李汶龍

波耐蒙研究所（Ponemon Institute LLC） 發(fā)布的《2015年數(shù)據(jù)泄露成本全球分析報(bào)告》顯示，幾乎所有發(fā)達(dá)國(guó)家和新興發(fā)展中國(guó)家都受到數(shù)據(jù)泄露的挑戰(zhàn)，但在范圍、程度及成本上略有不同。相比之下，巴西和法國(guó)最容易發(fā)生數(shù)據(jù)泄露，而加拿大和德國(guó)的幾率最小。

2015年，全球數(shù)字安全公司Gemalto調(diào)查了澳大利亞、巴西、法國(guó)、德國(guó)、日本、英國(guó)及美國(guó)的5750位消費(fèi)者后發(fā)現(xiàn)，超過(guò)1/3的人曾受到數(shù)據(jù)泄露的影響，近1/5的人認(rèn)為在未來(lái)1～3年中可能會(huì)成為數(shù)據(jù)泄露的受害者。

數(shù)據(jù)泄露的風(fēng)險(xiǎn)已經(jīng)成為全球性難題，初步踏入信息社會(huì)的我們尚沒(méi)有找到保障數(shù)據(jù)安全的有效方式。

數(shù)據(jù)泄露的“冰山”

進(jìn)入21世紀(jì)以來(lái)，數(shù)據(jù)泄露愈發(fā)頻繁，從2013年的美國(guó)超級(jí)零售商Target，到2014年的索尼娛樂(lè)公司，再到2015年美國(guó)約會(huì)網(wǎng)站Ashley Madison，全球范圍內(nèi)很多公司先后遭受重創(chuàng)。有人曾將2014年稱(chēng)之為“數(shù)據(jù)泄露元年”，從那時(shí)起至今，數(shù)據(jù)泄露已不再是簡(jiǎn)單的科技事件，而愈發(fā)成為嚴(yán)重的社會(huì)問(wèn)題。

不斷發(fā)生的驚人事件讓人們開(kāi)始集中關(guān)注數(shù)據(jù)安全的問(wèn)題，但其實(shí)我們熟知的近期發(fā)生的泄露事件在規(guī)模和影響上都并不突出。有史以來(lái)最嚴(yán)重的數(shù)據(jù)泄露發(fā)生于2005年到2012年，持續(xù)8年之久。來(lái)自俄羅斯和烏克蘭的黑客組織侵襲了包括納斯達(dá)克在內(nèi)的多家美國(guó)公司，竊取共1.6億條銀行卡號(hào)碼，侵入80多萬(wàn)銀行賬號(hào)。排名第二的是2014年的eBay數(shù)據(jù)泄露事件，共1.48億用戶(hù)的姓名、住址、生日及密碼遭泄。2006～2008年，昔日最大的支付公司Heartland的數(shù)據(jù)泄露事件排名第三，共1.3億銀行賬號(hào)被黑客獲取。

中國(guó)企業(yè)也在劫難逃。2010年，支付寶前技術(shù)員工下載了超過(guò)20G的支付寶用戶(hù)資料出售給其他數(shù)據(jù)公司；2011年，天涯網(wǎng)盛極之時(shí)，有4000萬(wàn)用戶(hù)的數(shù)據(jù)被黑客泄露；2014年5月，小米論壇數(shù)據(jù)有800萬(wàn)注冊(cè)用戶(hù)的數(shù)據(jù)遭泄，黑客隨意進(jìn)入賬戶(hù)。

2015年，世界范圍內(nèi)發(fā)生的大型數(shù)據(jù)泄露事件共有四起：當(dāng)年2月，美國(guó)第二大醫(yī)療保險(xiǎn)公司Anthem數(shù)據(jù)庫(kù)遭泄露，近8000萬(wàn)用戶(hù)的個(gè)人信息失竊；6月，美國(guó)政府人事管理辦公室也慘遭網(wǎng)絡(luò)襲擊，共400多萬(wàn)員工的記錄被盜；一個(gè)月之后，媒體鋪天蓋地報(bào)道了極富爭(zhēng)議的約會(huì)網(wǎng)站Ashley Madison數(shù)據(jù)被竊事件，共3700萬(wàn)用戶(hù)受到了影響；10月，英國(guó)電信公司TalkTalk的400萬(wàn)用戶(hù)數(shù)據(jù)被黑客竊走。

發(fā)生數(shù)據(jù)泄露的成本究竟有多大？大型數(shù)據(jù)泄露事件的直接經(jīng)濟(jì)成本幾乎都是過(guò)億級(jí)的：美國(guó)零售業(yè)巨頭Target公司為數(shù)據(jù)泄露支付了10億美元；索尼娛樂(lè)虧損數(shù)十億美元；美國(guó)家居零售商Home Depot要向5600萬(wàn)用戶(hù)賠償總共100億美元的損失；而Ashley Madison泄露事件導(dǎo)致該公司陷入多起訴訟，成本之大不可預(yù)估。

