德勤會(huì)計(jì)師事務(wù)所發(fā)現(xiàn):“隱藏代價(jià)”能占到公司總體業(yè)務(wù)損失的90%,而且極有可能在事發(fā)2年后甚至更長(zhǎng)時(shí)間才會(huì)顯現(xiàn)出來(lái)。
沒(méi)有人會(huì)否認(rèn)網(wǎng)絡(luò)攻擊的頻度和強(qiáng)度都在增加,大多數(shù)公司都承認(rèn)自己至少遭到過(guò)1起網(wǎng)絡(luò)事件。但這些公司真的了解網(wǎng)絡(luò)事件對(duì)公司的全部影響嗎?畢竟,數(shù)據(jù)泄露相關(guān)的直接損失通常都遠(yuǎn)遠(yuǎn)不及“隱藏代價(jià)”。
事實(shí)上,“隱藏代價(jià)”能占到公司總體業(yè)務(wù)損失的90%,而且極有可能在事發(fā)后2年甚至更久后才會(huì)顯現(xiàn)出來(lái)。
這是德勤會(huì)計(jì)師事務(wù)所新近發(fā)布的一項(xiàng)研究報(bào)告《表面之下:深度探討網(wǎng)絡(luò)攻擊的商業(yè)影響》所揭示的。
德勤標(biāo)記出了網(wǎng)絡(luò)攻擊的14種商業(yè)影響,并歸類為“表面之上”(眾所周知的事件損失),和“表面之下”(隱藏或極少被感知到的代價(jià)),每一類中都有7種影響。
德勤認(rèn)為,當(dāng)前市場(chǎng)太過(guò)低估網(wǎng)絡(luò)事件的影響,因?yàn)楣姸贾魂P(guān)注表面影響,而這恰恰是比重極小的那部分。
高管們通常難以估算潛在影響,部分原因源于他們通常對(duì)同儕努力將業(yè)務(wù)導(dǎo)回正軌的過(guò)程中所遭遇的困難和阻力并不知情。缺乏對(duì)網(wǎng)絡(luò)攻擊的準(zhǔn)確視圖,公司也就不能獲悉自己需要了解的風(fēng)險(xiǎn)態(tài)勢(shì)。
太多的討論都是圍繞現(xiàn)有的漏洞和技術(shù)影響。視線太窄,且只集中在了數(shù)據(jù)泄露通知元素和事后防護(hù)機(jī)制這些需要就位的東西上,而更廣泛的影響則被忽略了。
德勤的分析師著手描繪了對(duì)網(wǎng)絡(luò)攻擊更寬泛全面的視圖。
他們想到了網(wǎng)絡(luò)攻擊的影響被低估了,卻沒(méi)想到表面之下的影響被低估了這么多,而且這些”隱藏”影響一直以來(lái)都沒(méi)有成為網(wǎng)絡(luò)事件的日常討論對(duì)象。
為表現(xiàn)出網(wǎng)絡(luò)攻擊方方面面的影響,德勤的研究團(tuán)隊(duì)虛擬了2個(gè)案例分析,在5年時(shí)間里為每種因素進(jìn)行了經(jīng)濟(jì)損失的量化。這14種商業(yè)影響具體如下所示:
表面之上(眾所周知)的網(wǎng)絡(luò)事件損失
客戶數(shù)據(jù)泄露通告事后客戶防御合規(guī)(罰款)公關(guān)/危機(jī)溝通律師費(fèi)和訴訟網(wǎng)絡(luò)安全改進(jìn)技術(shù)調(diào)查表面之下(隱藏或極少被感知到)的損失
保費(fèi)增長(zhǎng)舉債開(kāi)銷增加運(yùn)營(yíng)中斷客戶關(guān)系價(jià)值喪失合同流失商標(biāo)貶值知識(shí)產(chǎn)權(quán)遺失上述所有影響中,可能最明顯的就是運(yùn)營(yíng)中斷了。
從所受影響的角度出發(fā),每家公司都是不一樣的,但各行業(yè)之間卻有共通的關(guān)鍵領(lǐng)域。比如,對(duì)零售業(yè)而言,信用卡數(shù)據(jù)是最重要的。醫(yī)療保健行業(yè),個(gè)人身份識(shí)別信息(PIN)最重要。而在制造業(yè),知識(shí)產(chǎn)權(quán)遺失可能會(huì)是最致命的打擊。然而,各家公司遭受的最被低估的嚴(yán)重影響,往往是業(yè)務(wù)中斷。
取決于發(fā)生的時(shí)機(jī)和持續(xù)時(shí)長(zhǎng),業(yè)務(wù)中斷可能在各個(gè)方面造成嚴(yán)重后果,比如財(cái)務(wù)處罰、收益損失、借貸開(kāi)支、客戶服務(wù)、品牌接受度和未來(lái)發(fā)展機(jī)會(huì)等。
