2020 年資料外洩的成本

[nurnobi40]

根據IBM與波耐蒙研究所發布的《2020年資料外洩成本報告》 ， 2020年全球資料外洩平均成本略有下降，達到每次外洩386萬美元，較2019年下降1.5%。美國公司的平均總成本最高，為每次違規 864 萬美元，其次是中東，為 652 萬美元。業務損失仍然是最大的成本因素，佔平均總成本的 39.4%，其中包括系統故障造成的業務中斷和收入損失、現有和新客戶的流失以及聲譽損害。

客戶個人識別資訊 (PII) 屬於資料保護法規的範疇，在所有資料外洩事件中，80% 都遭到洩露，是遺失或被竊最頻繁的記錄類型。客戶 PII 也是資料外洩中外洩成本最高的資料類型，平均每筆記錄 150 美元。智慧財產權緊隨其後，每被盜或遺失記錄的成本為 147 美元。

檢測和控制資料外洩的平均時間為 280 天，其中組織需要超過 200 天的時間才能確定發生了外洩。德國在處理資料外洩方面表現出最高的效率：德國公司平均只需160天就能發現並控制一次資料外洩。同時，巴西的 商店 情況則相反，平均死亡天數高達 380 天。巴西針對歐盟《 一般資料保護規範》（GDPR）所推出的《一般資料保護法》 （LGPD）的生效是否 有助於在未來幾年縮短企業的反應時間，還有待觀察。

該報告涵蓋的是 2019 年 8 月至 2020 年 4 月期間的數據，並未涉及新冠疫情和遠距工作對資料外洩成本的全部影響。然而，研究參與者被問及長期遠距勞動力對成本的潛在影響。 70% 的人同意在家工作會增加資料外洩的成本，76% 的人表示這會延長偵測和應對潛在資料外洩所需的時間，這是降低資料外洩成本的關鍵因素。

資料外洩的根本原因
報告顯示，52%的資料外洩是由惡意攻擊造成的，系統故障位居第二，佔25%，其餘23%的資料外洩則是由人為錯誤造成的。首次根據威脅載體對惡意攻擊進行細分，讓我們能夠很好地了解最有針對性的資料存取點。

憑證外洩和雲端配置錯誤位居榜首，分別佔資料外洩事件的 19%。第三方軟體漏洞又佔16%。社會工程和網路釣魚攻擊直接針對員工，試圖誘騙他們洩露敏感訊息，這類攻擊佔 17%，而惡意內部攻擊則佔 7%。

談到人為錯誤，娛樂業的員工是最粗心的，該行業 34% 的資料外洩都是由他們造成的。在公共和消費品領域，28% 的資料外洩是由於人為錯誤造成的，醫療保健領域緊隨其後，佔 27%。

各行業成本
受到更嚴格監管要求的公司平均資料外洩成本更高。醫療保健產業持續位居各產業之首，平均資料外洩成本達到 710 萬美元/次，較 2019 年成長 10.5%。金融業位居第三，每次違規損失為 585 萬美元，較 2019 年小幅下降 0.2%。

公共部門的平均資料外洩成本最低，為每次外洩 108 萬美元，比去年下降 16.3%。然而，2020 年的成功案例是媒體產業成功將資料外洩成本降低了 26.3%，平均每次外洩成本達到 165 萬美元。

不同行業對資料外洩的反應時間也存在很大差異，醫療保健行業平均需要 329 天才能識別和控制洩露，而金融業僅需 233 天。

節省成本的做法
當談到資料外洩的平均成本時，事件回應計劃是最大的成本節省者。已任命事件回應團隊並廣泛測試其事件回應計畫的企業，資料外洩的平均成本為每次洩漏 329 萬美元，而未任命任何團隊的企業，資料外洩的平均成本為每次洩漏 529 萬美元，兩者之間存在高達 200 萬美元的差異。

生命週期少於 200 天的資料外洩平均成本為 321 萬美元，比需要 200 天以上才能發現的資料外洩少 112 萬美元，且每次外洩的控製成本為 433 萬美元。事實證明，安全自動化對資料外洩生命週期具有重大影響，有助於將其平均縮短多達 74 天。

資料遺失預防也是節省成本的關鍵因素，透過直接保護敏感數據，可幫助公司平均節省約 165,000 美元/資料外洩。廣泛加密可以進一步減少 237,000 美元的資料外洩成本。

綜上所述
沒有任何資料保護策略是萬無一失的，即使是最嚴格的網路安全框架也無法保證公司不會遭受資料外洩。無論是尚未發現和修補的新漏洞，還是疲憊的員工犯了粗心的錯誤，公司可能會突然發現自己必須處理資料外洩及其帶來的巨大成本。正如 IBM 和 Ponemon Institute 的《2020 年資料外洩報告》所示，組織可以透過多種方式來幫助降低資料外洩的成本，而這一切都取決於遠見和正確的工具。