互联网+公司不得不算的一笔账: 理解数据泄露的风险、成本及如何采取行动

*微思客重视版权保护。本文首发于《互联网前沿》2016年第32期,经作者授权发表于微思客。转载请事先联系作者或微思客团队。

 

编者按
对于任何一家互联网+公司来说,数据泄露已经成为重要的新型商业风险。数据泄露数量级之高,使其不再是简单的科技事件,而成为了严重的社会问题。数据泄露究竟意味着什么?究竟是什么原因导致我们的数据如此不安全?对于频繁发生的泄露事件,互联网+公司又该做些什么?本文尝试探索这三大问题的答案。

互联网+公司不得不算的一笔账:

理解数据泄露的风险、成本及如何采取行动

李汶龙

进入21世纪,数据泄露愈发频繁,从13年的Target[1]。到14年的Sony Pictures[2],再到今年的Ashley Madison[3],全球范围内很多公司先后遭受重创,泄露范围之广、频率之高令人瞠目。甚至有人将2014年称之为“数据泄露元年”(A Year of Mega Breaches)[4]。数据泄露数量级之高,使其不再是简单的科技事件,而成为了严重的社会问题。本文开篇将站在国际和本土双重视角为数据泄露问题提供一个全貌,之后进入微观层面探讨相关的直接和间接成本,以及导致数据泄露发生的不同因素。在此基础上,本文探讨互联网+公司如何应对数据泄露的风险,如何在战略和具体方案上采取行动。
2014年丢失或失窃的数据量。图片来源:data-protection.safenet-inc.com
数据泄露已然成为信息社会的全球性问题
初步踏入信息社会的我们并没有找到保障数据安全的有效方式。世界上几乎没有哪个国家未遭遇过数据危机,数据泄露的风险俨然已经成为全球性难题。波耐蒙研究所 (Ponemon Institute LLC) 发布的《2015年数据泄露成本全球分析报告》显示[5],几乎所有发达国家都受到数据泄露的挑战,但在范围、程度及成本上有略微不同。相比之下,巴西和法国最容易发生数据泄露,而加拿大和德国的几率最小。2015年,全球数字安全公司Gemalto调查了澳大利亚、巴西、法国、德国、日本、英国及美国的5750位消费者后发现,超过1/3的人曾受到数据泄露的影响,近1/5的人认为在未来1-3年中可能会成为数据泄露的受害者。[6]
 
近些年不断发生的惊人事件让人们开始集中关注数据安全的问题,但其实我们熟知的近期发生的泄露事件在规模和影响上都并不突出,甚至无法“跻身前列”。有史以来最严重的数据泄露发生于2005年到2012年,持续8年之久。来自俄罗斯和乌克兰的黑客组织侵袭了包括纳斯达克在内的多家美国公司,窃取共1.6亿条银行卡号码,侵入80多万银行账号。排名第二的是2014年的eBay数据泄露事件,共1.48亿用户的姓名、住址、生日及密码遭泄。2006-2008年,昔日最大支付公司Heartland的数据泄露事件排名第三,共1.3亿银行账号被黑客获取。[7]
 
中国企业也在劫难逃。2010年,支付宝前技术员工下载了超过20G的支付宝用户资料出售给其他数据公司[8];2011年,天涯网盛极之时,有4000万用户的数据被黑客泄露[9];2014年5月,小米论坛数据有800万注册用户的数据遭泄,黑客随意进进入账户。[10]
 
