李汶龍

波耐蒙研究所（Ponemon Institute LLC） 發(fā)布的《2015年數據泄露成本全球分析報告》顯示，幾乎所有發(fā)達國家和新興發(fā)展中國家都受到數據泄露的挑戰(zhàn)，但在范圍、程度及成本上略有不同。相比之下，巴西和法國最容易發(fā)生數據泄露，而加拿大和德國的幾率最小。

2015年，全球數字安全公司Gemalto調查了澳大利亞、巴西、法國、德國、日本、英國及美國的5750位消費者后發(fā)現，超過1/3的人曾受到數據泄露的影響，近1/5的人認為在未來1～3年中可能會成為數據泄露的受害者。

數據泄露的風險已經成為全球性難題，初步踏入信息社會的我們尚沒有找到保障數據安全的有效方式。

數據泄露的“冰山”

進入21世紀以來，數據泄露愈發(fā)頻繁，從2013年的美國超級零售商Target，到2014年的索尼娛樂公司，再到2015年美國約會網站Ashley Madison，全球范圍內很多公司先后遭受重創(chuàng)。有人曾將2014年稱之為“數據泄露元年”，從那時起至今，數據泄露已不再是簡單的科技事件，而愈發(fā)成為嚴重的社會問題。

不斷發(fā)生的驚人事件讓人們開始集中關注數據安全的問題，但其實我們熟知的近期發(fā)生的泄露事件在規(guī)模和影響上都并不突出。有史以來最嚴重的數據泄露發(fā)生于2005年到2012年，持續(xù)8年之久。來自俄羅斯和烏克蘭的黑客組織侵襲了包括納斯達克在內的多家美國公司，竊取共1.6億條銀行卡號碼，侵入80多萬銀行賬號。排名第二的是2014年的eBay數據泄露事件，共1.48億用戶的姓名、住址、生日及密碼遭泄。2006～2008年，昔日最大的支付公司Heartland的數據泄露事件排名第三，共1.3億銀行賬號被黑客獲取。

中國企業(yè)也在劫難逃。2010年，支付寶前技術員工下載了超過20G的支付寶用戶資料出售給其他數據公司；2011年，天涯網盛極之時，有4000萬用戶的數據被黑客泄露；2014年5月，小米論壇數據有800萬注冊用戶的數據遭泄，黑客隨意進入賬戶。

2015年，世界范圍內發(fā)生的大型數據泄露事件共有四起：當年2月，美國第二大醫(yī)療保險公司Anthem數據庫遭泄露，近8000萬用戶的個人信息失竊；6月，美國政府人事管理辦公室也慘遭網絡襲擊，共400多萬員工的記錄被盜；一個月之后，媒體鋪天蓋地報道了極富爭議的約會網站Ashley Madison數據被竊事件，共3700萬用戶受到了影響；10月，英國電信公司TalkTalk的400萬用戶數據被黑客竊走。

發(fā)生數據泄露的成本究竟有多大？大型數據泄露事件的直接經濟成本幾乎都是過億級的：美國零售業(yè)巨頭Target公司為數據泄露支付了10億美元；索尼娛樂虧損數十億美元；美國家居零售商Home Depot要向5600萬用戶賠償總共100億美元的損失；而Ashley Madison泄露事件導致該公司陷入多起訴訟，成本之大不可預估。

最新數據顯示，數據泄露的平均成本已經由2014年的352萬美元上升到379萬（上漲23%），平均一份數據泄露的成本由145美元增長為154美元。Pomenon對比各國情況發(fā)現，美國數據泄露的成本最高，為217美元，其次是德國的211美元。泄露成本最低的是巴西和印度，分別為78和56美元。從行業(yè)視角來看，醫(yī)療健康領域的成本最高，高達363美元，第二名是教育領域（300美元），最低的是交通領域和公共部門，分別為121美元和68美元。

上面的數字只是冰山一角。數據泄露的成本不僅體現在直接經濟損失上，還有很多隱藏成本，它是指那些經常被忽略，不容易與成本建立關聯，有些甚至無法被量化的負面因素。

在所有隱藏成本中，重建用戶信任的成本最大，而數據泄露對用戶信任帶來嚴重的挑戰(zhàn)。在數據事故頻發(fā)的今天，消費者對于數據公司的信任已經跌到了底點。Gemalto提供的數據顯示，只有1/4的消費者認為數據公司非常重視數據安全。而對數據公司的員工所做的調查顯示，僅2/5的員工認為自己的公司非常重視數據安全問題。

