李汶龙 爱丁堡大学
进入21世纪,数据泄露愈发频繁,从13年的Target到14年的Sony Pictures,再到今年的Ashley Madison,全球范围内很多公司先后遭受重创,泄露范围之广、频率之高令人瞠目。甚至有人将2014年称之为“数据泄露元年”(A Year of Mega Breaches)。数据泄露数量级之高,使其不再是简单的科技事件,而成为了严重的社会问题。本文开篇将站在国际和本土双重视角为数据泄露问题提供一个全貌,之后进入微观层面探讨相关的直接和间接成本,以及导致数据泄露发生的不同因素。在此基础上,本文探讨互联网+公司如何应对数据泄露的风险,如何在战略和具体方案上采取行动。
数据泄露已然成为信息社会的全球性问题
我们进入信息时代已然很多年,但并没有找到充分保护数据的方式。世界上几乎没有哪个国家未遭遇过数据危机,数据泄露的风险俨然已经成为全球性难题。波耐蒙研究所 (Ponemon Institute LLC) 发布的《2015年数据泄露成本全球分析报告》显示,几乎所有发达国家都受到数据泄露的挑战,但在范围、程度及成本上有略微不同。相比之下,巴西和法国最容易发生数据泄露,而加拿大和德国的几率最小。
近些年不断发生的惊人事件让人们开始集中关注数据安全的问题,但其实我们熟知的近期发生的泄露事件在规模和影响上都并不突出,甚至无法“跻身前列”。有史以来最严重的数据泄露发生于2005年到2012年,持续8年之久。来自俄罗斯和乌克兰的黑客组织侵袭了包括纳斯达克在内的多家美国公司,窃取共1.6亿条银行卡号码,侵入80多万银行账号。排名第二的是2014年的eBay数据泄露事件,共1.48亿用户的姓名、住址、生日甚至密码遭泄。2006-2008年,昔日最大的支付公司Heartland的数据泄露事件排名第三,共计1.3亿银行账号被黑客获取。
中国企业也在劫难逃。2010年,某支付公司前技术员工下载了超过20G的支付宝用户资料出售给其他数据公司;2011年,天涯网盛极之时,有4000万用户的数据被黑客泄露;2014年5月,小米论坛数据有800万注册用户的数据遭泄,黑客随意进入账户。
到了2015年,数据泄露问题仍是社会热点。世界范围内发生的大型数据泄露事件共有四起:2015年2月,美国第二大医疗保险公司Anthem数据库遭泄露,近8000万用户的个人信息被泄露;6月,美国政府人事管理办公室 Home Depot 也惨遭网络袭击,共400多万员工的记录被窃;1个月之后,媒体铺天盖地报道了极富争议的已婚人士约会网站Ashley Madison数据被窃事件,共3700万用户受到了影响;10月,英国电信公司TalkTalk的400万用户数据被黑客窃走。
发生数据泄露的成本究竟有多大?
大型数据泄露事件的直接经济成本几乎都是过亿级别:美国零售巨头Target公司为数据泄露支付了10亿美金,索尼娱乐业亏损数十亿,美国家居零售商Home Depot要向5600万用户赔偿100亿美金……最新的Ashley Madison泄露事件导致该公司陷入多起诉讼,成本之大不可预估。
最新数据显示,数据泄露的平均成本已经由2014年的352万美元上升到379万(上涨23%),平均一份数据泄露的成本也由145美元增长为154美元。Pomenon对比各国情况发现,在美国数据泄露的成本最高,为217美元,其次是德国的211美元。“泄露成本”最低的是巴西和印度,分别为78和56美元。从行业视角来看,医疗健康领域的成本最高,高达363美元,第二名是教育领域(300美元),最低的是交通领域和公共部门 (public sector),分别为121美元和68美元。
“隐藏成本”(Hidden cost)
但是,上面的数字只是冰山一角。数据泄露的成本不仅仅体现在直接的经济损失上,还有很多“隐藏成本”。这里所谓“隐藏成本”,是指那些经常被忽略,不容易与成本建立关联,有些甚至无法被量化的负面因素。
所有成本中,重建用户信任的成本最大,而数据泄露却对用户信任带来严重的挑战。数据显示,2015年因数据泄露导致的信任危机量化后的成本高达157万美元,2014年这一数字为133万。这些成本包括商誉减损、用户不正常流失、公司随后开展的大量挽救用户的活动。值得一提的是,其他成本尚有保险公司赔偿,但信任补救成本对于公司而言却是“实打实”的损失,而且其负面影响无法全部量化。
互联网+公司面临的敌人是谁?