到了2015年,数据泄露问题仍是社会热点。世界范围内发生的大型数据泄露事件共有四起:15年2月,美国第二大医疗保险公司Anthem数据库遭泄露,近8000万用户的个人信息遭到泄露[11];6月,美国政府人事管理办公室 Home Depot 也惨遭网络袭击,共400多万员工的记录被窃[12];1个月之后,媒体铺天盖地报道了极富争议的已婚人士约会网站Ashley Madison数据被窃事件,共3700万用户受到了影响[13];10月,英国电信公司TalkTalk的400万用户数据被黑客窃走。[14]
10年间数据泄露情况对比。图片来源:IDG News
发生数据泄露的成本究竟有多大?
大型数据泄露事件的直接经济成本几乎都是过亿级别:美国零售巨头Target公司为数据泄露支付了10亿美金[15],索尼娱乐业亏损数十亿[16],美国家居零售商Home Depot要向5600万用户赔偿100亿美金[17]……最新的Ashley Madison泄露事件导致该公司陷入多起诉讼,成本之大不可预估[18]。根据Gemalto的调查,在发生数据泄露事件之后,23%的受害者将会采取,或者已经采取法律诉讼手段,而近一半的调查对象认为,至少会考虑采取法律措施保护个人信息。[19]
 
最新数据显示[20],数据泄露的平均成本已经由2014年的352万美元上升到379万(上涨23%),平均一份数据泄露的成本也由145美元增长为154美元。Pomenon对比各国情况发现,美国数据泄露的成本最高,为217美元,其次是德国的211美元。“泄露成本”最低的是巴西和印度,分别为78和56美元。从行业视角来看,医疗健康领域的成本最高,高达363美元,第二名是教育领域(300美元),最低的是交通领域和公共部门 (public sector),分别为121美元和68美元。
“隐藏成本”
数据泄露的真正成本。图片来源:pcicomplianceguide.org
但是,上面的数字只是冰山一角。数据泄露的成本不仅仅体现在直接的经济损失上,还有很多“隐藏成本”。这里所谓“隐藏成本”,是指那些经常被忽略,不容易与成本建立关联,有些甚至无法被量化的负面因素。
 
所有成本中,重建用户信任的成本最大,[21]而数据泄露却对用户信任带来严重的挑战。在数据事故频发的今天,消费者对于数据公司的信任已经跌到了极点。Gemalto提供的数据显示,只有1/4的消费者认为数据公司非常重视数据安全。而对数据公司的员工所做的调查显示,仅2/5的员工认为自己的公司非常重视数据安全问题。
 
2015年因数据泄露导致的信任危机量化后的成本高达157万美元,2014年这一数字为133万。这些成本包括商誉减损、用户不正常流失、公司随后开展的大量挽救用户的活动。[22]值得一提的是,其他成本尚有保险公司赔偿,但信任补救成本对于公司而言却是“实打实”的损失,而且其负面影响无法全部量化。全球近64%的消费者认为,如果某家公司的财务信息被盗,就不愿意再购买这家公司的服务,或者与其做生意;还有近1/2的人认为,如果某家公司发生了数据泄露事件,也不会再使用他们的服务。[23]
互联网+公司面临的敌人是谁?
用户数据面临的安全威胁来源很多样,有外部因素和内部因素,也有人为因素和非人为因素,但大体可以分为三类:网络恶意袭击、系统故障以及员工行为。[24]
 
网络恶意袭击 (cyberattack) 在所有因素中产生的成本最高:在2015年,每丢失一份数据要产生170美元的成本,与去年相比上涨11美元。此外,今年近一半的数据泄露是黑客恶意袭击所致。[25]近两年,网络恶意袭击成直线上升之势。2013年的报告显示[26],恶意袭击因素在当时的比重仅占37%,与第二名的“人为因素”仅相差2个百分点。两年之后,二者差距已经被实质性地拉大,网络袭击成为“罪魁”,而其他因素如系统故障和人为因素的比例都不超过30%。[27]
 
人为因素也不可被忽视。Symantec的另一项研究表明[28],有超过一半的员工离职12个月以后仍然持有旧公司的保密数据,40%的人会在下一份工作中继续使用这些数据。[29] 62%的员工认为可以在离职后将原公司的数据复制带走,而且大部分人都不会删除原公司的数据。只有47%的公司会在员工离职后仍使用原公司数据的情况下会采取行动,而68%的公司没有任何限制措施。
面对数据泄露风险该怎么办?
数据泄露事件如此猖獗,一定程度上与业界对风险的理解不足和控制不利有关。从公司治理的角度来看,这反映了很多高层对于数据安全问题不以为然,在数据库防御方面没有足够的预算,在公司政策上也没有限制措施。侥幸和过度自信的态度,导致很多公司面临严重的后果:轻则声誉受损,面临大量诉讼;重则服务停滞,濒临破产倒闭。
 
