数据泄露成本飙升:购买网络保险的5个理由
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
鉴于网络环境的日趋复杂以及威胁的不断变化,组织尽可能地采取积极主动的手段也变得更为重要。
尽管数据泄露成本正在不断飙升,但是大多数组织仍未做好应对财务和声誉影响的准备。这也就很好地解释了为什么对于组织而言,网络保险日益成为了一项必不可少的业务。
如今,网络风险仍然是每个董事会和中小型企业(SEM)管理者的主要关注点。
目前的网络格局异常混乱——国家支持的间谍组织、经济动机的网络犯罪团伙以及由于疏忽所导致的数据丢失案件层出不穷。风险无处不在,而其造成的经济后果也是异常沉重。不得不说,网络威胁仍然是当今组织面临的最重要且不断增长的风险之一,但糟糕的现实是,很少有组织真正准备好了应对这一挑战。
根据Ponemon Institute新的年度数据违规成本研究显示,2018年数据泄露的全球平均成本已高达148美元,较2017年增长了6.4%。有趣的是,经历过最昂贵的损失成本的地点包括美国和英国,其报告的损失成本几乎是全球平均水平的5倍。
很显然,这种问题并不会消失。虽然网络安全最常因大规模的泄露事件登上新闻头条,但最常见的威胁实际上却是针对中小型企业。本质上来说,较小的组织一般是敏捷且创新的,它们会利用技术和互联网的力量来吸引客户群,但是,正是这种技术和互联网的大范围运用反而增加了防护面。根据国家网络安全联盟进行的一项研究结果显示,60%遭受黑客攻击的中小型企业都会在6个月后面临停业倒闭结局。
购买网络保险的5个理由
在如今这样一个 “数字干扰” 时代,想要增强自身对网络风险的抵御能力,便要了解网络治理责任的全部范围。以下是为什么每个企业(无论规模或所有权)都需要网络保险的5个理由:
1. 网络犯罪正呈现指数级增长
绝大多数企业都异常依赖在线服务,这也进一步扩大了它们的网络攻击面。根据英国政府进行的《2018年网络安全漏洞调查报告》显示,在过去12个月中,43%接受调查的英国组织遭受过网络安全攻击或数据泄露事件。由于高度复杂的攻击手段如今已经司空见惯,企业需要假设它们会在某些时候遭到破坏,并制定措施(例如,购买网络保险)缓解风险。
2. 数据泄露成本异常昂贵
如上所述,据Ponemon Institute《2018年数据违规成本研究》结果显示,2018年全球数据泄露平均成本为148美元,而数据泄露的总成本已接近400万美元。这一数据还不包括欧盟《通用数据保护法案》(GDPR,2018年5月生效)和加利福尼亚州《消费者保护法案》(2020年正式生效)所涉及的罚款和制裁金额。相信未来当这些法案都正式生效后,这些损失成本一定会进一步增长。
但是,组织遭受攻击的真正代价不仅仅只有财务或补救成本,还会造成无法估量和挽回的声誉损失——遭受网络攻击可能会导致客户的信任感丧失,从而造成客户流失;此外,“安全性差”的名声也可能导致组织无法开展新的业务或获得政府合同等等。
3. 如果第三方数据在泄漏事件中受到损害,组织需要承担法律和财务责任
美国国防部(DoD)和欧盟GDPR宣布的新法规规定,组织只负责任命第三方,这些第三方需要能够提供足够的保证,以满足NIST 800-171和GDPR的要求。国防部和英国信息专员办公室(ICO)将对未进行尽职调查以确保第三方合规的任何组织进行责任追究,并可能对其进行罚款。如今,“监管罚款”几乎已经成了数据泄露的同义词,而且网络风险已然实现全球化趋势,这使得遵守不同地区的各种监管政策变得更具挑战性。
4. 标准/一般保险政策不包括网络风险
网络保险是专门用于处理数据隐私和安全的独特险种,也可作为保护企业免受数据泄露造成的财务和声誉损失的后盾。虽然一般保险政策可能涵盖某些类别的损失,但通常会存在许多重大差距,且网络事件可能会影响众多保险类别。一般保险政策通常不太可能承担“普通的”安全漏洞损失成本,更别说是网络攻击或“黑客活动”造成的损失成本了。只有专业的网络保险政策能够提供广泛的保障。但是,组织需要仔细研究政策,以了解其所提供的保险水平以及自身在政策条件下需要履行的责任。
5. 提高网络意识和风险管理
保险只是尽可能挽回损失的一种手段,单纯地采取网络保险政策并不能保护组织免受网络攻击侵扰。鉴于最常见的网络风险是社会工程——即员工自愿但不知不觉地允许攻击发生的行为,因此组织必须让每位员工接受有关 “如何避免和识别网络威胁” 的培训,在正确掌握基础知识的前提下,更好地防范网络威胁。事实上,网络攻击所造成的绝大部分伤害都是由于被攻击方无法做出正确的响应。组织需要制定一个全面的风险管理计划,详细说明公司在面对包括未知威胁在内的网络攻击时应该做出的响应措施。
打好基础最关键
