用戶買單？2022年數據泄露平均成本達440萬美元

7月27日發布的年度報告顯示，60%的數據泄露導致公司通過提高價格來補償罰款、清理和技術改進的成本，實質上就是讓消費者為數據泄露和公司缺乏準備買單。

《2022年數據泄露成本報告》基于對550家公司的高管和安全專業人員的調查訪問，報告顯示，數據泄露的成本在2022年延續上升趨勢，全球平均成本高達440萬美元（比2020年增加13%) ，美國的數據泄露平均成本甚至達到940萬美元之巨。公司平均需要277天來識別和遏制數據泄露，比2021年的287天略有改善，但83%的公司在2022年遭遇不止一次數據泄露。

“很明顯，網絡攻擊正在演變為市場壓力源，可引發連鎖反應；而且我們可以看到，這些數據泄露還在為通脹壓力添磚加瓦。”IBM Security X-Force研究團隊戰略主管John Hendley表示，“我們不得不將網絡事件視為能夠收緊經濟的因素，類似新冠疫情、俄烏沖突、燃氣價格等等。”

商業電郵欺詐和網絡釣魚攻擊引發高成本數據泄露事件（數百萬美元級別）

這份年度報告基于波耐蒙研究所進行的調查，而且并非首次嘗試評估數據泄露對企業資產負債表的影響。去年，安全運營公司IronNet 一項調查發現，大多數公司都受到網絡管理公司SolarWinds供應鏈攻擊的影響，處理該事件的開銷令公司平均損失11%的營收。 

總體而言，專家估計該事件將致SolarWinds損失約1800萬美元，但會令1.8萬家受影響的企業和政府機構損失多達1000億美元的清理費用。

落在消費者頭上的“網絡稅”

Hendley指出，雖然網絡安全專家不斷敦促公司做好系統被黑的準備，但他們仍然在制止攻擊者方面問題重重，而且公司會將網絡安全成本轉嫁給消費者。他認為，這表明數據泄露和網絡攻擊實質上就是在產生網絡稅，增加了下游消費者和客戶的成本。

“只要想到83%的企業在其存在期間至少會遭遇一次數據泄露，就很難說我們需要應用懲罰性賠償來幫助防止數據泄露。”Hendley稱，“惡意黑客總有辦法入侵，所以我認為，我們可以擁有的最佳安全投資，是嘗試從保護邊界轉變為像攻擊者一樣思考。”

除了給數據泄露和罰款貼上網絡稅的標簽，這份報告還強調了網絡安全行業中的各種趨勢。例如，如果能將數據泄露檢測與響應時間減少到不到200天，公司就可以節省110萬美元，即節省數據泄露平均成本的23%。

醫療保健行業的數據泄露成本最高 

取決于受影響行業的類型，單起數據泄露事件的成本差異很大。監管嚴格的醫療保健行業仍是數據泄露成本最高的行業，2022年每起數據泄露事件的平均成本高達1000萬美元，而金融公司每起泄露事件平均支出600萬美元，是數據泄露成本第二高的行業。制藥公司和科技公司并列第三，每起數據泄露事件支出500萬美元。

盡管有跡象表明勒索軟件攻擊有所下降（今年到目前為止），勒索軟件仍舊對業務產生重大影響。調查發現，支付贖金的公司在清理成本方面花費較少，但高額贖金抵消了省下來的大部分清理開支。此外，安全公司CyberReason去年發布的《勒索軟件：真實的業務成本》報告顯示，支付贖金的公司中80%都再次遭到了攻擊。

網絡釣魚攻擊的成本更勝一籌

其他研究凸顯出了勒索軟件對尚未準備好應對破壞性攻擊的公司所造成的影響。遭遇勒索軟件攻擊的全球公司中有三分之二遭受了重大營收損失，受訪美國公司中則是58%遭受了重大損失。總體而言，這些攻擊導致31%的全球公司停止了部分業務。

數字風險保護公司Digital Shadows高級網絡威脅情報分析師Nicole Hoffman表示：“選擇支付贖金的勒索軟件受害者與拒絕支付贖金的受害者之間的成本差異很有意思。支付贖金的受害者通常會在遭遇初次攻擊后的幾個月內再次成為攻擊目標，這會大大增加經濟損失。在做是否支付贖金的艱難商業決策時，這些都是需要考慮的重要因素。”

即便如此，最初的攻擊渠道也對成本具有重大影響。商務電郵入侵（BEC）和網絡釣魚攻擊導致的數據泄露平均成本最高：每起事件約為490萬美元；第三方漏洞和被盜憑證造成的平均損失約為每起事件450萬美元。

這份IBM和波耐蒙研究所的報告還明確指出了可能對數據泄露成本形成巨大影響的幾種技術。使用人工智能和機器學習（AI/ML）技術、設置DevSecOps流程，以及組建事件響應團隊，平均每起事件分別可為公司節省約30萬美元、27.6萬美元和25.3萬美元。 

相較之下，安全系統過于復雜、正在將業務遷移到云端，以及存在不合規現象的話，每起事件的平均成本就會增加很多。

該報告基于對來自550家不同規模公司的員工的3600多份訪談，重點關注泄露規模在2200到10.2萬條記錄的數據泄露事件，規模超出此范圍的數據泄露事件不包括在內。