最新數(shù)據(jù)顯示，數(shù)據(jù)泄露的平均成本已經(jīng)由2014年的352萬(wàn)美元上升到379萬(wàn)（上漲23%），平均一份數(shù)據(jù)泄露的成本由145美元增長(zhǎng)為154美元。Pomenon對(duì)比各國(guó)情況發(fā)現(xiàn)，美國(guó)數(shù)據(jù)泄露的成本最高，為217美元，其次是德國(guó)的211美元。泄露成本最低的是巴西和印度，分別為78和56美元。從行業(yè)視角來(lái)看，醫(yī)療健康領(lǐng)域的成本最高，高達(dá)363美元，第二名是教育領(lǐng)域（300美元），最低的是交通領(lǐng)域和公共部門(mén)，分別為121美元和68美元。

上面的數(shù)字只是冰山一角。數(shù)據(jù)泄露的成本不僅體現(xiàn)在直接經(jīng)濟(jì)損失上，還有很多隱藏成本，它是指那些經(jīng)常被忽略，不容易與成本建立關(guān)聯(lián)，有些甚至無(wú)法被量化的負(fù)面因素。

在所有隱藏成本中，重建用戶(hù)信任的成本最大，而數(shù)據(jù)泄露對(duì)用戶(hù)信任帶來(lái)嚴(yán)重的挑戰(zhàn)。在數(shù)據(jù)事故頻發(fā)的今天，消費(fèi)者對(duì)于數(shù)據(jù)公司的信任已經(jīng)跌到了底點(diǎn)。Gemalto提供的數(shù)據(jù)顯示，只有1/4的消費(fèi)者認(rèn)為數(shù)據(jù)公司非常重視數(shù)據(jù)安全。而對(duì)數(shù)據(jù)公司的員工所做的調(diào)查顯示，僅2/5的員工認(rèn)為自己的公司非常重視數(shù)據(jù)安全問(wèn)題。

2015年因數(shù)據(jù)泄露導(dǎo)致的信任危機(jī)量化后的成本高達(dá)157萬(wàn)美元，2014年這一數(shù)字為133萬(wàn)。這些成本包括商譽(yù)減損、用戶(hù)不正常流失、公司隨后開(kāi)展的大量挽救用戶(hù)的活動(dòng)。 全球近64%的消費(fèi)者認(rèn)為，如果某家公司的財(cái)務(wù)信息被盜，就不愿意再購(gòu)買(mǎi)這家公司的服務(wù)，或者與其做生意；還有近1/2的人認(rèn)為，如果某家公司發(fā)生了數(shù)據(jù)泄露事件，也不會(huì)再使用他們的服務(wù)?？梢?jiàn)，信任補(bǔ)救成本對(duì)于公司而言是“實(shí)打?qū)崱钡膿p失，而且其負(fù)面影響無(wú)法全部量化。

誰(shuí)是互聯(lián)網(wǎng)+公司的敵人

用戶(hù)數(shù)據(jù)面臨的安全威脅來(lái)源多樣，有外部因素和內(nèi)部因素，也可分為人為因素和非人為因素。大體上包括網(wǎng)絡(luò)惡意襲擊、系統(tǒng)故障以及員工行為三種情況。

網(wǎng)絡(luò)惡意襲擊（cyber attack） 在所有因素中產(chǎn)生的成本最高：在2015年，每丟失一份數(shù)據(jù)要產(chǎn)生170美元的成本，與上一年相比上漲11美元。近兩年，網(wǎng)絡(luò)惡意襲擊呈直線上升之勢(shì)。2013年的報(bào)告顯示，惡意襲擊因素在當(dāng)時(shí)的比重僅占37%，與第二名的“人為因素”僅相差2個(gè)百分點(diǎn)。兩年之后，二者差距已經(jīng)被實(shí)質(zhì)性地拉大，而其他因素如系統(tǒng)故障和人為因素的比例都不超過(guò)30%。

人為因素也不可被忽視。賽門(mén)鐵克（Symantec）的一項(xiàng)研究表明，有超過(guò)一半的員工離職12個(gè)月以后仍然持有舊公司的保密數(shù)據(jù)，40%的人會(huì)在下一份工作中繼續(xù)使用這些數(shù)據(jù)。62%的員工認(rèn)為可以在離職后將原公司的數(shù)據(jù)復(fù)制帶走，而且大部分人都不會(huì)刪除原公司的數(shù)據(jù)。只有47%的公司會(huì)在員工離職后仍使用原公司數(shù)據(jù)的情況下會(huì)采取行動(dòng)，而68%的公司沒(méi)有任何限制措施。

數(shù)據(jù)泄露事件如此猖獗，一定程度上與業(yè)界對(duì)風(fēng)險(xiǎn)的理解不足和控制不利有關(guān)。從公司治理的角度來(lái)看，這反映了很多高層對(duì)于數(shù)據(jù)安全問(wèn)題不以為然，在數(shù)據(jù)庫(kù)防御方面沒(méi)有足夠的預(yù)算，在公司政策上也沒(méi)有限制措施。

