2019年度数据泄露成本调研报告

目 录

一、摘要

二、报告要点

2.1 数据泄露成本中贡献最大的因素是业务损失

2.2 数据泄露造成的损失影响长达数年 

2.3 数据泄露的生命周期变长 

2.4 恶意攻击是最常见和最昂贵的原因 

2.5 系统故障和人为失误的成本依然高达上百万美元 

2.6 小企业的成本相比大企业更高 

2.7 云迁移、IT复杂性以及第三方泄露是主要的成本放大器 

2.8 加密、业务持续管理、DevSecOps和威胁情报共享是成本缩小器 

2.9 建立事件响应团队和对响应方案进行广泛测试 

2.10 自动化安全解决方案也可降低成本 

2.11 地区和行业也影响总成本 

2.12 遭遇数据泄露的几率不断增长

三、统计模型

四、统计分析

4.1 全球和行业成本差异 

4.2 数据泄露的根本原因 

4.3 成本的四种成分 

4.4 成本的影响因素 

4.5 事件响应成效 

4.6 客户流失的影响 

4.7 企业再次发生数据泄露的可能性 

4.8 数据泄露的生命周期 

4.9 成本中的长尾效应 

4.10 安全自动化对成本的影响 

4.11 超大型数据泄露的成本

五、风险防护及安全建议

一、摘要

IBM Security和Ponemon Institute联合发布2019年度数据泄露成本调研报告。这是它们连续第14次发布该年度报告。该报告基于对2018年7月至2019年4月期间的全球16个国家和地区的17个行业的507家公司发生的数据泄露事件进行调查，旨在为IT专家、企业领导、研究人员和广大安全社区提供相关见解。该报告长达75页，这里对报告中的关键内容进行了整理。

2019年度关键数字：

• 数据泄露事件的全球平均成本为392万美元

• 平均泄露25575条记录

• 每条记录的平均成本为150美元

• 检测和控制数据泄露事件的时间为279天

• 平均成本最高的国家为美国，为819万美元

• 平均成本最高的行业为医疗保健，为645万美元

二、报告要点

2.1 数据泄露成本中贡献最大的因素是业务损失

客户流失、业务损失是成本中最大的组成要素。业务损失造成的平均成本是142万美元，占总体平均成本（392万美元）的36%。2019年度数据泄露导致3.9%的客户流失。

2.2 数据泄露造成的损失影响长达数年

报告调研了86家企业，发现近1/3的成本发生在数据泄露事件一年后。平均67%的成本发生在第一年，22%发生在第二年，11%发生在两年后。

2.3 数据泄露的生命周期变长

从发生到最终得到控制的时间显著变长。2019年平均检测时间是206天，平均控制时间是73天，加起来是279天。比2018年的266天增长4.9%。时间越短，成本越低。超过200天的平均成本要高37%（456万美元与334万美元）。

2.4 恶意攻击是最常见和最昂贵的原因

恶意攻击导致的数据泄露占51%，其成本比人为失误导致的数据泄露的成本高27%（445万美元与350万美元），比系统故障导致的数据泄露的成本高37%（445万美元与324万美元）。

2.5 系统故障和人为失误的成本依然高达上百万美元

这俩加起来占近一半的份额（49%）。人为失误包括内部人员遭钓鱼攻击、他们的设备被感染/丢失/被窃，这些占1/4。系统故障（与人为失误无关的故障）又占1/4。

2.6 小企业的成本相比大企业更高

>2.5万员工的企业，平均成本为511万美元，平均到每个员工是204美元。500～1000员工的企业，平均成本是265万美元，平均到每个员工是3533美元。所以小企业更难以从数据泄露事件中恢复。

2.7 云迁移、IT复杂性以及第三方泄露是主要的成本放大器

在成本的26个因素中，前五分别是第三方泄露、合规性失败、云迁移、系统复杂性以及OT。第三方泄露导致成本要比均值高37万美元，云迁移导致成本比均值高30万美元，系统复杂性导致成本比均值高29万美元。

2.8 加密、业务持续管理、DevSecOps和威胁情报共享是成本缩小器

加密、数据丢失保护、威胁情报共享、DevSecOps都可以导致成本下降。其中加密的影响最大，平均可以降低成本36万美元。业务持续管理可以降低成本28万美元。

2.9 建立事件响应团队和对响应方案进行广泛测试

对响应方案进行广泛测试的企业的数据泄露平均成本为351万美元，而从未建立过事件响应团队或对响应方案进行测试过的企业的平均成本为474万美元，两者相差120万美元。

