數(shù)據(jù)泄露成本飆升:購買網(wǎng)絡(luò)保險(xiǎn)的5個(gè)理由
責(zé)編:gltian |2019-02-28 13:43:04鑒于網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜以及威脅的不斷變化,組織盡可能地采取積極主動(dòng)的手段也變得更為重要。
盡管數(shù)據(jù)泄露成本正在不斷飆升,但是大多數(shù)組織仍未做好應(yīng)對財(cái)務(wù)和聲譽(yù)影響的準(zhǔn)備。這也就很好地解釋了為什么對于組織而言,網(wǎng)絡(luò)保險(xiǎn)日益成為了一項(xiàng)必不可少的業(yè)務(wù)。
如今,網(wǎng)絡(luò)風(fēng)險(xiǎn)仍然是每個(gè)董事會(huì)和中小型企業(yè)(SEM)領(lǐng)導(dǎo)者的主要關(guān)注點(diǎn)。
目前的網(wǎng)絡(luò)格局異常混亂——國家支持的間諜組織、經(jīng)濟(jì)動(dòng)機(jī)的網(wǎng)絡(luò)犯罪團(tuán)伙以及由于疏忽所導(dǎo)致的數(shù)據(jù)丟失案件層出不窮。風(fēng)險(xiǎn)無處不在,而其造成的經(jīng)濟(jì)后果也是異常沉重。不得不說,網(wǎng)絡(luò)威脅仍然是當(dāng)今組織面臨的最重要且不斷增長的風(fēng)險(xiǎn)之一,但糟糕的現(xiàn)實(shí)是,很少有組織真正準(zhǔn)備好了應(yīng)對這一挑戰(zhàn)。
根據(jù)Ponemon Institute最新的年度數(shù)據(jù)違規(guī)成本研究顯示,2018年數(shù)據(jù)泄露的全球平均成本已高達(dá)148美元,較2017年增長了6.4%。有趣的是,經(jīng)歷過最昂貴的損失成本的地點(diǎn)包括美國和英國,其報(bào)告的損失成本幾乎是全球平均水平的5倍。
很顯然,這種問題并不會(huì)消失。雖然網(wǎng)絡(luò)安全最常因大規(guī)模的泄露事件登上新聞?lì)^條,但最常見的威脅實(shí)際上卻是針對中小型企業(yè)。本質(zhì)上來說,較小的組織一般是敏捷且創(chuàng)新的,它們會(huì)利用技術(shù)和互聯(lián)網(wǎng)的力量來吸引客戶群,但是,正是這種技術(shù)和互聯(lián)網(wǎng)的大范圍運(yùn)用反而增加了攻擊面。根據(jù)國家網(wǎng)絡(luò)安全聯(lián)盟進(jìn)行的一項(xiàng)研究結(jié)果顯示,60%遭受黑客攻擊的中小型企業(yè)都會(huì)在6個(gè)月后面臨停業(yè)倒閉結(jié)局。
購買網(wǎng)絡(luò)保險(xiǎn)的5個(gè)理由
在如今這樣一個(gè) “數(shù)字干擾” 時(shí)代,想要增強(qiáng)自身對網(wǎng)絡(luò)風(fēng)險(xiǎn)的抵御能力,便要了解網(wǎng)絡(luò)治理責(zé)任的全部范圍。以下是為什么每個(gè)企業(yè)(無論規(guī)模或所有權(quán))都需要網(wǎng)絡(luò)保險(xiǎn)的5個(gè)理由:
1. 網(wǎng)絡(luò)犯罪正呈現(xiàn)指數(shù)級增長
絕大多數(shù)企業(yè)都異常依賴在線服務(wù),這也進(jìn)一步擴(kuò)大了它們的網(wǎng)絡(luò)攻擊面。根據(jù)英國政府進(jìn)行的《2018年網(wǎng)絡(luò)安全漏洞調(diào)查報(bào)告》顯示,在過去12個(gè)月中,43%接受調(diào)查的英國組織遭受過網(wǎng)絡(luò)安全攻擊或數(shù)據(jù)泄露事件。由于高度復(fù)雜的攻擊手段如今已經(jīng)司空見慣,企業(yè)需要假設(shè)它們會(huì)在某些時(shí)候遭到破壞,并制定措施(例如,購買網(wǎng)絡(luò)保險(xiǎn))緩解風(fēng)險(xiǎn)。
