专注于眼前的违约补救成本的公司可能会因小失大,并且可能是下投资于安全性的结果。
一些研究近来纷纷站出来试图让数据泄露的总成本上的手柄,在成本变化很大 - 从不到100万,平均$,$ 6,百万 - 基于数据集和类型包括成本。
但实际数字可能要高出好几倍。
就拿雅虎违约这可能会导致公司价值缩水10亿美元。
上个月,在威瑞森同意以48亿美元的价格收购雅虎后不久,雅虎透露2014年有50万账户遭到黑客攻击。现在,据报道,威瑞森正在要求一个$ 1十亿优惠。
“这证明了第一手的价值,可以导致大规模违反显著破坏,”约翰·冈恩发言人在说瓦斯科数据安全。
CISO首席安全策略师迈克尔?利平斯基(Michael Lipinski)说,实际上,总价值可能更高Securonix。
“独自对抗雅虎的诉讼可能是巨大的,”他说。"It’s possible that the Yahoo value falls even more than the $1 billion number reported on today. With the substantial financial risk overshadowing Yahoo and lack of another suitor stepping up with a competitive offer, I would anticipate Verizon getting even more aggressive with the negotiations.”
首席安全策略师Michael Lipinski说Securonix
公司通常低估违反的总成本大幅提升,根据最近的一份报告德勤网络风险咨询服务。
在两种情况进行了深入的分析,研究人员发现,违反的总成本的75%的和95之间被“隐藏的”那些不立即明显的成本。
当然,每一种情况是独一无二的,约翰Gelinne,德勤咨询网络风险管理服务董事总经理德勤。
“公司在不同的威胁环境中工作,”他说。“这不是一个一刀切。”
德勤(Deloitte)表示,典型的“浮出水面”的与漏洞相关的支出包括:黑客事件后的消费者保护、网络安全改进、客户违约通知、法律成本和罚款、公共关系以及法庭调查。
但这些只是眼前的,明显的成本。总的影响包括诸如收入损失和丢失的客户关系,品牌贬值,成本的增加举债,更高的保险费,运营中断,和知识产权的损失。
在分析了两种情形,违反的总成本从$ 5900万$ 1,679万,从300万$ 26至3,258亿$去当这些其他因素被认为在事件发生后立即五年。
“我们认为,如果你能描述根据贵公司的具体,可行的方案的影响,可以更准确的碰撞模型,这将有助于引导相应的投资,” Gelinne说。
这意味着公民社会组织需要学会从大局出发,与业务团队合作,评估网络安全事件的总体潜在影响,以便更好地了解哪些资产最需要保护。
“该预算将永远是足够大的,如果目标是防止一切可能的事件,”他说。“我们的建模技术是添加更多的信息,就如何投资更好的决策。”
成本估算为何不同
最近的三项研究显示,网络入侵的成本分别为17万美元、86.1万美元和400万美元。这已经是一个很大的区间,但远低于德勤的建议。
为什么差距呢?
研究通常集中于涉及账户凭据、信用卡号码和医疗保健信息等损失的数据泄露。
“在很大程度上,研究主要处理公开报道的内容,”Gelinne说。“个人身份信息、个人健康信息被盗——这些都是众所周知的。但是,还有其他类型的情况可能没有被考虑在内。”
然后,研究他们在选择什么大小事件来考虑,看看哪些具体费用有所不同,如何计算这些费用。
例如,上个月卡巴斯基估计,平均安全事故成本的企业$ 861,000的基础上,由企业自行提供,而非第三方分析成本估算。
除此之外卡巴斯基报告特别侧重于违约回收成本,与人员相关的费用占总数的53%,提高软件和基础设施占另外14%。
卡巴斯基北美实验室副总裁Michael Canavan表示:“我们还包括了事件解决后可能发生的费用,如员工培训和新员工数,这些都是由事件引发的。卡巴斯基实验室
估计数也包括对信用评级的损害的成本,更高的保险费,而丢了生意,但不是很多的其他常见的违反相关的费用,如通知和法律费用,也不一定由德勤或其他考虑的其他间接费用研究人员。
另一个差异是典型的违约成本应该是所有事件的平均值,还是中值。
违反平均费用为$ 170,000 - 但平均成本为亿$ 5.9一说本周一发布的报告。
该研究的作者萨沙•罗曼斯基(Sasha Romanosky)表示,中位数更有用兰德公司。
他说,平均成本偏高,原因是Target等几项指标出现了非常大的突破。
他说:“现实情况是,大多数入侵都没有这么严重。”“因此中值更多地反映了整体成本。”
在他的研究中,品牌价值损失的声誉费用不包括在总,他说。“你如何衡量品牌损失,无论如何?”
最近的另一项违约成本报告根据波耐蒙研究所(Ponemon Institute)和IBM今年夏天的研究报告,黑客入侵的平均成本为400万美元,高于去年的379万美元。
该公司董事长兼创始人拉里•波耐蒙(Larry Ponemon)表示,这项研究的平均成本略低于兰德公司的研究,因为大型违规行为被故意排除在样本之外波耐蒙研究所。
他说:“你想要有足够的观测结果,但目前还没有足够的观测结果来建立一个好的模型。”
Ponemon的同时考虑了数据泄露的直接和间接成本。直接成本包括聘请法医专家和受害者身份保护服务。间接成本包括员工花在解决违约的时间,但也商誉和客户流失的损失。
不过,波耐蒙并未像德勤那样考虑所有间接成本,它还特别关注信用卡号码等数据记录的丢失,而没有考虑其他类型的损失。
为什么数字很重要
违约成本估计会影响企业在寻找他们的安全预算的成本收益计算。
兰德公司的罗曼斯基说:“公司缺乏投资于安全的动力,不像很多人希望的那样。”
公司需要看比眼前的补救成本和考虑违约的总体影响时,技术成本较高,并分析风险时,应包括从整个组织的参与者。
洛杉矶的联合创始人兼首席执行官Julien Bellanger说:“泄密会带来事故反应和取证方面的直接成本,但与品牌信任和组织安全重组方面的长期成本相比,这是微不足道的。Prevoty。“看来,Verizon的理解,并在定价应该是什么敲响了警钟,为企业在安全投资不足的雅虎黑客的长期成本。”
这个故事,“雅虎显示,违约的影响可能远远超出补救费用”最初发表方案 。