仅靠运气并非解决方案。随着社会数据化程度的加深,互联网+公司的生存发展取决于公司C级高层的态度转变:数据泄露不是一个遥远的概念,也不是一个纯粹的技术问题,而成为了一项重要的商业风险。将控制数据泄露风险提高到公司战略高度,是一个明智且必要的做法。研究结果表明,企业持续性数据风险管理在降低成本上发挥着有效的作用:存在持续性管理方案(Business Continuity Management) 能够有效降低7.1美元/数据的“泄露成本”。
 
在完善具体应对数据泄露的方案上,可以从事前防范和事后处理两个方向入手。
学习如何从数据泄露中保护商业利益。图片来源:Card Connect
1
事前防范
事前防范包括预算和团队管理两方面。首先,降低数据泄露风险需要加大在数据安全方面的投资预算。安全投资的意义在于,有效降低不可预见的数据事故带来的风险,避免公司运营因此受到重创。很多公司对这一问题不够重视,甚至倾向于减少安全方面的成本;但事实证明,节省出的资金却往往会在泄露事故发生后双倍奉还。值得重视的是,处理数据泄露的成本也在逐年增长。这一成本包括展开调查、评估、审计的费用、危机管理团队的运营以及与董事和股东沟通的成本。从2014到2015年,处理数据泄露的平均成本已经由76万美元上涨到近100万美元,幅度超过31%。
 
其次,可以通过购买保险降低可能的损失。研究数据显示,保险能够有效降低4.4美元/数据的成本。[30]举例而言,2014年美国零售巨头Target因数据泄露遭到重创,损失高达6100万美元,但其中有4400万 (72.1%) 得到了保险公司的补偿。这意味着Target给消费者重新置办购物卡,处理法律诉讼和政府调查,以及支持相关执法行动没有花一分钱。[31]
 
再次,公司在组织架构方面应突出数据安全的重要性。目前较为流行的做法是任命首席信息安全官 (Chief Security Information Officer, CSIO),专门管理数据泄露的风险,并围绕这一核心角色建立团队。Symantec的数据显示,设立CISO,并执行强有力的数据安全政策可以有效减少数据泄露成本的20%。[32]
 
最后是员工教育与培训,方向主要有两个:一是开展数据安全意识培训,在公司政策和劳动合同上突出保护数据安全的共同义务;二是教会员工使用防数据丢失的技术。
2
事后处理
事后处理的基础是建立一套全面、完整、可执行的事故应急方案 (Incident response plan)。没有一套可行的方案,将会严重影响到数据泄露的识别与解决的时间周期。公司多快采取行动识别和应对数据泄露时间是与最终的泄露成本存在直接因果关系的。2015年司确认出现数据泄露所需的平均时间为206天,有效阻止数据泄露所需的平均时间为69天。在泄露没有被发现或及时制止之前,每一分钟的代价都是巨大的。Gartner的研究数据显示,网络宕机 (network downtime)的成本是5600美元/分钟。[33]
 