用户数据面临的安全威胁来源很多样,有外部因素和内部因素,也有人为因素和非人为因素,但大体可以分为三类:网络恶意袭击、系统故障以及员工行为。
数据显示,网络恶意袭击在所有因素中产生的成本最高:2015年每一份数据的丢失,要产生170美元的成本,与去年相比上涨11美元。此外,今年有近一半的数据泄露事件是黑客恶意袭击 (cyberattacks) 所致。近两年网络恶意袭击成直线上升之势。2013年的报告显示,当年恶意袭击因素的比重仅占37%,与第二名的“人为因素”仅相差2个百分点。两年之后二者的差距已经被实质性地拉大,黑客袭击成为“罪魁”,而其他因素如系统故障和人为因素的比例都不超过30%。
人为因素也不可被忽视。数据显示,有超过一半的员工离职12个月以后仍然持有旧公司的保密数据,40%的人会在下一份工作中继续使用这些数据。Symantec的另一项研究表明,有62%的员工认为可以在离职后将原公司的数据复制带走,而且大部分人都不会删除原公司的数据。只有47%的公司会在员工离职后仍使用原公司数据的情况下采取行动,而68%的公司没有任何限制措施。
面对数据泄露风险该怎么办?
数据泄露问题如此猖獗,一定程度上与业界对风险的理解不足和控制不利有关。这反映了很多高层对于数据安全问题不以为然,在数据库防御方面没有足够的预算,在公司政策上也没有限制措施。侥幸和过度自信的态度,导致很多公司面临严重的后果,轻则声誉受损,面临大量诉讼,重则服务停滞,濒临倒闭。
仅靠运气并非解决方案。随着社会数据化程度的加深,互联网+公司的生存发展取决于公司C级高层的态度转变:数据泄露不是一个遥远的概念,也不是一个纯粹的技术问题,而成为了一项重要的商业风险。将控制数据泄露风险提高到公司战略高度,是一个明智且必要的做法。研究结果表明,企业持续性数据风险管理在降低成本上发挥着有效的作用:存在持续性管理方案(Business Continuity Management) 能够有效降低7.1美元/数据的“泄露成本”。
在完善具体应对数据泄露的方案上,可以从事前防范和事后处理两个方向入手。
1、事前防范
事前防范包括预算和团队管理两方面。首先,降低数据泄露风险需要加大在数据安全方面的投资预算。安全投资的意义在于避免日后公司的运营受到不可预见的数据泄露带来的重创。很多公司对此不够重视,甚至倾向于减少安全方面的成本,但所节省出的资金却可能会在泄露事件发生后双倍甚至多倍奉还。而且,处理数据泄露的成本也在逐年增长。这一成本包括展开调查、评估、审计的费用,危机管理团队的运营以及与董事和股东沟通的成本。从2014到2015年,处理数据泄露的平均成本已经由76万美元上涨到近100万美元,幅度超过31%。
其次,可以通过购买保险降低可能的损失。研究数据显示,保险能够有效降低4.4美元/数据的成本。举例而言,2014年美国零售巨头Target因数据泄露遭到重创,损失高达6100万美元,但其中有4400万 (72.1%) 得到了保险公司的补偿。Target给消费者重新置办购物卡,处理法律诉讼和政府调查,以及支持相关执法行动没有花一分钱。
再次,公司在组织架构方面应突出数据安全的重要性。目前较为流行的做法是任命首席信息安全官 (Chief Security Information Officer, CSIO),专门管理数据泄露的风险,并围绕这一核心角色建立团队。根据Symantec的数据,设立CSIO并执行强有力的数据安全政策可以有效减少数据泄露成本的20%。
最后是员工教育与培训,方向主要有两个:一是开展数据安全意识培训,在公司政策和劳动合同上突出保护数据安全的共同义务;二是教会员工使用防数据丢失的技术。
2、事后处理
事后处理的基础是建立一套全面、完整、可执行的事故应急方案 (Incident response plan)。没有一套可行的方案,将会严重影响到数据泄露的识别与解决的时间周期。数据显示,公司采取行动识别和应对数据泄露的时间与最终的泄露成本存在着直接的因果关系。2015年平均公司确认出现数据泄露所需的时间为206天,有效阻止数据泄露所需的时间为69天。在泄露没有被发现或及时制止之前,每一分钟的代价都是巨大的。Gartner的研究数据显示,网络宕机 (network downtime)的成本是5600美元/分钟。
如今,泄露事故发生后,越来越多的公司开始使用基于科学的技术工具 (forensic science) 侦查数据泄露背后的网络犯罪活动,目前来看取得了不错的效果。这一做法可以对公司数据安全状况进行一次完整的评估,展现数据安全可能存在的所有隐患。虽然这可能会增加数据泄露风险控制的成本,但在考虑公司整体投资情况下值得一试。