2.10 自动化安全解决方案也可降低成本

自动化安全措施包括基于AI、机器学习、分析和自动事件响应编排的安全解决方案。在2019年度，没有部署自动化安全解决方案的企业数据泄露平均成本要比部署了该方案的企业成本高95%（516万美元与265万元美元）。2018年度与2019年度进行对比，可以发现没有自动化安全解决方案的成本增长了16%，从443万美元到516万美元，而部署了该方案的成本则降低了8%，从288万美元到265万美元。

2.11 地区和行业也影响总成本

美国的数据泄露平均成本最高，为819万美元，从2006年以来，这一数字在14年期间增长了130%，从354万美元增长到819万美元。中东地区平均泄露的记录条数最多，为38800条，全球平均是25500条。医疗行业连续9年成为成本最高的行业，为645万美元，比全球各行业平均高60%多。

2.12 遭遇数据泄露的几率不断增长

报告中的统计指标是两年内遭遇一起数据泄露事件的几率。2019年这一几率是29.6%，2014年是22.6%，等于六年间增长了31%。换句话说，今天的企业在两年间遭遇一起数据泄露事件的可能性比2014年高了近1/3。

三、统计模型

该报告将数据泄露定义为个人的姓名、医疗记录或财务信息或债务信息处于潜在的风险之中（不管这些记录是电子形式还是纸质形式存在）。报告中将数据泄露归类为三个主要原因：恶意攻击，系统故障和人为失误。

数据泄露的成本主要包含四个方面：

• 检测和升级成本

包括：取证和调查、评估和审计、危机团队管理、与执行管理层和董事会的沟通等事务的花费

• 通知成本

包括：通过电子邮件、信件、电话等方法通知受影响的客户；向监管机构报告等事务的花费

• 善后成本

包括：设立帮助热线/服务台；信用监控服务和身份盗窃保护服务；发行新账户和新信用卡；法务相关的支出；产品减值；监管罚款等

• 业务损失成本

包括：系统宕机导致的业务中断和盈利损失；客户流失（老顾客流失，新顾客获取变得更难）；品牌声誉及商誉上的损失等

在计算成本时又分为直接成本和间接成本，直接成本包括雇佣安全专家、设立外部支持热线、提供免费的信用监控服务以及未来产品和服务的减值等。间接成本包括内部调查和沟通、客户流失等。

本报告中调研的数据泄露事件的范围在2000条数据到10万条数据之间。超大型数据泄露事件（百万级至千万级）由于样本较少，不足以进行分析和统计，但本报告中的模型也适用于对它们进行分析。

本报告每一年统计的样本都不同，但2019年跟踪了86个相同的企业以观察超过2年的变化。每一年根据相同的参数，例如行业、员工数、地理位置、数据泄露大小等重新收集不同企业的数据，从2005年以来已经研究了超过3416个不同企业。

2019年度报告共调研了507个企业的3211个受访对象。采集的第一个数据是丢失或被盗的用户记录数量，以及占用户基数的百分比。并采集了企业检测数据泄露采取的行动、应急响应（取证和调查）、事后恢复（通知成本、法律费用）以及泄露原因、检测和控制时间（生命周期）等数据。

四、统计分析

4.1 全球和行业成本差异

报告统计的16个国家包括美国、印度、英国、德国、巴西、日本、法国、中东、加拿大、意大利、韩国、澳大利亚、土耳其、东盟、南非和斯堪的纳维亚。

图1 数据泄露全球平均成本的年度变化

全球平均成本2019年比2018年增长了1.5%，与2014年相比在六年间增长了12%。

图2 每条记录平均成本的年度变化

2019年每条记录的平均成本比2018年增长了1.3%。

图3 企业规模与数据泄露成本的关系

从比例上来讲，小型企业的成本比大型企业更高，也更难以从事件中恢复。

图4 数据泄露成本的国家/地区分布

美国的成本最高（819万美元），其次是中东（597万美元）。印度和巴西的最低，分别是183万美元和135万美元。

图5 每条记录平均成本的国家/地区分布

美国还是最高（242美元），其次是德国（193美元）和加拿大（187美元）。

图6 数据泄露平均规模的国家/地区分布

与2018年相比，2019年数据泄露的平均规模增长了3.9%。平均规模最大的国家/地区是中东、印度、美国，最小的国家/地区是斯堪的纳维亚、日本和澳大利亚。

图7 数据泄露的规模和成本线性相关

2019年泄露记录的条数小于1万条的成本是220万美元，大于5万条数据的成本则变成将近三倍，达640万美元。

图8 数据泄露成本关键指标的净百分比变化

这些指标包括客户流失、数据泄露平均规模、平均总成本和平均每条记录成本。如图所示，只有4个国家的客户流失是净下降的，包括澳大利亚、加拿大、日本和美国。只有加拿大在平均总成本和平均每条记录成本上是净下降的。所有国家在数据泄露规模上都是净增长的。

