根據 IBM Security 本周三發布的最新報告,平均一起數據泄露產生的損失達到 440 萬美元,同比增加了 2.6%,相比較 2020 年增加了 13%,刷新了歷史記錄。IBM 表示在參與調查的組織中,超過一半承認通過提高產品和服務售價的方式將這些額外成本轉移給消費者。
這份年度報告分析了自 2021 年 3 月至 2022 年 3 月期間全球 550 家企業出現的數據泄露事件。該研究由 IBM 提供資金支持和詳細分析,由 Ponemon Institute 進行實施。
因數據泄露造成的損失包括支付的贖金、用於調查和修復漏洞的費用等等。其他的損失還包括監管罰款、可能會持續數年對未來產品銷售的預估影響等。平均來說,受調查機構表示數據泄露事件發生 1 年之後造成的損失可以控制在 50% 以下。
一個很好的例子是 T-Mobile 周五表示,願意支付 5 億美元和解金,用於解決客戶對數據泄露事件提起的集體訴訟。該訴訟將近一年前,該訴訟揭示了估計有 7660 萬人的個人信息。
這項和解金在今年年底前司法批准之後,T-Mobile 將其中 3.5 億美元用於解決集體訴訟中消費者的主張,還有 1.5 億美元用於升級數據保護。這個數據泄露時間發生於 8 月,導致用戶名稱、社會安全碼、手機號碼、家庭住址和出生日期等信息被泄露。
在 IBM 的調查報告中還分析了很多高損失的數據泄露事件,針對包括金融服務、工業、技術、能源、運輸、通信、健康醫療、教育和公共部門行業的關鍵基礎設施攻擊。
這些數據泄露造成的損失平均在 480 萬美元之上,平均比非關鍵基礎設施的組織損失高出 100 萬美元。尤其是醫療行業的損失最為嚴重,平均一起數據泄露事件都會帶來 1010 萬美元的損失,而在 2021 年這個數字為 920 萬美元。
近年來,無論是有國家背景的黑客組織還是新興的網絡犯罪團伙,他們都將目光瞄準了關鍵基礎設施。去年,針對 Colonial Pipeline 和肉加工廠 JBS USA 的勒索軟件攻擊都導致公司網絡癱瘓,由於數據被加密被迫向黑客支付了數百萬美元的贖金。