2023年数据泄露平均成本445万美元，创历史新高！

近日，上海市某科技公司相关数据库存在未授权访问漏洞，部分数据被窃并传输到境外，上海市网信办将相关情况通报涉事企业并要求立即核查整改，但该科技公司无视数据安全保护责任，未进行及时有效整改且擅自将涉事数据库一删了之，意图逃避处罚。

经调查核实，该科技公司主要从事为保险类企业提供互联网通信服务，在 2022 年 10 月，公司安装配置了一台 Elasticsearch 数据库服务器，用于搜集多个应用系统的业务日志，并存储了包含用户姓名、身份证号码、手机号在内的大量个人信息，但该公司未建立健全全流程数据安全管理制度，未采取相应的技术措施和其他必要措施保障数据安全，因数据库存在未授权访问漏洞，造成部分数据泄漏被传输到境外。

企业私自删除涉事数据库逃避责任、没有按照规定及时向网信部门报告，未有效履行数据安全保护义务。依据《数据安全法》第二十七条、第四十五条，对该科技公司进行行政处罚。

数据泄露平均成本逐年升高成增长趋势。

2023年数据泄露成本再创新高。研究报告显示2023年数据泄露平均成本上升至445万美元，达到历史新高。比2022年增加了2.3%，2020年报告中的386万美元增加了15.3%。

数据泄露问题已然成为实体组织经营生产过程中，难以逾越的“鸿沟”。

随着业务的全面信息化，企业面临的数据泄露风险变得更加复杂，风险检测速度以及响应速度成为影响数据泄露成本的重要因素。企业想要保护机密数据安全，需要部署更加完善的安全管理措施，提高风险发现以及应对能力。

关于如何降低数据泄露成本的方法

1、快速响应

企业组织应广泛使用数据违规检测策略。企业组织可以根据纵深防御的理念分别从网络异常行为、本地异常行为、横向移动行为三个大类，结合网络、终端、服务器、威胁情报等各类安全日志对不同类别异常行为进行监测。阻止数据泄露或缩短数据泄露后的生命周期，可平均节省176万美元的成本。

2、漏洞自查

自主发现安全漏洞，能够大幅度降低泄露成本。研究报告显示：三分之一的公司是通过自己的安全团队发现数据泄露的，企业需要配备更完善的威胁检测技术，可降低泄露成本。

3、数据加密

当前，国内各大信息安全法规要求企业通过加密、终端安全管控等技术方案加强数据信息的保护。数据是具有可复制属性的，所以未加保护的数据一旦外流，影响和损失将不可控制。因此，企业组织保护数据安全，首先对数据进行加密和备份处理。

4、数据防泄漏

政企等涉密机构，可部署数据防泄漏系统，可有效避免内部人员无意或恶意的数据外泄。数据防泄漏系统会对内容进行识别，通过识别可扩展到对数据泄漏的防控，可定位敏感数据位置、监控敏感数据的使用情况以及采取阻断和审批加密的策略，防护敏感数据外泄。

5、数据管控

数据管控策略可有效避免组织中“内鬼”外泄行为。常见的管控技术有：访问权限管控、水印溯源管控、离职管控、加密管控、上传管控等。

企业组织应提前部署安全防护措施，如建立终端防护、邮件防泄漏、网络防泄漏、透明加解密为基础的金融信息安全管理策略。