数据泄露平均成本高达310万英镑：人为错误仍是罪魁祸首

在过去五年中，企业数据泄露的成本已经飙升了12％，达到了现在的平均310万英镑（约合392万美元）。

这一数据结果来自IBM公司发起、波耐蒙研究所（Ponemon Institute）完成的《数据泄露年度成本研究报告》，该报告强调了数据泄露为企业带来的财务影响。

该报告同时还指出，49%的数据泄露事件是源于“无意的人为错误”和“系统故障”（IBM并未对此给予明确定义）；这两种行为为组织带来的损失分别为350万美元和324万美元。

这些成本包括组织在发生违规事件后受到的监管和商业处罚。在欧盟，《通用数据保护条例》（GDPR）正在“大显身手”，英国航空公司（面临1.83亿英镑巨额罚款）和万豪国际（面临9920万英镑罚款）最近都受到了该法案的影响。

IBM在其报告中指出，对于医疗保健、金融服务、能源和医药等受到高度监管的行业组织而言，第二年和第三年的损失成本会更高。

中小型企业（SME）的数据泄露成本

中小型企业的泄露成本尤为令人担忧，正如该报告所强调的一样，员工人数少于500人的公司在面临违规处理后果时仍然要遭受超过200万英镑的损失。

该报告还发现，数据泄露成本通常会在3年内蔓延：平均67%的泄露成本会累计在第一年，22%累计在第二年，11%累计在第三年。

IBM X-Force事件响应和情报服务全球负责人Wendi Whitmore表示，“网络犯罪对于网络犯罪分子而言意味着巨额资金，但不幸的是，这对于企业而言则是重要的损失。仅在过去3年中，组织的117亿多条记录就遭到了泄露或盗窃，组织需要了解数据泄露可能会对其账目盈亏造成的全部财务影响，并关注如何降低这些成本。”

据悉，这一由IBM安全部门发起，Ponemon Institute负责完成的报告，对全球500多家公司的内部人员进行了采访，而这些公司都曾在过去一年内遭遇了数据泄露事件。

此外，安全公司Digital Shadows的早期报告也显示，由于常用文件存储技术的错误配置，导致现有23亿个文件公开暴露在网络上。其中，近一半的文件（10.71亿）是通过服务器消息块（SMB，首次设计于1983年的共享文件技术）协议公开的。其他配置错误的技术还包括FTP服务（20%）、rsync（16％）和网络附加存储设备（3％）。

补充：Ponemon计算数据泄露成本的方法

计算数据泄露的成本是一个很有挑战性的工作，因此，计算模型和方法十分重要。同时，我们必须清楚认识到任何模型都一定存在局限性，因此，对于调查结果数据必须辨证的去看待。

首先是范围的界定。Ponemon定义数据泄露为：个人姓名和医疗记录和/或财务记录或借记卡/信用卡处在潜在风险的事件 – 无论是电子的或纸质的。但不包括知识产权、商业秘密和商业机密信息等高价值信息资产的数据泄露。

其次是计算模型。Ponemon从4个维度去考量成本：检测和响应的成本（包括调查取证、评估审计、危机管理、内部沟通等活动所耗费的成本）、通知成本（包括通过各种方式告知受害人、与司法及主管部门等外部沟通活动所耗费的成本）、善后成本、业务丧失成本（包括业务中断、收入减少、客户流式、商誉减值等）。

根据上述4个维度，Ponemon设计了一套度量指标，然后通过调查问卷访谈获得每个指标的数值（都是由受访者主观填写的），再对这些指标进行计算，计算的时候又分为三种成本数值，分别是直接成本、间接成本和机会成本。然后再计算总的成本，并采用通过蒙特卡洛模拟方法对重大数据泄露事件进行进一步分析。

获取完整报告：

https://databreachcalculator.mybluemix.net/