Ponemon:2018年度数据泄露成本分析报告

2018年7月份,由IBM发起,Ponemon独立进行调查得出的2018年度数据泄露成本分析报告出炉了。这份报告包括全球版、以及多个国家版本。今年的调研涉及全球477个企业和组织。调查结果显示,数据泄露的成本和数量都在持续攀升。

今年的关键调研分析数据如下:

其中,数据泄露的平均成本从2017年的362万美元上升到386万美元,平均每条失窃记录的成本从去年的141美元上升为148美元,而未来两年发生重大数据泄露的可能性是也略有上升。此外,事件应急响应团队能够挽回的成本约为平均每条记录14美元。

报告还表示,过去一年对于数据泄露事件的MTTI(平均识别/发现时间)是197天,平均遏制时间是69天。与此同时,对于那些能够在30天以内遏制住泄露事件的单位而言,比超过30天的单位能够减少100万美元的成本。也就是说,“时间就是金钱”。

计算数据泄露的成本是一个很有挑战性的工作,因此,计算模型和方法十分重要。同时,我们必须清楚认识到任何模型都一定存在局限性,因此,对于调查结果数据必须辨证的去看待。

首先是范围的界定。Ponemon定义数据泄露为:个人姓名和医疗记录和/或财务记录或借记卡/信用卡处在潜在风险的事件 - 无论是电子的或纸质的。但不包括知识产权、商业秘密和商业机密信息等高价值信息资产的数据泄露。

其次是计算模型。Ponemon从4个维度去考量成本:检测和响应的成本(包括调查取证、评估审计、危机管理、内部沟通等活动所耗费的成本)、通知成本(包括通过各种方式告知受害人、与司法及主管部门等外部沟通活动所耗费的成本)、善后成本业务丧失成本(包括业务中断、收入减少、客户流式、商誉减值等)。
根据上述4个维度,Ponemon设计了一套度量指标,然后通过调查问卷访谈获得每个指标的数值(都是由受访者主观填写的),再对这些指标进行计算,计算的时候又分为三种成本数值,分别是直接成本、间接成本和机会成本。然后再计算总的成本,并采用通过蒙特卡洛模拟方法对重大数据泄露事件进行进一步分析。

汇报报告本身,揭示了很多发现,报告长达47页。这里本人摘取一些个人感兴趣的内容如下:
1)越快识别和遏制数据泄露,越能降低数据泄露造成的成本;
2)如果把数据泄露的原因分为三类:恶意和犯罪攻/击、系统故障、人为错误,那么恶意和犯罪攻/击是主要因素,占比高达48%,造成的成本也更高;
3)应急响应团队(IR)作用还是有效的,能够在一定程度上帮助降低数据泄露的成本;此外,广泛的使用加密手段也能显著降低数据泄露的成本(13美元每记录)。其它的正向技术手段还包括:BCM、员工培训、参与威胁共享、使用安全分析技术、使用DLP、数据分级分类、保险。有趣的是,任命CPO(首席隐私官)仅能带来1.8美元每记录的成本消减,任命CISO的成本消减也不过6.5美元每记录。
4)对由于第三方引发的数据泄露,以及向云中迁移的用户的数据泄露,其成本都高于平均值,即带来了更高的成本;

部分其它调研结果:

【参考】
2017年关于数据泄露成本的研究:全球概览

埃森哲:2017年网络犯罪成本研究报告(含分析)

原文地址:http://blog.51cto.com/yepeng/2298043

时间: 2024-10-08 22:28:02

Ponemon:2018年度数据泄露成本分析报告的相关文章

解析《中国互联网软件测试行业2018年度调研报告》

之前收到了一份TesterHome的调查问卷邀请:2018年度中国测试行业问卷调研.最近问卷的汇总结果出来了,有2000+的测试童鞋参与了问卷调查. 从幸存者偏差角度来说,无论是覆盖率还是准确性,结果都有待商榷.不过也能从一定程度上给予参考. 这里我会挑几个测试同学们感兴趣的部分,说说我的看法,请大家理性看待... 传送门:中国互联网软件测试行业2018年度调研报告 一.测试人员年龄分布 从年龄的分布区间来看,目前测试行业的主力军还是26~30岁的同学.中国互联网行业软件测试岗位大概起始于04年

Forrester:2018年度安全分析平台厂商评估(Forrester Wave)

2018年9月21日,Forrester正式对外发布了2018年度的安全分析平台(Security Analytics Platform)的厂商评估报告(即Forrester Wave),这个评估类似Gartner的MQ.SAP这个细分市场是Forrester在2016年提出来的,并且在2017年第一次给出了Forrester Wave评估(参见<Forrester:2017年度安全分析平台厂商评估(Forrester Wave)>).对于SAP和SA的定义我在之前这个文章中已经进行了阐释,这