除了完备的应急方案,如今越来越多的公司开始使用基于科学的技术工具 (forensic science) 侦查数据事故背后的网络犯罪活动,目前来看取得了不错的效果。[34] 这一做法可以对公司数据安全状况进行一次完整的评估,展现数据安全可能存在的所有隐患。虽然这可能会增加数据泄露风险控制的成本,但在考虑到公司整体投资情况下值得一试。♛
编辑/李汶龙
参考文献
[1] Target to Settle Claims over Data Breach, (WSJ, 18 August 2015), available at<http://www.wsj.com/articles/target-reaches-settlement-with-visa-over-2013-data-breach-1439912013&gt; accessed by 9 December 2015.
[2] Sony Pictures hack: the whole story, (Engaget, 10 December 2014), available at<http://www.engadget.com/2014/12/10/sony-pictures-hack-the-whole-story&gt; accessed by 9 December 2015.
[3] Ashley Madison Chief Steps down after Data Breach, (NY Times, 28 August 2015), available at< http://www.nytimes.com/2015/08/29/technology/ashley-madison-ceo-steps-down-after-data-hack.html?_r=0&gt; accessed by 9 December 2015.
[4] 2014: A Year of Mega Breaches, (Ponemon Institute LLC, January 2015), available at <http://www.ponemon.org/local/upload/file/2014%20The%20Year%20of%20the%20Mega%20Breach%20FINAL3.pdf&gt; accessed 9 December 2015.
[5] 2015 Cost of Data Breach Study, (Ponemon Institute LLC, May 2015) available at < http://www-03.ibm.com/security/data-breach/&gt; accessed 9 December 2015. 这份2015年的报告共调研了11个国家,包括美国、英国、德国、澳大利亚、法国、巴西、日本、意大利、印度、阿拉伯地区以及加拿大,但没有中国。
[6] Global survey by Gemalto reveals impact of data breaches on customer loyalty, Gemalto, 10 December 2015, available at <http://www.gemalto.com/press/Pages/Global-survey-by-Gemalto-reveals-impact-of-data-breaches-on-customer-loyalty.aspx>accessed 14 December 2015.
[7] The 9 Biggest Data Breaches of All Time, <http://www.huffingtonpost.com/entry/biggest-worst-data-breaches-hacks_55d4b5a5e4b07addcb44fd9e&gt; accessed 5 December 2015. 了解世界范围内发生的所有数据泄漏事件的基本情况,可以访问World’s Biggest Data Breaches <http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/>,该网站将3万以上数据遭泄露的事件都以图像的形式表现出来,并且可以根据年份、行业、数据泄漏的原因进行筛选浏览。
[8] 《近年来发生的信息泄露事件》,《中国证券报》,http://finance.ifeng.com/a/20140616/12544554_0.shtml(登陆日期:2015年12月5日)。
[9] 《天涯、人人多家网站被爆用户数据泄露 数量过亿》,凤凰网,http://tech.ifeng.com/internet/detail_2011_12/26/11566898_0.shtml?_from_ralated(登陆日期:2015年12月5日)。
[10] 《小米800万用户数据泄露 谁该为信息安全负责》,新华网,http://news.xinhuanet.com/newmedia/2014-05/15/c_126504103.htm(登陆日期:2015年12月5日)
[11] Health Insurer Anthem Struck by Massive Data Breach, (Forbes, 4 February 2015), available at<http://www.forbes.com/sites/gregorymcneal/2015/02/04/massive-data-breach-at-health-insurer-anthem-reveals-social-security-numbers-and-more/>accessed by 9 December 2015.
[12] Home Depot’s 56 Million Card Breach Bigger than Target’s, (WSJ, 18 September 2014), available at<http://www.wsj.com/articles/home-depot-breach-bigger-than-targets-1411073571&gt; accessed by 9 December 2015.
[13] NY Times, supra note 3.
[14] Nearly 157,000 had data breached in TalkTalk cyber-attack, (Guardian, 6 November 2015), available at< http://www.theguardian.com/business/2015/nov/06/nearly-157000-had-data-breached-in-talktalk-cyber-attack>accessed 9 December 2015.
[15] Analyst sees Target data breach costs topping $1 billion, (TwinCities.com, 30 January 2014), available at<http://www.twincities.com/business/ci_25029900/analyst-sees-target-data-breach-costs-topping-1>accessed 9 December 2015.
[16] Hidden costs of Sony’s data breach will add up for years, experts say, (Silicon Angle, 20 February 2015), available at<http://siliconangle.com/blog/2015/02/20/hidden-costs-of-sonys-data-breach-will-add-up-for-years-experts-say>accessed 9 December 2015.