图9 数据泄露成本的行业分布

监管需求更严的行业，成本更高，例如医疗、金融、能源和制药。监管需求不严的行业，成本低一些，包括媒体、住宿、零售和科研。公共事务部门历来成本较低，因为它们不会出现客户流失。

图10 每条记录平均成本的行业分布

最高的成本出现在医疗保健业，为429美元。原因也可能是本报告中调研的医疗企业位于美国，而在其他国家医疗被归类于公共事务部门。

图11 2018-2019不同行业数据泄露成本和每条记录成本的净百分比变化

2018年以来科研企业的成本增长最大。与此同时教育和媒体业出现了净百分比的最大下降。

4.2 数据泄露的根本原因

图12 数据泄露的根本原因

51%的数据泄露与恶意攻击有关，25%与系统故障有关，24%与人为失误有关。

图13 三种原因的每条记录平均成本

2019年恶意攻击导致的数据泄露的每条记录平均成本是166美元，比系统故障（132美元）和人为失误（133美元）几乎高了25%。

图14 三种原因的数据泄露总成本

过去五年间恶意攻击一直是成本最高昂的数据泄露原因。

图15 恶意攻击占比的增长

2014到2019年期间，恶意攻击造成的数据泄露占比从42%增长到51%，增长幅度为21%。

4.3 成本的四种成分

前面提到过，四种成分分别是检测和升级成本、通知成本、善后成本和业务损失成本。

图16 数据泄露成本的四种成分

业务损失连续第五年成为最大的成本构成成分，平均为142万美元，占36%。其次是检测和升级成本，平均为122万美元，占31.1%。

图17 四种成分平均成本的年度变化

4.4 成本的影响因素

本报告的分析中涵盖了26个影响因素，本年度新增了4个，包括：

对事件响应计划进行广泛测试

DevSecOps

OT基础设施

系统复杂度

图18 每条记录平均成本的影响因素

共26个因素，一部分为成本缩小器，一部分为成本放大器。

图19 数据泄露成本的影响因素

4.5 事件响应成效

事件响应小组（IR Team）和对事件响应计划进行测试可有效降低数据泄露的成本。

图20 事件响应成效对数据泄露成本的影响

图中的四个条件及其数据泄露平均成本分别是：

组建事件响应团队（356万美元）

对事件响应计划进行广泛测试（360万美元）

同时采取两种措施（351万美元）

两种都不采取（474万美元）

4.6 客户流失的影响

客户流失的越多，平均成本越高。

图21 客户流失对数据泄露平均成本的影响

客户流失少于1%的企业，平均成本在280万美元左右；客户流失高于4%的平均成本上升至570万美元。

图22 不同国家/地区的客户流失比例

不同国家/地区的客户流失比例相差很大。法国、意大利和日本的客户流失率较高，斯堪的纳维亚、土耳其和加拿大的客户流失率相对较低。

图23 不同行业的客户流失率

由于样本较少，因此统计可能存在偏差。医疗、金融、制药以及服务业的客户流失率普遍高于3.9%。公共事业、媒体和交通运输则相对较低。在监管较严的行业，例如医疗和金融，客户更容易在发生数据泄露后改投竞品公司，而在公共事业部门由于竞争者较少，客户无从选择，因此客户流失率较低。

4.7 企业再次发生数据泄露的可能性

这一几率与两个因素有关：丢失/被盗的记录条数以及事件发生的国家/地区。

图24 接下来两年内发生一起数据泄露的可能性

这一几率正在增长，从2014年的22.6%到2019年的29.6%，等于在此期间内这一几率增长了31%。

图25 发生数据泄露的可能性与丢失记录条数的关联

泄露的数据记录条数越多，发生数据泄露的可能性越低。记录少于1万条时，在24个月内发生数据泄露的几率为29.6%；记录大于10万条时，几率下降至1.2%。

4.8 数据泄露的生命周期

数据泄露的生命周期是指泄露发生到情况得到控制之间的时间。这一时间可划分为检测时间（MTTI）与控制时间（MTTC）。MTTC可用于衡量企业的事件响应和控制机制。

图26 MTTI与MTTC的年度变化

数据泄露的生命周期越短，成本越低。在2019年度的调查中，MTTI是206天，MTTC是73天，合起来是279天，与上一年度相比增长了4.9% - 上一年度的数字分别是197天、69天与266天。

