資料外洩的成本(2019年版)
根據波耐蒙研究所(Ponemon Institute) 和IBM Security今年發布的《2019年資料外洩損失報告》,在過去六年,全球資料外洩的平均損失增加了12%,在2019年總計每個資料外洩事件損失達到392萬美元。丟失業務是造成資料外洩損失最大成本,但企業發生資安事件後,若能警覺並妥善處理,客戶的營業額反而可增長至3.9%。
從在資料外洩的平均損失成本來看,美國的違規損失最高、為819萬美元;中東的平均最高外洩記錄數為38,800筆;而全球平均水平為25,575筆。從較低端的數據分析來看,印度的資料外洩平均損失為183萬美元。由部門別來分析,醫療行業的單筆外洩成本最高,為645萬美元,比資料外洩的平均損失高出65%。
從不同層面看資料外洩帶來的損失
資料外洩造成的損失可以是直接的、也可以是間接的。直接損失是指公司可能因違反資料防護法規而從國家監管單位罰款,但也包括後續處理機制的成本,例如在資料外洩的情況下必須啟動的稽核與通知、公告等流程。一旦發生資安事件,公司股價可能隨之下跌。
若尋求網絡安全諮詢公司提供專門協助,包含協助調查事件、法律諮詢服務…等,來應對資料外洩的後果(如訴訟案件),也被視為直接成本。根據違法的性質和法規條例,公司可能需實質的賠償客戶損失(賠錢)。
間接成本則是公司因於資料外洩而需面對的長期影響。如前所述,資料外洩會導致兩個問題,消費者信任度下降和提高資金周轉。資安事件也使投資者望而卻步,並影響公司成長與市值。隨著公司聲譽的下降,可能帶動重要員工離職,大多數員工喜歡在名譽好的公司上班。同時,相關的保險以及網絡安全…等軟硬體措施的支出會大幅提高。
法規罰款的增加
2018年《通用資料保護條例》(歐盟個資法GDPR)生效後,歐洲的資料保護機構立即決定為企業提供更多喘息的機會,以達到合法要求。但2019年起法案開始發威,陸續開出了多張天價罰單。
2019年7月,英國信息專員辦公室(ICO)對英航2.04億歐元(約70億台幣)罰款,原因是英航的安全漏洞導致約500,000名客戶的資料出問題,佔其年營業額的1.5%。僅僅一天后,萬豪國際集團就因類似的安全異常而再次被罰款約1.104億歐元(約38億台幣)。
與此同時,法國的CNIL追隨科技巨頭之一的Google,對這家美國巨人處以5000萬歐元的罰款(約17億),原因是他們的廣告缺乏同意。在德國,被處以754.9萬歐元的罰款。在波蘭,一家資訊經紀公司因未能通知其民眾正在處理個資,被罰款22萬歐元。
資料外洩的長期影響
資料外洩事件將困擾公司多年,事件中三分之一的損失會在發生後的一年才逐漸浮現。
《 2019年資料外洩損失報告》發現,資料外洩損失中有67%發生在第一年,第二年發生了22%,資料外洩發生後兩年多發生了11%。醫療保健和金融業…等這類受嚴格監管的行業,往往在事件發生後幾年才承擔更大的損失第一年佔成本的53%,第二年佔損失的32%,第三年佔損失的16%。
結論
隨著時間飛逝,有個趨勢逐漸明顯,那便是:資料外洩造成的損失正大幅增加。實施新的資安法規將有利於消費者的資料防護,並且讓資訊公司與不注重資料防護的公司保持警惕。而隨著《加州消費者隱私法案》(California Consumer Privacy Act)生效以及美國即將頒布《聯邦資料保護法》,這趨勢將在2020年越演越烈。
公司需要正視網絡安全和資料防護方面的投資,然後才能面對資料外洩所帶來的高額財務及名譽損失。資安事件已經發生時,制定適當的應變策略也很重要。《 2019年資料外洩損失報告》顯示,事先擬定資安應變計畫的公司,在發生事件後已經省下了超過120萬美元。
瞭解更多GDPR的資訊,同時支援Windows、MAC、Linux 的DLP系統
https://epptw.com/
資訊安全議題 (3)
