Security

IBM 《2020年資料外洩成本報告》員工資料遭曝的費用居首

2020-08-03 | 作者： Carey Li

Categorized: Security

分享文章:

IBM Security近日發布《2020年資料外洩成本報告》指出，資料外洩事件對企業平均需支出的成本為386 萬美元，而其中員工帳戶遭受攻擊的成本最昂貴。本報告針對全球 500 多個組織資料外洩事件深入分析發現，有80%的事件導致客戶個人可識別資訊 (PII，Personally Identifiable Information)曝露，這也是在所有資料外洩遭曝露的類型中，耗費企業成本最高的一項。

由於越來越多企業透過遠距工作模式，透過雲端業務營運存取敏感性資料，報告中也特別說明了這些資料遭外洩，組織可能遭受的財務損失。而IBM 的另一項研究也發現，這種遠距工作方式將提升風險，但超過半數因為COVID-19而開始居家辦公的員工，並未獲得如何處理客戶個人可識別資訊的新準則。

本次《2020年資料外洩成本報告》中重要調查結果包括：

智慧技術可降低資料外洩成本：已完全部署利用AI、分析和自動編排來識別和回應安全事件技術的公司遭受的資料外洩成本為245萬美元，與尚未部署安全自動化技術的公司承擔的資料外洩成本的603萬美元相比，所承擔的資料外洩成本減少一半。
成本最高的資料外洩事件源自員工帳戶遭受攻擊：在攻擊者利用被盜用或遭受攻擊的憑證存取公司網路的事件中，每次資料外洩的成本高達 477 萬美元，比全球平均還多出將近100 萬美元。而造成惡意資料外洩成本第二高者，則是利用合作廠商的漏洞，損失高達 450 萬美元。
特大型資料外洩事件的成本飆升數百萬美元：超過 5千萬條記錄被洩露的資料外洩事件成本，從2019年的88 億美元成長至 3.92 億美元；洩露記錄數量從 40 到 5千萬件不等的資料外洩事件的平均成本高達 3.64 億美元，與 2019 年相比，增加了 1,900 萬美元。
國家攻擊是最具破壞性的資料外洩：根據報告指出，由國家資助的攻擊造成的資料外洩事件平均成本為 443 萬美元，高於出自經濟動機的網路犯罪份子和駭客造成的資料外洩事件成本。

IBM X-Force 威脅情報副總裁 Wendi Whitmore 表示：「在企業減緩資料外洩影響方面，有部署自動化技術的公司擁有明顯的優勢。隨著企業以更快的速度擴展其數位化業務，加上資安行業的人才短缺情況持續存在，團隊因為需要保護更多的設備、系統和資料而不堪負荷，而安全自動化可以解決這一負擔，不僅可以更快速地回應，還可明顯提高成本效益。」

40%的攻擊是針對員工憑證及雲端配置錯誤

報告顯示，惡意資料外洩事件的最常見原因是憑證被盜用或受攻擊，以及雲端配置錯誤，占比將近 40%。2019 年共有超過 85 億則記錄被曝露，在所分析資料外洩事件中，有五分之一是網路攻擊者使用了先前遭曝露的電子郵件和密碼；因此，企業已經開始通過採用零信任的方法來重新考慮其安全戰略，也就是重新審視企業在使用者身份驗證的方式與程度。

安全性與複雜性是資料外洩成本的其中幾項主要因素。依報告顯示，攻擊者有近 20% 的時間選擇以雲端配置錯誤來破壞網路，導致資料外洩成本達到441 萬美元，平均多增加50多萬美元成本，使得雲端配置錯誤成為調查第三高的初始感染媒介。

國家資助的網路攻擊造成的危害最大

據報告指出，由國家資助的威脅攻擊者造成的資料外洩事件在惡意事件中儘管只佔13%，但此類攻擊卻最具破壞性。由國家支持的攻擊具有高度戰術性、長期性和隱蔽性等特點，而且針對的都是高價值資料，因此通常會導致受害者環境受到更大範圍的破壞，平均資料外洩成本提高至 443 萬美元。實際上，中東地區一向是由國家發起攻擊活動占比較高的地區，其資料外洩的平均成本每年成長 9%，在所有調查的 17 個地區中，是資料外洩平均成本第二高的地區(高達 652萬美元)。以產業別來看，能源產業也是最經常被國家攻擊針對，其資料外洩成本平均達到 639 萬美元。

高階安全技術有助於提升業務智慧水準

本報告強調實施高階安全技術的企業與落後企業之間的資料外洩成本鴻溝越來越大，也就是說，完全部署安全自動化技術的公司與尚未部署這類技術的公司相比，節省了 358 萬美元的成本。兩者之間的成本差距從 2018 年的 155 萬美元，已增加為 200 萬美元。

通過完全部署安全自動化技術，企業回應資料外洩所需的時間得以大幅縮短，這是降低資料外洩成本的關鍵因素。報告顯示，人工智慧、機器學習、分析和其他形式的安全自動化技術，使得完全部署安全自動化技術的公司對於資料外洩的回應速度，比尚未部署安全自動化的公司快了 27%；未部署安全自動化的公司平均需要多花74 天，才能識別並遏止資料外洩事件發生。

事件回應方面的準備程度也繼續嚴重影響著資料外洩的財務後果。既沒有成立事件回應團隊，也沒有制定相關計畫測試的公司，其資料外洩平均成本為 529 萬美元；而成立了 IR 團隊並透過演練或模擬來測試事件回應計畫的公司，其資料外洩平均成本可減少 200 萬美元，說明企業做好充分的準備，將可對網路安全防護產生可觀的投資回報。

報告中其他調查結果：

遠端工作風險將會導致成本上升：報告顯示，由於混合工作模式導致工作環境受控制程度降低，因此在COVID-19期間採用遠端辦公模式的公司中，70% 的公司預計將會增加資料外洩的成本。
儘管決策權有限，但資安長仍然要為資料外洩負責：儘管只有 27% 的受訪者表示 CISO/CSO 是其所在組織的安全戰略和技術決策者，但 46% 的受訪者認為，他們的 CISO/CSO 最終都要對資料外洩事件負責。
大多數購買網路保險的企業都使用索賠來支付合作廠商費用：報告顯示，購買了網路保險的組織的資料外洩平均成本比全球平均值 386 萬美元要低將近20萬美元。實際上，在購買了網路保險的組織中，有 51% 的組織將索賠用於支付合作廠商的諮詢費和律師費；而 36% 的組織將其用於受害者的賠償。只有 10% 的受訪者表示會支付勒索軟體的費用或勒索費用。
區域和產業洞察力：儘管美國企業的資料外洩成本仍然居於全球首位，平均達到 864 萬美元，但報告顯示，北歐地區的資料外洩成本與同期相比增幅最大，接近13%。醫療保健業仍是資料案外洩平均成本最高的產業，高達 713 萬美元，與 2019 年相比成長超過 10%。