[17] Home Depot: Will The Impact Of The Data Breach Be Significant? , (Forbes, 30 March 2015), available at<http://www.forbes.com/sites/greatspeculations/2015/03/30/home-depot-will-the-impact-of-the-data-breach-be-significant/>accessed 9 December 2015.
[18] Ashley Madison adultery website faces $578m class action over data breach, (Guardian, 22 August 2015), available at<http://www.theguardian.com/technology/2015/aug/22/adultery-website-ashley-madison-faces-578m-class-action-over-data-breach>accessed 9 December 2015.
[19] Gemalto, supra note 6.
[20] Ponemon, supra note 5.
[21] Running the Numbers: What’s the Actual Cost of a Data Breach? (Illusive Networks, 16 November 2015), available at<http://blog.illusivenetworks.com/cost-of-a-data-breach>acccesed 9 December 2015.
[22] Ponemon, supra note 5.
[23] Gemalto, supra note 6.
[24] Id.
[25] Id.
[26] 2013 Cost of Data Breach Study: Global Analysis, (Ponemon Institute, May 2013), available at<https://www4.symantec.com/mktginfo/whitepaper/053013_GL_NA_WP_Ponemon-2013-Cost-of-a-Data-Breach-Report_daiNA_cta72382.pdf>accessed 9 December 2015.
[27] Ponemon, supra note 5.
[28] What’s Yours Is Mine: How Employees are Putting Your Intellectual Property at Risk, (Symantec White Paper, 6 February 2015), available at< https://symantec-corporation.com/servlet/formlink/f?kPugHuQYUAD&ACTIVITYCODE=157115&inid=GL_NA_WP_WhatsYoursIsMine-HowEmployeesarePuttingYourIntellectualPropertyatRisk_dai211501_cta69167_aid157115&gt; accessed 9 December 2015.
[29] Symantec Study Shows Employees Steal Corporate Data and Don’t Believe It’s Wrong, (Symantec, 6 February 2013), available at <http://www.symantec.com/about/news/release/article.jsp?prid=20130206_01>accessed 9 December 2015.
[30] Ponemon, supra note 5.
[31] Illusive networks, supra note 19.
[32] Most Data Breaches Caused by Human Error, System Glitches, (CIO, 17 June 2013), available at<http://www.cio.com/article/2384855/compliance/most-data-breaches-caused-by-human-error–system-glitches.html>accessed 9 December 2015.
[33] The Cost of Downtime, (Gartner, 16 July 2014), available at<http://blogs.gartner.com/andrew-lerner/2014/07/16/the-cost-of-downtime/&gt; accessed 9 December 2015.
[34] Sony Brings in Forensic Experts on Data Breaches, (DarkReading, 5 May 2011), available at < http://www.darkreading.com/attacks-and-breaches/sony-brings-in-forensic-experts-on-data-breaches/d/d-id/1097567? > accessed 9 December 2015. See also Using logs for forensics after a data breach, (NetworkWorld, 8 November 2010), available at< http://www.networkworld.com/article/2193990/tech-primers/using-logs-for-forensics-after-a-data-breach.html>accessed 9 December 2015. See also How to preserve forensic evidence in the golden hour after a breach, Computer Weekly, available at<http://www.computerweekly.com/feature/How-to-preserve-forensic-evidence-in-the-golden-hour-after-a-breach&gt; accessed 9 December 2015.
作者李汶龙,爱丁堡大学科技法博士生,微思客WeThinker编辑。
Advertisements

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  更改 )

Google+ photo

You are commenting using your Google+ account. Log Out /  更改 )

Twitter picture

You are commenting using your Twitter account. Log Out /  更改 )

Facebook photo

You are commenting using your Facebook account. Log Out /  更改 )

w

Connecting to %s