鉴于网络环境日趋复杂且威胁不断变化,组织尽可能地采取积极主动的方式变得越来越重要。Cyber Essentials是由英国政府制定,得到行业支持并认可的信息安全认证计划,旨在帮助企业防范外来网络威胁。据了解,Cyber Essentials(数码安全要略)最初于2014年面世,由英国政府通信电子安全小组(CESG)(英国政府通信总部GCHQ 之信息安全部门)和英国政府商业、创新和技能部以及 BSI(英国标准协会)、中小企业信息安全保障(IASME)联盟和信息安全论坛(ISF)共同开发。自2014年10月起,所有为英国中央政府处理敏感及个人信息的ICT(信息和通讯技术)供应商都必须通过Cyber Essentials认证。
据悉,Cyber Essentials认证分为两个等级:一级Cyber Essentials要求机构完成自我评估问卷,由获得认可的认证机构验证后颁发;第二级Cyber Essential Plus为安全提升级,主要针对机构面临外部网络和互联网攻击时的韧性及续航力,需要机构通过认可认证机构的独立安全控制测试,以提供更高水平的保障。
英国当局认为,开展认证途径将有助于组织——尤其是可能没有设置专门的网络安全小组的中小型企业,一致且高效地协调一个地方的所有安全实践。认证是衡量组织网络安全方法成熟度的重要指标。它有助于防范最常见的网络威胁,并表现出对网络安全的承诺。虽然网络保险可以在组织面临网络威胁时提供一层保护,但它不能替代良好的网络卫生行为。
网络保险应该被视为公司整体风险管理的重要补充,但在面对网络风险和数据泄露之前,组织不应该坐以待毙!
Ponemon Institute《2018年数据违规成本研究》:
https://securityintelligence.com/ponemon-cost-of-a-data-breach-2018/
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
使用欺骗有效地打击勒索软件
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 根据卡巴斯基进行的一项研究显示,勒索软件感染在过去12个月中下降了30%。这种下降与现在流行的加密货币价格密切相关。 然而,这并不意味着企业安全工程师和CISO可以高枕无忧。勒索软件仍然是受欢迎的危害活动之一,也是具有破坏性的危害活动之一。根据有关报告,勒索软件危害对中小型企业很具有破坏性。调查了2,400多个中小企业和超过50万家托管的服务客户。统计数据显示,在2016年第二季度至2018年第二季度期间,79%的中小企业受到了勒索软件的影响。这些中小型企业通常没有足够的安全预算和员工来实施复杂的预防和检测解决方案,以对抗勒索软件危害。 传统上,大多数组织依赖基于签名的检查或基于沙箱的启发式解决方案来检测和防御勒索软件。尽管这些仍然是实践企业安全架构中的重要组成部分,但它们也存在一些重大缺陷,使得它们无法有效地检测一些新颖和最复杂的勒索软件。 对于初学者来说,每天都会出现太多新的勒索软件变种。基于沙箱的解决方案通常部署在边缘,并监控来自互联网的流量。但是,使用网络钓鱼和沙箱逃避技术等社会工程技术可以完全绕过周边。此...
- 下一篇
【RSA2019创新沙盒 】WireWheel:基于SaaS的企业数据隐私协同保护平台
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 每届RSA大会的创新沙盒环节都可谓万众瞩目。创新沙盒的初衷是为网络安全领域的初创企业提供平台,让他们展示自己的创新技术或愿景,以及他们可能为信息安全行业带来的变革与发展。 2019年,入围RSA大会创新沙盒“十强”的企业将在3月4日的大会现场各自进行3分钟左右的展示并回答委员会的问题。评委包括行业投资专家、网络安全专家、网络安全公司的CEO、企业CISO、行业顾问等。为了帮助大家了解这十家企业,绿盟科技推出了系列文章,今天为大介绍的的是WireWheel公司。 公司介绍 WireWheel成立于2016年,总部位于华盛顿,该公司致力于降低数据隐私保护合规能力建设的难度,帮助企业来应对复杂、严厉的法案、条例规定。2018年10月,公司获得了PSP Growth领投的1000万美元的A轮融资。 背景介绍 据数字安全公司Gemalto 2018年10月发布的全球数据泄露水平指数(The Breach Level Index)报告,2018年上半年共发生了945次数据泄露事件,致使45亿条数据泄露。为加强消费者隐私权和数据...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Hadoop3单机部署,实现最简伪集群
- CentOS8编译安装MySQL8.0.19
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Mario游戏-低调大师作品
- CentOS6,CentOS7官方镜像安装Oracle11G