每年,我都会撰写有关Ponemon Institute发布的有关数据泄露成本的年度报告,这是一项非常有趣的研究,探讨了“数据泄露”的经济影响。
今年,研究人员分析了2019年8月至2020年4月期间发生的524起违规事件,涉及17个地区和17个行业的各种规模的组织。
根据《2020年数据泄露成本报告》,2020年全球数据泄露总成本平均为386万美元,比2019年下降约1.5%。受害者组织发现和控制数据泄露的平均时间为280天,与2019年(279天)相差不多。
专家还分析了漏洞测试和红队测试对数据泄露成本的影响,发现进行红队测试可以降低平均成本约243,000美元,而进行漏洞测试可以降低成本约173,000美元。
这份报告首次探讨了远程工作的成本影响和安全技能的短缺。
IBM在介绍这份报告的文章中写道:具有远程工作安排的组织的数据泄露成本比全球平均水平386万美元高出近13.7万美元,而据组织估计,安全技能短缺导致的成本平均比全球平均水平增加了25.7万美元。
该报告第一次根据所涉及的记录类型深入分析数据泄露的每条记录成本。专家指出,客户个人身份信息(PII)是最昂贵的记录信息。客户PII记录每条丢失或被盗的平均成本为150美元,其次是知识产权记录(147美元),匿名客户记录(143美元)或员工PII(141美元)。不幸的是,在分析的事件中,80%都存在客户PII。
2020年观察到的52%的数据泄露是由恶意攻击引起的。
对攻击媒介的分析表明,最突出的是泄露的凭证(19%的恶意破坏),云配置错误(占19%)和第三方软件中的漏洞(占16%)。
该报告首次分析了涉及破坏性恶意软件的破坏的成本,专家估计平均破坏性恶意软件的破坏成本为452万美元,平均勒索软件破坏的成本为444万美元。恶意破坏的平均总费用为427万美元。
您可以使用与本年度报告配套的交互式成本计算器,探索这些成本因素以及其他因素的影响,其中一些因素增加了成本,另一些因素降低了成本。您可以注册使用完整的计算器,以查看25个成本因素对17个地区和14个行业中数据泄露的平均成本的估计影响。
2020年数据泄露成本报告的另一个新颖之处在于基于攻击者类型的数据泄露分析。
大多数恶意破坏是由出于经济动机的威胁参与者(53%)引起的,其次是民族国家参与者(13%)和黑客主义者威胁参与者(13%)。根据专家的说法,根据专家们的说法,国家资助的违规行为(443万美元)和黑客行为主义者的违规行为(428万美元)的平均成本高于出于经济动机的违规行为(423万美元)。
完整的报告可在此处获得。