2015年因數據泄露導致的信任危機量化后的成本高達157萬美元，2014年這一數字為133萬。這些成本包括商譽減損、用戶不正常流失、公司隨后開展的大量挽救用戶的活動。 全球近64%的消費者認為，如果某家公司的財務信息被盜，就不愿意再購買這家公司的服務，或者與其做生意；還有近1/2的人認為，如果某家公司發(fā)生了數據泄露事件，也不會再使用他們的服務。可見，信任補救成本對于公司而言是“實打實”的損失，而且其負面影響無法全部量化。

誰是互聯網+公司的敵人

用戶數據面臨的安全威脅來源多樣，有外部因素和內部因素，也可分為人為因素和非人為因素。大體上包括網絡惡意襲擊、系統故障以及員工行為三種情況。

網絡惡意襲擊（cyber attack） 在所有因素中產生的成本最高：在2015年，每丟失一份數據要產生170美元的成本，與上一年相比上漲11美元。近兩年，網絡惡意襲擊呈直線上升之勢。2013年的報告顯示，惡意襲擊因素在當時的比重僅占37%，與第二名的“人為因素”僅相差2個百分點。兩年之后，二者差距已經被實質性地拉大，而其他因素如系統故障和人為因素的比例都不超過30%。

人為因素也不可被忽視。賽門鐵克（Symantec）的一項研究表明，有超過一半的員工離職12個月以后仍然持有舊公司的保密數據，40%的人會在下一份工作中繼續(xù)使用這些數據。62%的員工認為可以在離職后將原公司的數據復制帶走，而且大部分人都不會刪除原公司的數據。只有47%的公司會在員工離職后仍使用原公司數據的情況下會采取行動，而68%的公司沒有任何限制措施。

數據泄露事件如此猖獗，一定程度上與業(yè)界對風險的理解不足和控制不利有關。從公司治理的角度來看，這反映了很多高層對于數據安全問題不以為然，在數據庫防御方面沒有足夠的預算，在公司政策上也沒有限制措施。

僥幸和過度自信的態(tài)度，導致很多公司面臨嚴重的后果：輕則聲譽受損，面臨大量訴訟；重則服務停滯，瀕臨破產倒閉。隨著社會數據化程度的加深，互聯網+公司的生存發(fā)展取決于公司高層的態(tài)度轉變：數據泄露不是一個遙遠的概念，也不是一個純粹的技術問題，而成為了一種極大的商業(yè)風險。

研究結果表明，企業(yè)持續(xù)性數據風險管理在降低成本上發(fā)揮著有效的作用。在完善具體應對數據泄露的方案上，可以從事前防范和事后處理兩個方向入手。

事前防范包括預算和團隊管理兩方面。首先，降低數據泄露風險需要加大在數據安全方面的投資預算。很多公司對這一問題不夠重視，甚至傾向于減少安全方面的成本。值得重視的是，處理數據泄露的成本也在逐年增長。這一成本包括展開調查、評估、審計的費用、危機管理團隊的運營以及與董事和股東溝通的成本。從2014到2015年，處理數據泄露的平均成本已經由76萬美元上漲到近100萬美元，幅度超過31%。

其次，可以通過購買保險降低可能的損失。研究數據顯示，保險能夠有效降低4.4美元/數據的成本。2014年美國零售巨頭Target因數據泄露遭到重創(chuàng)，損失高達6100萬美元，但其中有4400萬（72.1%） 得到了保險公司的補償。這意味著Target給消費者重新置辦購物卡、處理法律訴訟和政府調查，以及支持相關執(zhí)法行動沒有花一分錢。

公司在組織架構方面應突出數據安全的重要性。目前較為流行的做法是任命首席信息安全官 ，專門管理數據泄露的風險，并圍繞這一核心角色建立團隊。

對員工的教育與培訓也是非常重要的措施。一方面要開展數據安全意識培訓，在公司政策和勞動合同上突出保護數據安全的共同義務；另一方面還要教會員工使用防數據丟失的技術。

對數據泄露事后處理的基礎建立一套全面、完整、可執(zhí)行的事故應急方案。公司用多快的速度采取行動識別和應對數據泄露，是與最終的泄露成本存在直接因果關系的。2015年，公司確認出現數據泄露所需的平均時間為206天，有效阻止數據泄露所需的平均時間為69天。在泄露沒有被發(fā)現或及時制止之前，每一分鐘的代價都是巨大的。Gartner的研究數據顯示，網絡宕機的成本是5600美元/分鐘。

如今，越來越多的公司開始使用技術工具來偵查數據事故背后的網絡犯罪活動，取得了不錯的效果。這一做法可以對公司數據安全狀況進行完整的評估，展現數據安全可能存在的隱患。隨著數字化逐漸滲透到人們生活的方方面面，數據泄露將成為公司面對的巨大挑戰(zhàn)，也將成為社會生活中極具關注度的安全問題。

（本文由本刊與新媒體微思客合作出品）