7月初,《2017年全球数据泄露成本研究》报告发布。研究结果显示,IBM Security 和 Ponemon Institute两家研究机构针对419家公司进行调研,合计数据泄露总成本达到362万美元。每条包含敏感和机密信息的丢失或被盗记录的平均成本达到141美元。对比往年,今年企业和组织数据泄露的规模较以往更大,平均规模增长了1.8%。 近年来,全球各地无论是政府组织还是知名企业,频繁被爆出大规模数据泄露事件,尤以信息化程度发达的国家更为严重。研究结果来自11个国家和2个区域,从中选择了419个组织参加了今年的研究。通过对这些组织中的1900多名专家进行访谈,以此了解:
数据泄露中有多少客户记录丢失(即泄露规模)
数据泄露后他们失去的客户的百分比(即客户流失)
数据泄露的根本原因
检测和控制泄露事件的时间
发现和立即响应数据泄露的活动方面花费,例如取证和调查,以及发现后进行的活动,例如通知受害人和法律方面的费用
通过这些样本对数据泄露成本进行研究和分析,不仅是为了核算成本和趋势预判,最终目的是通过调研还原这些数据泄露事件全貌,为组织和企业的数据安全保护提供更有参考价值的建议,我们将报告中的一些重要观点摘录下来,以此作为重要的参考依据,思考在大数据时代下,如何通过行之有效的手段,规避未来可能会发生的泄露事件,为企业避免为此类负面事件付出高昂的成本。
数据泄露的主要原因
报告显示,数据泄露事件的主要根源中,47%的事件涉及恶意或犯罪行为,25%是由于员工或承包商疏忽(人为因素),28%涉及系统故障,包括IT和业务流程故障。
虽然本次调查没有涉及中国的组织和企业,但这一趋势与国内诸多安全研究结果较为一致。早期,恶意攻击者的目标是业务系统,以导致业务中断为目的。近年伴随数据资产价值与日俱增,恶意攻击者的目标越来越多的指向数据存储的基础设施-数据库系统。针对数据库的漏洞攻击、SQL注入等手段不断升级,目的正是对敏感数据的窃取,这些包含个人隐私或商业机密的数据流入黑产市场,经过多手倒卖,流入更多不法分子手中,震惊全球的雅虎5亿用户信息泄露事件正是源于黑客攻击。
另一方面,与国内情况类似,内部员工及承包商(即第三方公司)的人为泄露比例正在逐年上升。企业信息化建设增速逐年提升,除了内部人员配备提升,为节省人力成本,引入第三方外包公司进行系统开发、测试、分析或代理运维等工作是目前常见的解决方式,在此过程中这类人群往往持有数据库的高权限账户,一面是内部人员可能产生的高危操作、误操作,另一方面是第三方人员引发的数据泄露事件,这成为数据泄露的另一主因。
庆幸的是,国内的多数行业已经意识到内部威胁及第三方人员的数据泄露风险,会主动寻求技术手段规避。数据库脱敏和数据库安全运维产品的出现和应用正是基于此,对敏感数据做变形和漂白后可以放心交给第三方公司使用;即使内部及第三方运维人员拥有DBA高权限账户,依然可以通过基于审批流机制的数据库安全运维系统,对敏感数据的运维操作进行审核和过滤,防止误操作及高危操作。
外泄规模的大小以及丢失或被盗记录的数量
调研结果显示,数据泄露事件将导致客户信任度下降、企业也需要投入大量成本进行取证调查,挽回数据,以及相关客户的联系及法律成本。通过成本分析揭示了数据泄露的平均总成本与事件的大小之间的关系。在今年的研究中,少于10,000个损失记录的事件的平均总成本190万美元,超过50,000记录的时间平均总成本是630万美元。因此,丢失的记录越多,数据泄露的成本就越高。对于这一情况,报告中提到数据分类存储计划对于了解敏感和机密信息至关重要。
这一结论与安华金和提出的数据安全治理思路不谋而合,我们认为要实现数据在使用中的安全,首先一步是要了解数据,通过对数据资产进行梳理,发现你的敏感数据资产有多少、分布在哪里,使用情况和访问权限怎样。对数据资产进行分级分类,是为建立定制化的保护策略提供原始依据。