数据泄露的实际成本:声誉受损、客户流失、罚款、停业总成本。英国文化、媒体和体育部(DCMS)最近的一份报告显示,英国的大中型企业越来越无力承担不断上升的数据泄露成本。报告显示,2021年英国大中型企业平均损失19,400英镑,而2020年为13,400英镑。有趣的是,当考虑各种规模的企业时,一次数据泄露的平均成本骤降至4,200英镑。而且,与2020年的8460磅相比,减少了一半。每年都有许多此类报告揭示我们周围正在发生的事情以及数据泄露和网络攻击的成本增加了多少。这些报告很有价值,因为它们使我们能够了解价格、使用的方法以及组织如何应对日益增加的威胁。然而,我们需要谨慎对待这些报告,因为它们没有也不能准确描述我们数字世界中正在发生的一切,更不用说准确统计数据泄露的影响了。这并不是对研究人员本身的抱怨,而是一个客观的观察:在计算问题的规模或影响的成本时,我们无法考虑的因素太多了。虽然报告数据泄露的财务影响既重要又有价值,但此类报告过于武断,无法反映更难以量化的数据泄露真实成本。当然,将这些统计数据放在董事会会议桌上以合理化网络安全预算是件好事,但我们也应该考虑数据泄露的不太明显的影响,其成本和对业务的影响远高于数字所报告的。声誉受损数据泄露后,组织通常不得不努力向客户、长期客户和员工传达所发生的事情。在了解事件和计算财务影响之前,必须仔细准备所有电话、电子邮件和新闻稿。每次沟通都有可能失去客户,对组织声誉的负面影响是累积的。当然,这并不意味着组织应该尽可能地蒙混过关或避免这些沟通,因为从长远来看,这样做显然会使他们的处境变得更糟。只要组织对正在发生的事情持开放和诚实的态度,大多数(但不是全部)客户、供应商和员工都会宽容,尤其是当他们是有组织的网络犯罪的受害者时。但坚持下去也有风险,因为在发现自己是网络攻击的真正受害者时,耐心和慷慨往往是稀缺品。时间回到2013年,美国零售巨头Target被网络犯罪分子攻陷,数据泄露影响了4100万客户。Target在16天内检测到漏洞并在发现后20天内公开披露,但许多客户对公司耗时的披露感到不满。这无疑在相当长一段时间内影响了塔吉特的股价。当然,任何公司的股票价格都是公司声誉和地位的财务代表。赔偿和罚款声誉影响是我们在考虑数据泄露成本时最常想到的事情,但还有许多其他因素需要考虑。数据泄露也可能引发索赔,甚至是制裁和罚款。信息专员办公室(ICO)是英国监管机构,负责监督英国《数据保护法案》和欧盟?(GDPR)下的治理和合规事务。如果发生数据泄露,机构可能需要向ICO解释并等待ICO的后续行动。无论制裁形式如何,律师都会介入,数据泄露的财务影响可能会再次迅速升级。数据泄露后经常被遗忘讨论的一种影响是,虽然也会造成经济损失,但在初始评估中并不那么明显。人为影响发生数据泄露时,需要做很多事情才能确定发生了什么以及需要采取什么行动。事件响应团队采取行动,果断地按计划采取行动以恢复正常的业务运营。在响应和恢复过程中,相关人员承受着尽一切可能确保尽快恢复的压力。由于假期被取消,养育子女和照顾亲戚的个人义务被忽视,现在当务之急是维持或恢复一切照常。因此,恢复团队成员的压力是巨大的,而且在考虑谁应该加入恢复团队时常常被忽视。大多数主管和经理需要能够在压力下保持冷静。尽管如此,对于大多数人来说,数据泄露或网络事件并不是每天都会发生(谢天谢地)。因此,人们对安全事件的反应千差万别,但无论怎么反应,都逃不过人的本能反应。不要把人性看得太高。当发生数据泄露时,团队的第一反应是:“这对我有何影响?我有责任吗?”也许这种念头稍纵即逝,但一定会出现。当这个人在个人责任和工作责任之间挣扎时,压力和焦虑随之而来。难怪最近的研究表明,24%的财富500强首席信息安全官(CISO)的工作时间仅为一年,而平均任期为26个月。那么IT团队成员呢?响应团队的其他成员呢?活动结束后他们会在附近待多久?当然,压力和焦虑会导致心理健康问题,如果我们回到资产负债表,生产力问题会导致更多的经济损失。结论计算数据泄露的成本确实归结为我们可以塞进电子表格的内容,但我们不应该只看到表面上的数据泄露的财务影响。如果我们想深入了解真正的成本,我们需要考虑数据泄露的所有方面。这意味着要考虑对我们声誉的影响、损失的机会成本、对生产力的影响、增加的运营成本、补偿和罚款,以及对我们员工的影响。对人的影响往往是最难计算的,因为没有明确的迹象表明何时会感受到影响;团队成员可能会在业务开始恢复时开始寻找另一份工作,并且可能永远不会提及该事件是离职的催化剂。财务成本可能只是电子表格上的一条细线,但数据泄露的实际成本远不止于此,还包括对内部和外部利益相关者的信任度下降。所以我们应该问的真正问题和计算是:你为信任定价多少?
