您的位置: 网界网 > 安全 > 正文

数据泄露事故真正成本是每条记录154美元还是58美分?

2015年06月10日 10:27:49 | 作者:范范编译 | 来源:网界网

摘要:数据泄露事故成本平均每条记录是58美分还是154美元?对于预先准备有事件响应计划的公司、保险公司、监管人员、审计人员以及可确保公司对此类事件预有准备的人员来说,这其中有着很大的差别。

标签
安全
成本
数据泄露

【CNW独家编译】数据泄露事故成本平均每条记录是58美分还是154美元?对于预先准备有事件响应计划的公司、保险公司、监管人员、审计人员以及可确保公司对此类事件预有准备的人员来说,这其中有着很大的差别。

波耐蒙研究所在对2014年出现数据外泄的350家公司进行分析后所得出了154美元的结论。在分析中,该研究所使用了一个以近十年来数据泄露的真实成本为基础的分析模型。Verizon'的58美分结论是根据2014年191起保险索赔得出来的。这也是Verizon对这些数据展开研究的第一年。

除了数据来源不同,波耐蒙研究所的研究还包括了Verizon研究所未涉及的间接成本。IBM 安全部门副总裁Caleb Barlow认为Verizon评估的数字过低。IBM认为今年波耐蒙研究所报告中给出的数字更为真实。他称,发生数据泄露的公司至少必须要写信通知用户他们发生了数据外泄,并需要花钱进行信用监测。 “虽然Verizon也下功能进行了研究,但是我们不得不对他们的结论持怀疑态度,因为58美分甚至都不够打印和邮寄这些信件的费用。”

保险索赔有多大用处?

波耐蒙研究所创始人兼董事长Larry Ponemon称,通常公司所投保险的责任范围无法涵盖数据泄露的全部成本。同时这些保险也不会涵盖间接成本或是业务损失。例如,Target近期的数据泄露预计将导致公司为此支出10亿美元,而他们仅投保了1亿美元。

据波耐蒙研究所上月公布的研究显示,公司通常所购保险只涵盖其固定资产价值的50%,数字资产价值的12%。他们的这一研究结果得到了全球保险代理商Aon Plc的支持。此外,Ponemon还指出,公司通常都有会一定的免赔额,从而降低了保费的成本。

不过,Verizon的风险团队高级分析师Jay Jacobs对此并不认同,他认为目前没有证据显示公司对他们的网络资产投保过低。如果公司投保过低,那么他们在索赔时会要求到达赔付上限。

直接成本与间接成本

Ponemon认为(+微信关注网络世界),在发生数据泄露时公司必须要计入许多间接成本。如员工可能要停止正常的工作以应对数据泄露事件,这些工作也必须要被计入。

业务损失也是数据泄露总成本中的一个重要组成部分。客户流失、获取客户所需的成本、名誉损失等成本已经由前些年133万美元增加至了157万美元。而这些并没有体现在保险数据上,其中只包括了在发生数据泄露后公司蒙受的部分大额损失。Jacobs认为,间接成本存在问题,这也是保险公司不将它们计入的原因。他称:“这些间接成本真的难以被量化。”

他称,在年度报告中,Verizon收集的都是源自真实事件的确凿数据、真实的取证分析和受害公司提出的实际索赔情况。此外,Jacobs认为在大规模数据泄露当中,每条记录真正成本实际上不足1美分。 “关于每条记录的平均成本的讨论实际上存在误导性。我们展示每条记录成本为58美分这一结论的初衷是想揭示这种讨论有多么的愚蠢。”

统计真实性

Ponemon认为Verizon的回归分析法的基础是少量的数据点,不具备统计的代表性。他称:“Verizon数据泄露事件调查报告的主要部分非常有意思。其将重点放在了数据泄露事件本身的取证分析上了。”他建议公司今后也将重点放在这上面。

不过,Jacobs反驳称:“我们认真研究了191个样本。目前还没有说不能使用这种规模的样本进行回归分析。这191个样本都是很好的样本。Ponemon的说法是极端错误的和愚昧的。”

[责任编辑:鹿宁宁 lu_ningning]

我也说几句