2. 數(shù)據(jù)泄露成本異常昂貴
如上所述,據(jù)Ponemon Institute《2018年數(shù)據(jù)違規(guī)成本研究》結(jié)果顯示,2018年全球數(shù)據(jù)泄露平均成本為148美元,而數(shù)據(jù)泄露的總成本已接近400萬美元。這一數(shù)據(jù)還不包括歐盟《通用數(shù)據(jù)保護(hù)法案》(GDPR,2018年5月生效)和加利福尼亞州《消費(fèi)者保護(hù)法案》(2020年正式生效)所涉及的罰款和制裁金額。相信未來當(dāng)這些法案都正式生效后,這些損失成本一定會(huì)進(jìn)一步增長。
但是,組織遭受攻擊的真正代價(jià)不僅僅只有財(cái)務(wù)或補(bǔ)救成本,還會(huì)造成無法估量和挽回的聲譽(yù)損失——遭受網(wǎng)絡(luò)攻擊可能會(huì)導(dǎo)致客戶的信任感喪失,從而造成客戶流失;此外,“安全性差”的名聲也可能導(dǎo)致組織無法開展新的業(yè)務(wù)或獲得政府合同等等。
3. 如果第三方數(shù)據(jù)在泄漏事件中受到損害,組織需要承擔(dān)法律和財(cái)務(wù)責(zé)任
美國國防部(DoD)和歐盟GDPR宣布的新法規(guī)規(guī)定,組織只負(fù)責(zé)任命第三方,這些第三方需要能夠提供足夠的保證,以滿足NIST 800-171和GDPR的要求。國防部和英國信息專員辦公室(ICO)將對未進(jìn)行盡職調(diào)查以確保第三方合規(guī)的任何組織進(jìn)行責(zé)任追究,并可能對其進(jìn)行罰款。如今,“監(jiān)管罰款”幾乎已經(jīng)成了數(shù)據(jù)泄露的同義詞,而且網(wǎng)絡(luò)風(fēng)險(xiǎn)已然實(shí)現(xiàn)全球化趨勢,這使得遵守不同地區(qū)的各種監(jiān)管政策變得更具挑戰(zhàn)性。
4. 標(biāo)準(zhǔn)/一般保險(xiǎn)政策不包括網(wǎng)絡(luò)風(fēng)險(xiǎn)
網(wǎng)絡(luò)保險(xiǎn)是專門用于處理數(shù)據(jù)隱私和安全的獨(dú)特險(xiǎn)種,也可作為保護(hù)企業(yè)免受數(shù)據(jù)泄露造成的財(cái)務(wù)和聲譽(yù)損失的后盾。雖然一般保險(xiǎn)政策可能涵蓋某些類別的損失,但通常會(huì)存在許多重大差距,且網(wǎng)絡(luò)事件可能會(huì)影響眾多保險(xiǎn)類別。一般保險(xiǎn)政策通常不太可能承擔(dān)“普通的”安全漏洞損失成本,更別說是網(wǎng)絡(luò)攻擊或“黑客活動(dòng)”造成的損失成本了。只有專業(yè)的網(wǎng)絡(luò)保險(xiǎn)政策能夠提供廣泛的保障。但是,組織需要仔細(xì)研究政策,以了解其所提供的保險(xiǎn)水平以及自身在政策條件下需要履行的責(zé)任。
5. 提高網(wǎng)絡(luò)意識和風(fēng)險(xiǎn)管理