Forrester:2018年度外部威胁情报厂商评估(Forrester New Wave)

2018年9月7日,Forrester发布了2018年度的外部威胁情报厂商评估分析报告--<The Forrester New Wave?: External Threat Intelligence Services, Q3 2018>.报告显示,不同TI厂商之间的最大的差异化在于他们各自收集情报的策略.方法和来源.首先,这个报告叫做Forrester New Wave,表示是针对新兴技术写的厂商评估,而我们一般熟知的Forrester Wave则是针对(趋于)成熟技术写的厂商评估.Forre

药审中心发布《2015年度药品审评报告》和11个重要品种(转载)

http://www.eduienet.com/xdsys/news/view.asp?id=44796 2015 年,在国家食品药品监督管理总局的领导下,药品审评中心(以下简称药审中心)紧紧围绕"改革审评制度,解决审评积压,提高审评质量,完善审评体系",不断 推进各项工作,切实维护和促进公众健康.根据国家食品药品监督管理总局有关工作要求,现将<2015年度药品审评报告>予以发布. 一.2015年受理与审评情况 2015年,药审中心全年接收新注册申请8211个(以受理号计,

全球唯一:MySQL社区2018年度公司贡献奖颁给阿里云

摘要: 在刚刚的Percona Live开源数据库大会上,MySQL社区委员会宣布将2018年度的MySQL社区公司贡献奖(Corporate Contributor Award)唯一颁给阿里云. 图中右一为阿里云数据库RDS团队 彭立勋 MySQL社区颁发次奖项是为了感谢阿里云多年持续不断的给社区贡献Patch和Idea,不断的帮助官方和社区提升MySQL,以及开源AliSQL和配套的AliXtrabackup备份工具,和投资MariaDB保护MySQL开源生态.这是MySQL Communi

信息安全系15级学生课程设计——2018.05 小组课题报告

信息安全系15级学生课程设计--2018.05 小组课题报告 课题:物联网实训·远程安防监控系统 一.设计方案及可行性分析 1.项目概述 本项目需要实现以嵌入式Web服务器为核心的视频监控系统. 摄像头采集的到的图像经过压缩后,传到内置的web服务器中.用户只需要通过浏览器就可以观看摄像头采集到的数据. 除了视频监控功能外,本项目还可以搜集空气湿度.空气温度.光照强度等信息. 2.系统架构 该项目基本可以看作B/S架构,由有三部分组成: (1)核心服务端:其实是客户端(严格意义上说,PC上的浏览

2018年度10大新兴技术:人工智能、量子计算、增强现实等

https://mp.weixin.qq.com/s/FEhGUixl00knNOu14sdbTg 9月19日,世界经济论坛和<科学美国人>联合发布了2018年度十大新兴技术榜单,人工智能及生物医药.新材料领域的技术入围,其中多项技术有望为治疗癌症带来新的解决办法.这些技术被认为在未来3~5年会对社会与经济产生重要影响. <科学美国人>与世界经济论坛联合发布了 2018 年全球十大新兴技术.这份榜单由<科学美国人>.<科学美国人>全球顾问委员会.世界经济论坛

酷客多荣获“2018年度中国最具创新力小程序品牌”奖

2018中国企业品牌经济峰会于今日圆满结束,此次中国企业品牌经济峰会暨年度品牌经济指数百强发布盛典(以下简称峰会)在北京举行,峰会邀请了杰出品牌商.投资界大咖.行业领袖嘉宾及500余创业者参加,众多重量级嘉宾到场分享经验. 峰会由中国品牌经济研究院主办,希鸥网.CEO传媒承办,中国品牌经济研究院是最权威的品牌价值评估机构和品牌经济传播机构,围绕品牌和经济两大课题深入研究,形成独立的学术品格和研究价值观.本次活动上公布了"2018年度中国企业服务品牌经济指数100强",百强榜单主要参考公

[转帖]2018年JVM生态系统报告出炉

很多未解之谜终于有答案了--2018年JVM生态系统报告出炉 https://blog.csdn.net/hollis_chuang/article/details/84134298 2018年11月16日 09:53:53 Hollis在CSDN 阅读数:1023更多 个人分类: Java 在Java开发者中,一直存在着很多鄙视链.如: IntelliJ → Eclipse → NetBeans Unix → Linux → Mac OS→ Windows → DOS Emacs → Vim