图27 数据泄露成本与生命周期的关系

数据泄露成本与生命周期总是存在关联，超过200天的数据泄露成本总是更高。上图也显示出成本一直在稳步增长。

图28 数据泄露的生命周期与根本原因之间的关联

恶意攻击导致的数据泄露其生命周期更长。根据2019年的统计，恶意攻击导致的数据泄露生命周期平均为314天，系统故障和人为失误分别是243天和242天。

图29 数据泄露生命周期的国家/地区分布

中东和巴西的数据泄露生命周期最长，分别是381天和361天。德国最短，为170天。

图30 数据泄露生命周期的行业分布

医疗和公共事业的数据泄露生命周期最长，分别为329天和324天。金融最短，为233天。

4.9 成本中的长尾效应

根据对86个企业的跟踪调查，发现数据泄露成本的长尾效应不容忽视。67%的成本发生在第一年，22%的成本发生在第二年，11%的成本发生在两年后。对于高监管的企业，这一效应更明显：53%的成本发生在第一年，31%的成本发生在第二年，16%发生在两年以后。

图31 成本中的长尾效应

第一年的情况往往最糟糕，但第二年仍有22%的成本，11%的成本发生在两年以后。

图32 高监管与低监管环境下的成本长尾效应

低监管的环境下，第一年的成本占87%，第二年占14%，5%的成本发生在两年以后。

4.10 安全自动化对成本的影响

图33 企业部署安全自动化解决方案的比例

只有16%的企业完全部署了安全自动化解决方案，36%的企业进行了部分部署，还有36%的企业没有部署但准备在24个月内部署，最终还剩下12%的企业没有也不准备部署该方案。

图34 安全自动化对成本的影响

从图中可以看出，完全部署了安全自动化解决方案的企业数据泄露平均成本为265万美元，而没有部署该方案的成本为516万美元– 两者相差的净值达251万美元，或者说没有部署该方案的成本要高95%。

图35 不同国家/地区部署安全自动化解决方案的比例

韩国和中东部署了安全自动化解决方案的企业比例最高，土耳其、巴西和南非没有部署该方案的企业比例最高。

图36 不同行业部署安全自动化解决方案的比例

科技和金融是部署了安全自动化方案比例最高的行业，工业和公共事业是没有部署该方案的企业比例最高的行业。

4.11 超大型数据泄露的成本

过去三年中本系列报告记录了14起超大型数据泄露，这些公司没有被纳入统计范围。

图37 超大型数据泄露中成本与泄露记录条数的关系

泄露记录条数在100万条的数据泄露，其成本为4200万美元。泄露记录条数在5000万条的数据泄露，预估成本为3.88亿美元。

五、风险防护及安全建议

对数据泄露成本的调研突显了做好网络事件准备的重要性。基于本报告中的研究，提出了以下减少损失和降低成本的建议（请注意，并不能保证这些建议的效果）：

组建事件响应团队，测试事件响应计划

这是降低成本最有效的两个方法。企业可通过定期演习或仿真训练来增强响应和控制能力。

通过客户保留项目阻止客户流失

客户流失往往是数据泄露造成的后果。可通过例如首席隐私官、首席信息安全官指导留存客户信任的项目，以及提供身份盗窃保护服务。

发现、归类并加密敏感数据，扫描数据库中的错误配置

数据归类模式和留存计划有助于发现和减少易受攻击的敏感数据。扫描数据库以发现漏洞和错误的配置。最敏感的数据应该进行加密，包括在终端、在传输过程中以及在云端都要加密。

投资于可快速检测及控制数据泄露的技术

数据泄露的生命周期越短，成本越低。可投资于自动化安全解决方案、自动化事件响应编排等。

投资于风险管理系统和合规项目

可降低检测和升级成本

注意IT复杂性及安全解决方案的不连续性

更高的成本通常与第三方、合规性失败、广泛的云迁移、系统复杂性、广泛的IoT、移动和OT环境有关。随着企业更多地采用云和数字传输技术，他们需要可以在多个云平台间无缝连接以及集成多个厂商产品的安全解决方案。

声明：本文来自维他命安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。