最重大的切實(shí)影響就是最先被感受到的那個(gè)——事件響應(yīng)的經(jīng)濟(jì)開(kāi)支??刂坪晚憫?yīng)攻擊的動(dòng)作、對(duì)數(shù)據(jù)泄露造成后果的調(diào)查、公關(guān)、合規(guī)處罰、信用監(jiān)控服務(wù),以及后端加強(qiáng)防御的費(fèi)用等等。對(duì)中大型企業(yè)而言,這些有可能很輕易就累計(jì)到數(shù)百萬(wàn)美元了。
除此之外,還有些不易度量的開(kāi)支,取決于企業(yè)所屬行業(yè)、企業(yè)規(guī)模和安全事件性質(zhì)等不同因素。影響可能包含有企業(yè)充分保護(hù)信息的能力的喪失,這種能力的喪失在金融產(chǎn)業(yè)引發(fā)的客戶反應(yīng),會(huì)比在批發(fā)制造業(yè)嚴(yán)重得多。
此類損失可能更難以度量,但若投資人、客戶或主要業(yè)務(wù)合作伙伴對(duì)事件深究起來(lái),也是夠企業(yè)受的。
RSA首席技術(shù)官拉姆贊總結(jié)了網(wǎng)絡(luò)攻擊最重大的5個(gè)影響領(lǐng)域:業(yè)務(wù)持續(xù)性影響、知識(shí)產(chǎn)權(quán)失竊、客戶和員工信息等敏感數(shù)據(jù)遺失、合規(guī)影響、信譽(yù)損失。
取決于企業(yè)自身和所屬具體市場(chǎng)縱向行業(yè),不同的條目會(huì)浮現(xiàn)到這個(gè)列表頂部。其中一些領(lǐng)域,比如業(yè)務(wù)持續(xù)性影響領(lǐng)域,就相對(duì)容易量化。另一方面,其他一些領(lǐng)域,比如信譽(yù)損失和知識(shí)產(chǎn)權(quán)失竊,就更難以賦以一個(gè)準(zhǔn)確的衡量金額。
影響的開(kāi)銷
但德勤的分析師們沒(méi)有被困難嚇住。在報(bào)告中,他們創(chuàng)建了兩家代表性公司,遭受網(wǎng)絡(luò)攻擊并附上了對(duì)所有影響領(lǐng)域的損失價(jià)值。
其一是一家醫(yī)療保健公司,遭受的是數(shù)據(jù)泄露事件:其醫(yī)療保健分析軟件供應(yīng)商的一臺(tái)筆記本電腦被盜,而電腦中存有該醫(yī)療保健公司的280萬(wàn)條個(gè)人健康信息(PHI)記錄?;谒?4個(gè)影響因素,該事件的全部損失被確定為16.79億美元,細(xì)分如下:
表面之上
客戶數(shù)據(jù)泄露通告 = 6個(gè)月,1000萬(wàn)(總損失占比0.6%)事后客戶防御 = 3年,2100萬(wàn)(1.25%)合規(guī)(罰款) = 2年間,200萬(wàn)(0.12%)公關(guān)/危機(jī)溝通 = 第1年里,100萬(wàn)(0.06%)律師費(fèi)和訴訟 = 5年,1000萬(wàn)(0.6%)網(wǎng)絡(luò)安全改進(jìn) = 第1年,1400萬(wàn)(0.83%)技術(shù)調(diào)查 = 6周,100萬(wàn)(0.06%)表面之下
保費(fèi)增長(zhǎng) = 3年間,4000萬(wàn)(2.38%)舉債開(kāi)銷增加 = 6000萬(wàn)(3.57%)運(yùn)營(yíng)中斷 = 3000萬(wàn)(1.79%)客戶關(guān)系價(jià)值喪失 = 3年間,4.3億(25.61%)合同流失 = 3年間,8.3億(49.43%)商標(biāo)貶值 = 5年間,2.3億(13.7%)知識(shí)產(chǎn)權(quán)遺失 = 無(wú)賦值那么公司企業(yè)應(yīng)該做些什么來(lái)防止這些潛在的損失呢?有4個(gè)方面值得注意。
首先,程序元素——公司戰(zhàn)略、監(jiān)管、策略、流程、框架,以及有沒(méi)有需要修復(fù)的總體程序相關(guān)的漏洞。
其次,主動(dòng)安全控制和態(tài)勢(shì)——防護(hù)公司數(shù)據(jù)、系統(tǒng)、環(huán)境和業(yè)務(wù)的東西有沒(méi)有就位。
再次,用于持續(xù)理解和監(jiān)視公司環(huán)境的東西——有沒(méi)有合適的工具來(lái)記錄公司系統(tǒng)內(nèi)發(fā)生的行為,有沒(méi)有合適的分析工具對(duì)異常行為進(jìn)行分析。
最后,公司是否有響應(yīng)準(zhǔn)備,是否有彈性——有沒(méi)有事件響應(yīng)預(yù)案?有沒(méi)有對(duì)響應(yīng)預(yù)案進(jìn)行過(guò)測(cè)試?執(zhí)行管理團(tuán)隊(duì)是否知道該向誰(shuí)溝通這些事情?