保險(xiǎn)只是盡可能挽回?fù)p失的一種手段,單純地采取網(wǎng)絡(luò)保險(xiǎn)政策并不能保護(hù)組織免受網(wǎng)絡(luò)攻擊侵?jǐn)_。鑒于最常見的網(wǎng)絡(luò)風(fēng)險(xiǎn)是社會(huì)工程——即員工自愿但不知不覺地允許攻擊發(fā)生的行為,因此組織必須讓每位員工接受有關(guān) “如何避免和識別網(wǎng)絡(luò)威脅” 的培訓(xùn),在正確掌握基礎(chǔ)知識的前提下,更好地防范網(wǎng)絡(luò)威脅。事實(shí)上,網(wǎng)絡(luò)攻擊所造成的絕大部分傷害都是由于被攻擊方無法做出正確的響應(yīng)。組織需要制定一個(gè)全面的風(fēng)險(xiǎn)管理計(jì)劃,詳細(xì)說明公司在面對包括未知威脅在內(nèi)的網(wǎng)絡(luò)攻擊時(shí)應(yīng)該做出的響應(yīng)措施。
打好基礎(chǔ)最關(guān)鍵
鑒于網(wǎng)絡(luò)環(huán)境日趨復(fù)雜且威脅不斷變化,組織盡可能地采取積極主動(dòng)的方式變得越來越重要。Cyber Essentials是由英國政府制定,得到行業(yè)支持并認(rèn)可的信息安全認(rèn)證計(jì)劃,旨在幫助企業(yè)防范外來網(wǎng)絡(luò)威脅。據(jù)了解,Cyber Essentials(數(shù)碼安全要略)最初于2014年面世,由英國政府通信電子安全小組(CESG)(英國政府通信總部GCHQ 之信息安全部門)和英國政府商業(yè)、創(chuàng)新和技能部以及 BSI(英國標(biāo)準(zhǔn)協(xié)會(huì))、中小企業(yè)信息安全保障(IASME)聯(lián)盟和信息安全論壇(ISF)共同開發(fā)。自2014年10月起,所有為英國中央政府處理敏感及個(gè)人信息的ICT(信息和通訊技術(shù))供應(yīng)商都必須通過Cyber Essentials認(rèn)證。
據(jù)悉,Cyber Essentials認(rèn)證分為兩個(gè)等級:第一級Cyber Essentials要求機(jī)構(gòu)完成自我評估問卷,由獲得認(rèn)可的認(rèn)證機(jī)構(gòu)驗(yàn)證后頒發(fā);第二級Cyber Essential Plus為安全提升級,主要針對機(jī)構(gòu)面臨外部網(wǎng)絡(luò)和互聯(lián)網(wǎng)攻擊時(shí)的韌性及續(xù)航力,需要機(jī)構(gòu)通過認(rèn)可認(rèn)證機(jī)構(gòu)的獨(dú)立安全控制測試,以提供更高水平的保障。
英國當(dāng)局認(rèn)為,開展認(rèn)證途徑將有助于組織——尤其是可能沒有設(shè)置專門的網(wǎng)絡(luò)安全小組的中小型企業(yè),一致且高效地協(xié)調(diào)一個(gè)地方的所有安全實(shí)踐。認(rèn)證是衡量組織網(wǎng)絡(luò)安全方法成熟度的重要指標(biāo)。它有助于防范最常見的網(wǎng)絡(luò)威脅,并表現(xiàn)出對網(wǎng)絡(luò)安全的承諾。雖然網(wǎng)絡(luò)保險(xiǎn)可以在組織面臨網(wǎng)絡(luò)威脅時(shí)提供一層保護(hù),但它不能替代良好的網(wǎng)絡(luò)衛(wèi)生行為。
網(wǎng)絡(luò)保險(xiǎn)應(yīng)該被視為公司整體風(fēng)險(xiǎn)管理的重要補(bǔ)充,但在面對網(wǎng)絡(luò)風(fēng)險(xiǎn)和數(shù)據(jù)泄露之前,組織不應(yīng)該坐以待斃!
Ponemon Institute《2018年數(shù)據(jù)違規(guī)成本研究》:
https://securityintelligence.com/ponemon-cost-of-a-data-breach-2018/
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