如今,“監管罰款”幾乎已經成了數據泄露的同義詞,而且網絡風險已然實現全球化趨勢,這使得遵守不同地區的各種監管政策變得更具挑戰性。
4. 標準/一般保險政策不包括網絡風險
網絡保險是專門用于處理數據隱私和安全的獨特險種,也可作為保護企業免受數據泄露造成的財務和聲譽損失的后盾。雖然一般保險政策可能涵蓋某些類別的損失,但通常會存在許多重大差距,且網絡事件可能會影響眾多保險類別。一般保險政策通常不太可能承擔“普通的”安全漏洞損失成本,更別說是網絡攻擊或“黑客活動”造成的損失成本了。只有專業的網絡保險政策能夠提供廣泛的保障。但是,組織需要仔細研究政策,以了解其所提供的保險水平以及自身在政策條件下需要履行的責任。
5. 提高網絡意識和風險管理
保險只是盡可能挽回損失的一種手段,單純地采取網絡保險政策并不能保護組織免受網絡攻擊侵擾。鑒于最常見的網絡風險是社會工程——即員工自愿但不知不覺地允許攻擊發生的行為,因此組織必須讓每位員工接受有關 “如何避免和識別網絡威脅” 的培訓,在正確掌握基礎知識的前提下,更好地防范網絡威脅。事實上,網絡攻擊所造成的絕大部分傷害都是由于被攻擊方無法做出正確的響應。組織需要制定一個全面的風險管理計劃,詳細說明公司在面對包括未知威脅在內的網絡攻擊時應該做出的響應措施。
打好基礎最關鍵
鑒于網絡環境日趨復雜且威脅不斷變化,組織盡可能地采取積極主動的方式變得越來越重要。Cyber Essentials是由英國政府制定,得到行業支持并認可的信息安全認證計劃,旨在幫助企業防范外來網絡威脅。據了解,Cyber Essentials(數碼安全要略)最初于2014年面世,由英國政府通信電子安全小組(CESG)(英國政府通信總部GCHQ 之信息安全部門)和英國政府商業、創新和技能部以及 BSI(英國標準協會)、中小企業信息安全保障(IASME)聯盟和信息安全論壇(ISF)共同開發。自2014年10月起,所有為英國中央政府處理敏感及個人信息的ICT(信息和通訊技術)供應商都必須通過Cyber Essentials認證。
據悉,Cyber Essentials認證分為兩個等級:第一級Cyber Essentials要求機構完成自我評估問卷,由獲得認可的認證機構驗證后頒發;第二級Cyber Essential Plus為安全提升級,主要針對機構面臨外部網絡和互聯網攻擊時的韌性及續航力,需要機構通過認可認證機構的獨立安全控制測試,以提供更高水平的保障。
英國當局認為,開展認證途徑將有助于組織——尤其是可能沒有設置專門的網絡安全小組的中小型企業,一致且高效地協調一個地方的所有安全實踐。認證是衡量組織網絡安全方法成熟度的重要指標。它有助于防范最常見的網絡威脅,并表現出對網絡安全的承諾。雖然網絡保險可以在組織面臨網絡威脅時提供一層保護,但它不能替代良好的網絡衛生行為。
網絡保險應該被視為公司整體風險管理的重要補充,但在面對網絡風險和數據泄露之前,組織不應該坐以待斃!
Ponemon Institute《2018年數據違規成本研究》:
https://securityintelligence.com/ponemon-cost-of-a-data-breach-2018/