根据最新的卡巴斯基报告“企业如何将数据泄露的成本降到最低”,决定主动将数据泄露事件披露给利益相关者和公众的中小企业的平均损失要比那些事故泄露给媒体的同行要少40%。在大型企业中,也出现了相同的趋势。
如果不及时将有关数据泄露的信息适当地通知公众,可能会让数据泄露造成的经济和信誉损失更为严重。一些备受瞩目的案件包括雅虎(Yahoo!),因为没有将其遭遇的数据泄露事件通知其投资者而被罚款和批评,还有Uber 因掩盖其数据泄露事件而被罚款。
卡巴斯基的报告基于对全球5,200多名IT和网络安全从业者的调查,调查显示,能够掌控局面的组织通常能够降低损失。披露数据泄露事件的中小企业的成本估计为930,000美元,而事件泄露给媒体的同行则遭受了155,000美元的损失。大型企业面临的情况同样如此:那些主动披露遭遇数据泄露事件的企业遭受的损失较那些事件被泄露给媒体的企业较少(少28%),它们的损失分别为113.4万美元和158.3万美元。
只有约一半(46%)的企业会主动披露数据泄露事件。经历过数据泄露的组织和企业中,有30%选择不披露事件。当事件泄露给媒体后,有近四分之一(24%)的企业试图掩盖事件。
尽管企业不披露数据泄露事件所造成的损失最小,但是这种做法远非理想。如果无意间向公众泄露了其网络安全事件,那么这类公司就有遭受更大损失的风险。
调查进一步证明,对于那些无法立即发现攻击的公司,风险尤其高。29%的中小企业要花费一周多的事件才从媒体新闻中发现自己遭受了入侵,这比那些几乎立即发现入侵的企业(15%)多出一倍。对大型企业来说,这些数据也很相似,分别为32%和19%。
主动披露可以帮助公司扭转局面,将其向对公司有利的方向发展,而且还不仅限于经济影响。如果客户第一时间知道发生了什么,他们很可能还会保持对品牌的信任。另外,公司还可以给客户提供下一步该怎么做的建议,让他们的资产得到保护。公司还可以通过与媒体分享可靠和正确的信息,从他们的角度来叙述事情,而不是依赖第三方媒体来错误地描述情况,”卡巴斯基高级产品营销经理 Yana Shevchenko 评论说。
为了降低数据泄露带来的破坏性后果的几率,卡巴斯基建议企业提前采取以下措施:
- 为了实现企业端点级别的高级威胁检测、调查和主动威胁追踪以及快速响应,请部署EDR解决方案,例如卡巴斯基端点检测和响应。网络安全专业技能有限的小型企业可以从卡巴斯基EDR Optimum中获益。该解决方案提供基础的 EDR 功能,包括更好的端点可视性、简化的原因分析和自动响应选项。
- 除了端点保护外,企业应当部署能够在网络层面检测高级威胁并得到威胁情报加强(例如卡巴斯基反针对性攻击平台)的企业级安全解决方案。这种解决方案有助于防范专业网络罪犯的攻击,这些罪犯偏爱多种媒介的攻击方法,往往将许多不同的技术组合成一种计划攻击。
- 为了及时应对网络攻击,联合内部的事件响应团队作为第一线响应,并将更复杂的事件升级,将其提交给第三方专家。
- 为员工引入安全意识培训,向他们解释如何识别网络安全事件以及发生事件时应该如何做,包括立即通知公司的IT安全部门。
- 考虑对涉及数据泄露后果的所有各方进行特别培,包括船舶专业人员和IT安全负责人,例如卡巴斯基事件传播。
完整版报告请参见这里。
关于这项调查
卡巴斯基全球企业IT安全风险调查(ITSRS)于2020年6月采访了31个国家的5,266名IT业务决策者。受访者被问及其组织内部的IT安全状况、面临的威胁类型以及从攻击中恢复时需要应对的成本。
转载请注明:IT运维空间 » 安全防护 » 主动披露数据泄露的中小企业往往遭受的经济损失要少40%
发表评论