639家上市公司曾发生网络安全事件，平均损失1.16亿美元

网络安全引发的数据泄露给企业造成的损失非常严重。调研机构Audit Analytics发现，2011年至今有639起上市公司曾发生过网络安全事件，每起网络数据泄露事件的平均损失高达1.16亿美元。

Audit Analytics发布的《网络安全事件披露趋势》披露，2011年以来，不少企业因数据泄露付出高额的代价，其中最严重的有：2013年的塔吉特（2.92亿美元），2014年的家得宝（2.98亿美元），2017年的Equifax（17亿美元）和2018年的万豪（1.14亿美元），2019年Facebook被罚50亿美元。这些还不包括名誉受损、信任度下降带来的长期影响。

报告数据显示，2018年，姓名和信用卡信息最受窃密者欢迎，而2019年窃密者的目标是获取客户姓名、住址和电子邮件地址。

国内外关于用户信息保护的监管越趋严格，国内的《网络安全法》、《个人信息安全规范》《等级保护2.0》以及即将推出的《数据安全法》等都在加强数据保护的合规监管，收集用户信息的企业如果没有保护好用户信息，会面临相关部门的罚款，责令停业整顿，甚至吊销营业执照，被泄露隐私信息的客户也可向企业提起法律诉讼。

造成企业数据泄露的原因有哪些？

1、DDoS攻击

DDoS攻击能够快速中断被攻击企业的工作流程，让企业业务中断。研究发现，有近五分之一（16%）的企业没有采取任何针对DDoS攻击的保护措施，还有一半的企业（49%）依靠自身的硬件进行保护。但是，这种保护对于日益增长的大规模攻击以及“智慧型”DDoS攻击效果不佳，很难利用标准手段过滤这些攻击。

2015年，英国零售商CarphoneWarehouse数据库遭到攻击，致使该公司240万条客户记录被盗。约有9万名客户的信用卡信息失窃，万幸的是，这些数据已加密，没有造成更大的损失。

2、数据泄露被发现存在“滞后”期，内部管理不到位

报告称，公司企业平均需耗时108天才能发现数据泄露，报告数据泄露则还需再加49天，发现数据泄露耗时越长损失越大。甚至有10%的数据泄露事件甚至超过1年才被发现，如果企业机构没有提高安全意识，或者在安全建设方面没有得到较大的改观，那么就这意味着，攻击者拥有足够的时间获取更多数据。

一些重点单位机构安全意识不强，对内部人员管理不到位，对数据安全的管理能力和防范能力较弱，给了不法分子可乘之机。

企业通常拥有完整详细且严格的规章制度，但仍然有一部分“内部”人士，麻痹大意或利用职权办“特事”，造成企业无法挽回的损失。调查显示，大约有 74% 的安全事件是由于内部人员将机密信息在没有加密，或操作失误等情况下将重要的数据发送到外部造成的。

也许员工不会恶意散播内部数据，但是他们可能因疏忽而泄露机密。强化内部管控，事前做好防护是关键！

商务密邮：网络安全、数据泄露事件情况复杂，不确定因素较多，及时发现制止数据泄露事件的发生是每个企业机构的必然面对的重点难点问题。企业需要对重要数据加密保护，并加强数据管控的能力，才能避免数据泄露给企业带来的损失。