僥幸和過(guò)度自信的態(tài)度，導(dǎo)致很多公司面臨嚴(yán)重的后果：輕則聲譽(yù)受損，面臨大量訴訟；重則服務(wù)停滯，瀕臨破產(chǎn)倒閉。隨著社會(huì)數(shù)據(jù)化程度的加深，互聯(lián)網(wǎng)+公司的生存發(fā)展取決于公司高層的態(tài)度轉(zhuǎn)變：數(shù)據(jù)泄露不是一個(gè)遙遠(yuǎn)的概念，也不是一個(gè)純粹的技術(shù)問(wèn)題，而成為了一種極大的商業(yè)風(fēng)險(xiǎn)。

研究結(jié)果表明，企業(yè)持續(xù)性數(shù)據(jù)風(fēng)險(xiǎn)管理在降低成本上發(fā)揮著有效的作用。在完善具體應(yīng)對(duì)數(shù)據(jù)泄露的方案上，可以從事前防范和事后處理兩個(gè)方向入手。

事前防范包括預(yù)算和團(tuán)隊(duì)管理兩方面。首先，降低數(shù)據(jù)泄露風(fēng)險(xiǎn)需要加大在數(shù)據(jù)安全方面的投資預(yù)算。很多公司對(duì)這一問(wèn)題不夠重視，甚至傾向于減少安全方面的成本。值得重視的是，處理數(shù)據(jù)泄露的成本也在逐年增長(zhǎng)。這一成本包括展開(kāi)調(diào)查、評(píng)估、審計(jì)的費(fèi)用、危機(jī)管理團(tuán)隊(duì)的運(yùn)營(yíng)以及與董事和股東溝通的成本。從2014到2015年，處理數(shù)據(jù)泄露的平均成本已經(jīng)由76萬(wàn)美元上漲到近100萬(wàn)美元，幅度超過(guò)31%。

其次，可以通過(guò)購(gòu)買(mǎi)保險(xiǎn)降低可能的損失。研究數(shù)據(jù)顯示，保險(xiǎn)能夠有效降低4.4美元/數(shù)據(jù)的成本。2014年美國(guó)零售巨頭Target因數(shù)據(jù)泄露遭到重創(chuàng)，損失高達(dá)6100萬(wàn)美元，但其中有4400萬(wàn)（72.1%） 得到了保險(xiǎn)公司的補(bǔ)償。這意味著Target給消費(fèi)者重新置辦購(gòu)物卡、處理法律訴訟和政府調(diào)查，以及支持相關(guān)執(zhí)法行動(dòng)沒(méi)有花一分錢(qián)。

公司在組織架構(gòu)方面應(yīng)突出數(shù)據(jù)安全的重要性。目前較為流行的做法是任命首席信息安全官 ，專(zhuān)門(mén)管理數(shù)據(jù)泄露的風(fēng)險(xiǎn)，并圍繞這一核心角色建立團(tuán)隊(duì)。

對(duì)員工的教育與培訓(xùn)也是非常重要的措施。一方面要開(kāi)展數(shù)據(jù)安全意識(shí)培訓(xùn)，在公司政策和勞動(dòng)合同上突出保護(hù)數(shù)據(jù)安全的共同義務(wù)；另一方面還要教會(huì)員工使用防數(shù)據(jù)丟失的技術(shù)。

對(duì)數(shù)據(jù)泄露事后處理的基礎(chǔ)建立一套全面、完整、可執(zhí)行的事故應(yīng)急方案。公司用多快的速度采取行動(dòng)識(shí)別和應(yīng)對(duì)數(shù)據(jù)泄露，是與最終的泄露成本存在直接因果關(guān)系的。2015年，公司確認(rèn)出現(xiàn)數(shù)據(jù)泄露所需的平均時(shí)間為206天，有效阻止數(shù)據(jù)泄露所需的平均時(shí)間為69天。在泄露沒(méi)有被發(fā)現(xiàn)或及時(shí)制止之前，每一分鐘的代價(jià)都是巨大的。Gartner的研究數(shù)據(jù)顯示，網(wǎng)絡(luò)宕機(jī)的成本是5600美元/分鐘。

如今，越來(lái)越多的公司開(kāi)始使用技術(shù)工具來(lái)偵查數(shù)據(jù)事故背后的網(wǎng)絡(luò)犯罪活動(dòng)，取得了不錯(cuò)的效果。這一做法可以對(duì)公司數(shù)據(jù)安全狀況進(jìn)行完整的評(píng)估，展現(xiàn)數(shù)據(jù)安全可能存在的隱患。隨著數(shù)字化逐漸滲透到人們生活的方方面面，數(shù)據(jù)泄露將成為公司面對(duì)的巨大挑戰(zhàn)，也將成為社會(huì)生活中極具關(guān)注度的安全問(wèn)題。

（本文由本刊與新媒體微思客合作出品）