17%的組織云安全實踐幾乎為零

IBM安全在7月發布新版《2022年數據泄露成本報告》，報告結合獨立研究機構波尼蒙研究所的調研數據，IBM安全最終完成分析并發布。該報告以年度單位發布，距今已有17個年頭，今年的報告是根據2021年3月至2022年3月期間對17個國家/地區的550家組織的采訪調研編制而成。報告為商業化成熟的IT、風險管理和安全領導提供一個視角，有助于讓他們更好的管理本地與云端數據泄露風險，對國內企業出海也有一定參考意義。

關于數據泄露成本的說明

關于該報告提及的數據泄露成本，指的是從安全事件發生，到應急響應結束，組織業務系統完全恢復，前、中、后所產生的所有支出，如事件的調查費用，聘請安全專家的費用，采用安全產品或服務的費用，組織的危機管理費用，以及業務停擺損失及聲譽損失，相應的法律合規損失，與組織為客戶提供的緩解舉措成本等等。該報告強調，參與調研的事件當中不包含特大違規行為，即超過100萬條數據泄露事件，因為大型違規事件的平均成本通常在數千萬到數億美元之間。

數據泄露成本達到歷史新高

報告表示，2022年，總體而言的數據泄露成本達到歷史新高，平均為435萬美元，該數字相比去年增加了2.6%，2021年數據泄露成本為424萬美元。而相比2020年的386萬美元，2022年的數據泄露成本增長了12.7%。

在關鍵基礎設施一側，數據泄露的平均成本則為482萬美元，比其他行業組織的平均成本高100美元。關基行業包括金融服務、工業、技術、能源、交通、通信、醫療、教育和公共部門，本次調研顯示，28%的關基單位在過去一年遭受過勒索軟件攻擊。

在此次參與調研的機構當中，11%的數據泄露事件因勒索攻擊造成，相比2021年的7.8%有所增加。數據顯示，勒索軟件攻擊的平均成本略有下降，從2021年的462萬美元降到了2022年的454萬美元（不包含支付贖金的成本），但這一成本仍然高于數據泄露的總體平均成本。數據泄露的主要原因被歸咎于憑證泄露，它造成了總體的20%的數據泄露。網絡釣魚是第二常見的原因，占了16%。

在過去一年，近一半的數據泄露發生在云上，報告指出這一比例占據了45%。其中混合云的數據泄露成本為380萬美元，私有云則為424萬美元，公有云則為502萬美元。在云端安全實踐方面，26%的組織說他們處于云安全實踐的早期階段，34%的組織處于中期階段，只有23%的組織處處成熟階段。另外，還有17%的組織云安全實踐幾乎為零。

此前國內網絡安全上市企業山石網科發布《數據安全治理白皮書》也曾指出，在云計算環境下，數據安全流動問題凸出，面臨黑客攻擊、數據泄露、數據濫用、操作失誤等內外部風險，數據安全已成為云上安全的防護重點。其白皮書指出，針對云計算環境的數據安全解決方案，則需要深度融入云環境和大數據環境當中，安全設備的堆砌無法徹底解決數據安全問題帶來的投資和運維復雜問題。

令人遺憾的一份數據顯示，參與調研的550個組織當中，83%的組織表示他們不止經歷一次數據泄露事件，報告分析，安全團隊正面臨著空前的壓力，在疫情造成的遠程工作的普遍存在當下，全球的數據泄露事件可能還會持續攀升。另外一份數據更加耐人尋味，參與調研的60%的企業表示他們因為數據泄露的發生，提升了他們的產品和服務的價格。

醫療機構仍連續12年保持數據泄露成本最高

該報告指出，在各行業當中，醫療機構仍然是數據泄漏成本最高的行業，且這一趨勢已保持了12年之久，他們的平均數據泄露成本又高出100萬美元。而美國是數據泄露成本全球最高的國家，其平均數據泄露成本為944萬美元，在美醫療機構的數據泄露成本則高達1010萬美元。金融機構的數據泄露成本緊隨其后。之所以其數據泄露成本更高，主要是它們均是受到嚴格監管的行業，而這些行業通常表現為泄露后的幾年內產生來自法律方面的成本。

全球不同地區存在差異

在全球范圍，數據泄露平均成本最高的前五個國家和地區分別是：美國944萬美元、中東746萬美元、加拿大564萬美元、英國505萬美元和德國485萬美元。增速最快的國家是巴西，從108萬美元增長到了138萬美元。

關于數據泄露生命周期

在數據泄露生命周期方面，組織一側識別和控制數據泄露的平均時間從2021年的287天降至277天，這意味著，如果數據泄露發現在當年的1月1日，那么組織需要在10月4日才能確定和遏制數據泄露。報告說該水平為過去幾年里的平均水平，這也代表著組織對發現和應急處理數據泄露的水平高低。報告進一步表示，數據泄露生命周期如果超過200天，其數據泄露成本為486萬美元，低于200天的話，則會降至374萬美元。

安全基線對數據泄露成本的影響

報告關注了具有安全建設基線的數據泄露成本，為此他們引用了兩個數據來說明問題，一個是在沒有部署安全AI和自動化相關產品的組織在數據泄露的成本方面是620萬美元，有部署的數據泄露成本則為315萬美元，這顯示了安全支出的重要性。報告還指出，在部署安全AI和自動化的前提下，漏洞生命周期的影響時間平均縮短了74天，他們的分別影響時間是249天和323天。

報告還分析了組織在其它安全工具加持下，對于數據泄露成本方面的影響。比如擁有XDR技術的組織就比沒有XDR組織在發現和控制漏洞的速度快29天，且可解約40萬美元成本。部署零信任的組織平均節約近100萬美元數據泄露成本，在受訪組織當中，41%的組織表示他們已經部署了零信任安全架構。

數據安全產業保持增長態勢

中國信通院此前發布的《數據安全技術與產業發展研究報告（2021年）》關注了IBM在數據安全領域內的發展情況，該報告指出，伴隨數字技術不斷發展，人工智能、大數據、云計算等新技術不斷成熟落地，IBM等國外頭部廠商充分利用人工智能待技術在算法優化、數據處理、漏洞分析、響應速度待方面的優勢，研發并推出了“人工智能+數據安全”等數據安全解決新方案，以期更加高效和快速響應，解決數據安全風險。

信通院報告在觀察國內數據安全產業發展時則表示，數字經濟飛速發展的同時，數據泄露、濫用事件層出不窮。近幾年數據安全法律法規、監管政策不斷出臺，企業數據安全防護、監測、監管、隱私保護等需求逐步顯現，推動數據安全產品和服務快速發展。從國內上市網絡安全企業奇安信、中孚信息、天融信財報來看，其數據安全產品均已成為公司主要盈利產品。信通院報告認為，數據安全市場規模不斷擴大，未來3到5年內將繼續保持調整增長態勢。

觀察發現，盡管國內關于企業不履行合規義務造成網絡安全、數據泄露事件的處罰力度不斷加大，但與歐美發達國家相比，監管手段方面仍需要不斷完善，如某安全公司高管在接受安全419采訪時表示，我國尚未實行網絡安全披露制度，這就會造成絕大多數企業瞞報安全事件、數據泄露事件，這對企業自身與安全產業的發展均無益處。