Ponemon：2018年度数据泄露成本分析报告

2018年7月份，由IBM发起，Ponemon独立进行调查得出的2018年度数据泄露成本分析报告出炉了。这份报告包括全球版、以及多个国家版本。今年的调研涉及全球477个企业和组织。调查结果显示，数据泄露的成本和数量都在持续攀升。

今年的关键调研分析数据如下：

其中，数据泄露的平均成本从2017年的362万美元上升到386万美元，平均每条失窃记录的成本从去年的141美元上升为148美元，而未来两年发生重大数据泄露的可能性是也略有上升。此外，事件应急响应团队能够挽回的成本约为平均每条记录14美元。

报告还表示，过去一年对于数据泄露事件的MTTI（平均识别/发现时间）是197天，平均遏制时间是69天。与此同时，对于那些能够在30天以内遏制住泄露事件的单位而言，比超过30天的单位能够减少100万美元的成本。也就是说，“时间就是金钱”。

计算数据泄露的成本是一个很有挑战性的工作，因此，计算模型和方法十分重要。同时，我们必须清楚认识到任何模型都一定存在局限性，因此，对于调查结果数据必须辨证的去看待。

首先是范围的界定。Ponemon定义数据泄露为：个人姓名和医疗记录和/或财务记录或借记卡/信用卡处在潜在风险的事件 - 无论是电子的或纸质的。但不包括知识产权、商业秘密和商业机密信息等高价值信息资产的数据泄露。

其次是计算模型。Ponemon从4个维度去考量成本：检测和响应的成本（包括调查取证、评估审计、危机管理、内部沟通等活动所耗费的成本）、通知成本（包括通过各种方式告知受害人、与司法及主管部门等外部沟通活动所耗费的成本）、善后成本、业务丧失成本（包括业务中断、收入减少、客户流式、商誉减值等）。
根据上述4个维度，Ponemon设计了一套度量指标，然后通过调查问卷访谈获得每个指标的数值（都是由受访者主观填写的），再对这些指标进行计算，计算的时候又分为三种成本数值，分别是直接成本、间接成本和机会成本。然后再计算总的成本，并采用通过蒙特卡洛模拟方法对重大数据泄露事件进行进一步分析。

汇报报告本身，揭示了很多发现，报告长达47页。这里本人摘取一些个人感兴趣的内容如下：
1）越快识别和遏制数据泄露，越能降低数据泄露造成的成本；
2）如果把数据泄露的原因分为三类：恶意和犯罪攻/击、系统故障、人为错误，那么恶意和犯罪攻/击是主要因素，占比高达48%，造成的成本也更高；
3）应急响应团队（IR）作用还是有效的，能够在一定程度上帮助降低数据泄露的成本；此外，广泛的使用加密手段也能显著降低数据泄露的成本（13美元每记录）。其它的正向技术手段还包括：BCM、员工培训、参与威胁共享、使用安全分析技术、使用DLP、数据分级分类、保险。有趣的是，任命CPO（首席隐私官）仅能带来1.8美元每记录的成本消减，任命CISO的成本消减也不过6.5美元每记录。
4）对由于第三方引发的数据泄露，以及向云中迁移的用户的数据泄露，其成本都高于平均值，即带来了更高的成本；

部分其它调研结果：

【参考】
2017年关于数据泄露成本的研究：全球概览

埃森哲：2017年网络犯罪成本研究报告（含分析）