四分之一數據泄露背後是人為原因

• 2019 年 10 月 4 日
• 筆記

根據Ponemon研究機構的最新調查數據，去年所發生的四分之一的數據泄露事件都是人為原因所導致的，而且同期的全部數據泄露事件所帶來的平均經濟損失約為392萬美元，跟去年同期相比增長了1.5個百分點。而且研究結果還表明，在發生惡意攻擊的情況下，事件的修復時間已經逐漸增長到了一年或者更長的時間。

這些數據是根據Ponemon研究機構和IBM共同發佈的第14份年讀數據泄露成本報告所得出的，這份報告對16個國家和地區以及17個行業部門的507家組織在2018年7月份至2019年4月份期間所發生的數據泄露事件及其影響進行了調研。報告指出，從長期來看，數據泄露的平均總成本一直在持續上升：過去五年，數據泄露事件的平均總成本增長了12%，高於2014年350萬美元的平均值。

除此之外，修復攻擊影響以及相應漏洞的事件也在逐漸增加。今年的研究表明，修復漏洞以及緩解事件影響平均需要花費279天的事件，比之前平均值266天延長了4.9%。

報告發現，惡意網絡攻擊以及網絡犯罪行為（並非員工的配置錯誤）導致的數據泄露逐漸需要更長的時間來修復和緩解：平均需要314天來識別和修復漏洞。這是非常關鍵的一點，因為當修復生命周期超過200天時，數據泄露的平均成本會高120萬美元。

總體而言，惡意攻擊和網絡犯罪行為是2019年數據泄露的主要根源（佔51%）。2019年，系統故障所導致的數據泄露佔四分之一，而其中有24%是人為錯誤所造成的。

報告中還有一樣數據是每年都一致的，比如說，就數據泄露的平均總成本來說，金額最高的是美國的819萬美元，這個數字是全球數據泄露事件平均成本的兩倍之多。

醫療保健行業仍然是數據泄露成本最高的行業，2019年該行業的數據泄露總成本平均為645萬美元。

該報告還研究了關於成本減輕方面的措施，比如說測試事件響應計劃的影響等等，這些都是能夠有效降低事件成本的因素。因為成立一個專門的事件響應小組，可以更為有效地降低數據泄露的成本，這種方式可以平均降低32萬美元的事件成本。

除此之外，大量使用加密技術還可以減少36萬美元的數據泄露平均總成本。當然了，我們還可以採用一些其他成本降低因素，比如說業務連續性管理、DevSecOps方法、人工智能平台以及員工網絡安全教育等等。

實際上，在醫療保健或金融服務等高度管制的行業中，法律和監管方面的因素將會延長數據泄露事件的生命周期，並使泄露成本增加。

CybersaintSecurity的創始人兼首席執行官George Wrenn通過電子郵件表示：「醫療數據是最重要的數據之一，因此在遇到與醫療保健機構相關的數據泄露事件時，我們需要檢查目標機構存儲的數據量以及數據類型，這不可避免地會使數據泄露的成本增加，特別是對美國公司而言。」

*參考來源：threatpost，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM