李汶龍

波耐蒙研究所（Ponemon Institute LLC） 發(fā)布的《2015年數(shù)據(jù)泄露成本全球分析報告》顯示，幾乎所有發(fā)達(dá)國家和新興發(fā)展中國家都受到數(shù)據(jù)泄露的挑戰(zhàn)，但在范圍、程度及成本上略有不同。相比之下，巴西和法國最容易發(fā)生數(shù)據(jù)泄露，而加拿大和德國的幾率最小。

2015年，全球數(shù)字安全公司Gemalto調(diào)查了澳大利亞、巴西、法國、德國、日本、英國及美國的5750位消費者后發(fā)現(xiàn)，超過1/3的人曾受到數(shù)據(jù)泄露的影響，近1/5的人認(rèn)為在未來1～3年中可能會成為數(shù)據(jù)泄露的受害者。

數(shù)據(jù)泄露的風(fēng)險已經(jīng)成為全球性難題，初步踏入信息社會的我們尚沒有找到保障數(shù)據(jù)安全的有效方式。

數(shù)據(jù)泄露的“冰山”

進(jìn)入21世紀(jì)以來，數(shù)據(jù)泄露愈發(fā)頻繁，從2013年的美國超級零售商Target，到2014年的索尼娛樂公司，再到2015年美國約會網(wǎng)站Ashley Madison，全球范圍內(nèi)很多公司先后遭受重創(chuàng)。有人曾將2014年稱之為“數(shù)據(jù)泄露元年”，從那時起至今，數(shù)據(jù)泄露已不再是簡單的科技事件，而愈發(fā)成為嚴(yán)重的社會問題。

不斷發(fā)生的驚人事件讓人們開始集中關(guān)注數(shù)據(jù)安全的問題，但其實我們熟知的近期發(fā)生的泄露事件在規(guī)模和影響上都并不突出。有史以來最嚴(yán)重的數(shù)據(jù)泄露發(fā)生于2005年到2012年，持續(xù)8年之久。來自俄羅斯和烏克蘭的黑客組織侵襲了包括納斯達(dá)克在內(nèi)的多家美國公司，竊取共1.6億條銀行卡號碼，侵入80多萬銀行賬號。排名第二的是2014年的eBay數(shù)據(jù)泄露事件，共1.48億用戶的姓名、住址、生日及密碼遭泄。2006～2008年，昔日最大的支付公司Heartland的數(shù)據(jù)泄露事件排名第三，共1.3億銀行賬號被黑客獲取。

中國企業(yè)也在劫難逃。2010年，支付寶前技術(shù)員工下載了超過20G的支付寶用戶資料出售給其他數(shù)據(jù)公司；2011年，天涯網(wǎng)盛極之時，有4000萬用戶的數(shù)據(jù)被黑客泄露；2014年5月，小米論壇數(shù)據(jù)有800萬注冊用戶的數(shù)據(jù)遭泄，黑客隨意進(jìn)入賬戶。

2015年，世界范圍內(nèi)發(fā)生的大型數(shù)據(jù)泄露事件共有四起：當(dāng)年2月，美國第二大醫(yī)療保險公司Anthem數(shù)據(jù)庫遭泄露，近8000萬用戶的個人信息失竊；6月，美國政府人事管理辦公室也慘遭網(wǎng)絡(luò)襲擊，共400多萬員工的記錄被盜；一個月之后，媒體鋪天蓋地報道了極富爭議的約會網(wǎng)站Ashley Madison數(shù)據(jù)被竊事件，共3700萬用戶受到了影響；10月，英國電信公司TalkTalk的400萬用戶數(shù)據(jù)被黑客竊走。

發(fā)生數(shù)據(jù)泄露的成本究竟有多大？大型數(shù)據(jù)泄露事件的直接經(jīng)濟(jì)成本幾乎都是過億級的：美國零售業(yè)巨頭Target公司為數(shù)據(jù)泄露支付了10億美元；索尼娛樂虧損數(shù)十億美元；美國家居零售商Home Depot要向5600萬用戶賠償總共100億美元的損失；而Ashley Madison泄露事件導(dǎo)致該公司陷入多起訴訟，成本之大不可預(yù)估。

最新數(shù)據(jù)顯示，數(shù)據(jù)泄露的平均成本已經(jīng)由2014年的352萬美元上升到379萬（上漲23%），平均一份數(shù)據(jù)泄露的成本由145美元增長為154美元。Pomenon對比各國情況發(fā)現(xiàn)，美國數(shù)據(jù)泄露的成本最高，為217美元，其次是德國的211美元。泄露成本最低的是巴西和印度，分別為78和56美元。從行業(yè)視角來看，醫(yī)療健康領(lǐng)域的成本最高，高達(dá)363美元，第二名是教育領(lǐng)域（300美元），最低的是交通領(lǐng)域和公共部門，分別為121美元和68美元。

上面的數(shù)字只是冰山一角。數(shù)據(jù)泄露的成本不僅體現(xiàn)在直接經(jīng)濟(jì)損失上，還有很多隱藏成本，它是指那些經(jīng)常被忽略，不容易與成本建立關(guān)聯(lián)，有些甚至無法被量化的負(fù)面因素。

在所有隱藏成本中，重建用戶信任的成本最大，而數(shù)據(jù)泄露對用戶信任帶來嚴(yán)重的挑戰(zhàn)。在數(shù)據(jù)事故頻發(fā)的今天，消費者對于數(shù)據(jù)公司的信任已經(jīng)跌到了底點。Gemalto提供的數(shù)據(jù)顯示，只有1/4的消費者認(rèn)為數(shù)據(jù)公司非常重視數(shù)據(jù)安全。而對數(shù)據(jù)公司的員工所做的調(diào)查顯示，僅2/5的員工認(rèn)為自己的公司非常重視數(shù)據(jù)安全問題。

2015年因數(shù)據(jù)泄露導(dǎo)致的信任危機(jī)量化后的成本高達(dá)157萬美元，2014年這一數(shù)字為133萬。這些成本包括商譽(yù)減損、用戶不正常流失、公司隨后開展的大量挽救用戶的活動。 全球近64%的消費者認(rèn)為，如果某家公司的財務(wù)信息被盜，就不愿意再購買這家公司的服務(wù)，或者與其做生意；還有近1/2的人認(rèn)為，如果某家公司發(fā)生了數(shù)據(jù)泄露事件，也不會再使用他們的服務(wù)?？梢?，信任補(bǔ)救成本對于公司而言是“實打?qū)崱钡膿p失，而且其負(fù)面影響無法全部量化。

誰是互聯(lián)網(wǎng)+公司的敵人

用戶數(shù)據(jù)面臨的安全威脅來源多樣，有外部因素和內(nèi)部因素，也可分為人為因素和非人為因素。大體上包括網(wǎng)絡(luò)惡意襲擊、系統(tǒng)故障以及員工行為三種情況。

網(wǎng)絡(luò)惡意襲擊（cyber attack） 在所有因素中產(chǎn)生的成本最高：在2015年，每丟失一份數(shù)據(jù)要產(chǎn)生170美元的成本，與上一年相比上漲11美元。近兩年，網(wǎng)絡(luò)惡意襲擊呈直線上升之勢。2013年的報告顯示，惡意襲擊因素在當(dāng)時的比重僅占37%，與第二名的“人為因素”僅相差2個百分點。兩年之后，二者差距已經(jīng)被實質(zhì)性地拉大，而其他因素如系統(tǒng)故障和人為因素的比例都不超過30%。

人為因素也不可被忽視。賽門鐵克（Symantec）的一項研究表明，有超過一半的員工離職12個月以后仍然持有舊公司的保密數(shù)據(jù)，40%的人會在下一份工作中繼續(xù)使用這些數(shù)據(jù)。62%的員工認(rèn)為可以在離職后將原公司的數(shù)據(jù)復(fù)制帶走，而且大部分人都不會刪除原公司的數(shù)據(jù)。只有47%的公司會在員工離職后仍使用原公司數(shù)據(jù)的情況下會采取行動，而68%的公司沒有任何限制措施。

數(shù)據(jù)泄露事件如此猖獗，一定程度上與業(yè)界對風(fēng)險的理解不足和控制不利有關(guān)。從公司治理的角度來看，這反映了很多高層對于數(shù)據(jù)安全問題不以為然，在數(shù)據(jù)庫防御方面沒有足夠的預(yù)算，在公司政策上也沒有限制措施。

僥幸和過度自信的態(tài)度，導(dǎo)致很多公司面臨嚴(yán)重的后果：輕則聲譽(yù)受損，面臨大量訴訟；重則服務(wù)停滯，瀕臨破產(chǎn)倒閉。隨著社會數(shù)據(jù)化程度的加深，互聯(lián)網(wǎng)+公司的生存發(fā)展取決于公司高層的態(tài)度轉(zhuǎn)變：數(shù)據(jù)泄露不是一個遙遠(yuǎn)的概念，也不是一個純粹的技術(shù)問題，而成為了一種極大的商業(yè)風(fēng)險。

研究結(jié)果表明，企業(yè)持續(xù)性數(shù)據(jù)風(fēng)險管理在降低成本上發(fā)揮著有效的作用。在完善具體應(yīng)對數(shù)據(jù)泄露的方案上，可以從事前防范和事后處理兩個方向入手。

事前防范包括預(yù)算和團(tuán)隊管理兩方面。首先，降低數(shù)據(jù)泄露風(fēng)險需要加大在數(shù)據(jù)安全方面的投資預(yù)算。很多公司對這一問題不夠重視，甚至傾向于減少安全方面的成本。值得重視的是，處理數(shù)據(jù)泄露的成本也在逐年增長。這一成本包括展開調(diào)查、評估、審計的費用、危機(jī)管理團(tuán)隊的運營以及與董事和股東溝通的成本。從2014到2015年，處理數(shù)據(jù)泄露的平均成本已經(jīng)由76萬美元上漲到近100萬美元，幅度超過31%。

其次，可以通過購買保險降低可能的損失。研究數(shù)據(jù)顯示，保險能夠有效降低4.4美元/數(shù)據(jù)的成本。2014年美國零售巨頭Target因數(shù)據(jù)泄露遭到重創(chuàng)，損失高達(dá)6100萬美元，但其中有4400萬（72.1%） 得到了保險公司的補(bǔ)償。這意味著Target給消費者重新置辦購物卡、處理法律訴訟和政府調(diào)查，以及支持相關(guān)執(zhí)法行動沒有花一分錢。

公司在組織架構(gòu)方面應(yīng)突出數(shù)據(jù)安全的重要性。目前較為流行的做法是任命首席信息安全官 ，專門管理數(shù)據(jù)泄露的風(fēng)險，并圍繞這一核心角色建立團(tuán)隊。

對員工的教育與培訓(xùn)也是非常重要的措施。一方面要開展數(shù)據(jù)安全意識培訓(xùn)，在公司政策和勞動合同上突出保護(hù)數(shù)據(jù)安全的共同義務(wù)；另一方面還要教會員工使用防數(shù)據(jù)丟失的技術(shù)。

對數(shù)據(jù)泄露事后處理的基礎(chǔ)建立一套全面、完整、可執(zhí)行的事故應(yīng)急方案。公司用多快的速度采取行動識別和應(yīng)對數(shù)據(jù)泄露，是與最終的泄露成本存在直接因果關(guān)系的。2015年，公司確認(rèn)出現(xiàn)數(shù)據(jù)泄露所需的平均時間為206天，有效阻止數(shù)據(jù)泄露所需的平均時間為69天。在泄露沒有被發(fā)現(xiàn)或及時制止之前，每一分鐘的代價都是巨大的。Gartner的研究數(shù)據(jù)顯示，網(wǎng)絡(luò)宕機(jī)的成本是5600美元/分鐘。

如今，越來越多的公司開始使用技術(shù)工具來偵查數(shù)據(jù)事故背后的網(wǎng)絡(luò)犯罪活動，取得了不錯的效果。這一做法可以對公司數(shù)據(jù)安全狀況進(jìn)行完整的評估，展現(xiàn)數(shù)據(jù)安全可能存在的隱患。隨著數(shù)字化逐漸滲透到人們生活的方方面面，數(shù)據(jù)泄露將成為公司面對的巨大挑戰(zhàn)，也將成為社會生活中極具關(guān)注度的安全問題。

（本文由本刊與新媒體微思客合作出品）