千万损失?不容忽视 | 大型企业发生网络安全事件后的损失不断上升
#编者按#
网络安全研究和数据科学公司Cyentia研究所3月18日发布其《2020年信息风险洞察研究》报告。研究发现,2021年 将有四分之一的《财富》 1000强公司会发生网络安全事件,而中小企业通常发生网络安全事件后会损失其年收入的25%。该报告消除了围绕网络风险的恐惧、不确定性和疑问的迷雾,旨在帮助管理人员找到更好的数据驱动决策方式。这项开创性的研究利用了Advisen的海量数据库,涵盖了过去十年中成千上万的公开网络安全事件数据。Cyentia对数据库的广泛分析提供了有关网络安全事件对各种类型和规模的组织的频率和财务影响的宝贵见解。
Cyentia的高级数据科学家兼该报告首席分析师David Severski表示:“ 该报告改变了企业风险管理者的局面。借助数据驱动的网络安全事件频率和成本估算,公司将能够在对他们最重要的问题上做出更好的决策。”
Cyentia的数据科学家团队通过使用Advisen的行业领先的可公开发现的网络安全事件数据,Cyentia能够为风险管理人员提供行业特定的预估,包括网络安全事件的发生频率以及网络安全事件可能造成的损失规模。该报告的读者可以根据其行业、公司规模或合作伙伴的特征来找到预估数据。有了这些预测数据,风险管理者可以对投资和风险策略做出更好的决策,从而提高业务投入的回报。
Advisen的网络安全事件数据包括90000多个可靠且可公开验证的网络安全事件数据,包含以下类型的网络风险数据:网络勒索、数据意外泄漏、数据物理丢失或被盗、数据恶意破坏、未经授权的数据收集、未经授权的联系或披露、欺诈性账户访问、工业控制与运营、网络中断、网络钓鱼、诈骗、社会工程、物理篡改、配置错误、处理错误。
根据Cyentia最新的《信息风险洞察研究》报告,预计有四分之一的财富1000强企业将遭受与网络安全相关的损失事件,而财富1000强企业(F1000)在12个月内因遭受网络安全事件损失超过1亿美元以上的可能性为6%。在网络安全事件的成本中,10%的事件损失将超过2,000万美元,其中信息服务和零售行业受影响最大,损失异常高于其他行业10倍。
|
|
在过去十年中,有超过60%的《财富》 1000强企业至少发生过一次公共网络安全事件。每年,该报告估计《财富》 1000强企业中有四分之一将遭受网络损失事件。对于《财富》 250强企业,该比例接近50%。 |
|
|
对于非大型企业,遭受网络安全事件的可能性大大降低。中小型企业(SMB)的发生网络安全事件的概率低于2%,并且在一年之内遭受多次网络安全事件的可能性较小。 |
|
|
遭受网络安全事件的可能性也因行业而异,相差30倍。政府机构、行政和信息服务、金融和管理公司遭受网络事件的概率最高。建筑、农业、采矿业遭受网络事件的概率较低。 |
|
|
该报告还驳斥了其他估算网络安全事件成本的方法。传统的使用每条记录的固定成本来估算网络安全事件损失的方法是不准确的。与实际记录的价值相比,该方法高估了1.7万亿美元的损失。在该研究报告中使用了一种更准确的网络安全事件成本计算方法。 |
|
|
该报告使用涉及记录的数量来评估网络安全事件造成的损失,但是该方法是概率性的,不是确定性的。泄露1,000条记录的事件有6%的概率损失超过1000万美元。相比之下,大规模泄露10亿条记录的事件有超过50%的概率会导致损失超过1000万美元。 |
|
|
遭受网络安全事件的财务损失通常约为20万美元,但有10%的概率遭受网络安全事件会导致损失超过2000万美元。财富250强企业中极端事件的成本(第95百分位数)超过1亿美元。 |
|
|
典型网络安全事件造成的损失和极端网络安全事件造成的损失在不同行业之间存在很大差异。信息服务业和零售业的损失异常高出其他行业10倍。 |
|
|
网络安全事件显示出残酷的规模经济。如一家大型企业的年收入为1000亿美元,遭受了典型网络安全事件损失29.2万美元,约占其年收入的0.000003%。然而,一家年收入10万美元的夫妻店遭受2.4万美元的损失就占其年收入的四分之一。 |
|
|
根据这些频率和损失估计,该报告预估,由于网络安全事件,《财富》 1000强公司在12个月内因网络事件损失超过1亿美元的可能性为6%。 |
此外,该报告从多个方面分析了组织风险因素,包括《财富》 1000强排名、行业部门和年收入。下图比较了《财富》 1000强企业和中小型企业(收入低于1亿美元)SMB在一年内遭受一次或多次网络安全事件的可能性。大约有四分之一的F1000企业在一年内会遭受至少一次网络安全事件,并且有3%的概率遭受10次或更多的损失。每1000个中小型企业中就有1个可能遭受网络安全事件,并且在一年中,每10万个小型企业中就有1个企业在一年内遭受了10次网络安全事件。而且中小型企业的数量是很多的。
下图评估了网络安全事件对F1000和SMB的财务影响。每个点代表数据集中的真实历史事件相关的损失。灰色线条表示典型网络安全事件的预期成本,红色条表示极端事件(第95百分位数)造成的经济损失。对F1000和SMB来说,极端事件造成的损失比典型事件大100倍。看上去F1000的损失比SMB高出10倍,但从收入的角度来看,攻击事件对中小型企业造成的伤害更大。
Cyentia的合伙人和联合创始人Wade Baker 在接受采访时表示,根据10年来的数据调查和事件报告频率,大型组织更有可能发生可公开报告的事件。Baker 补充表示,《财富》 1000强企业是一个更大的目标,也有一个更大的攻击目标领域,而事件更可能成为头条新闻。Baker 还承认,并非每个事件都是“黑天鹅”,并且该研究还考虑了一些小事件,就比如像违反了电话隐私法并拨打了一个不该打的电话。
该报告还驳斥了其他估算网络安全事件成本的方法。传统的使用每条记录的固定成本来估算网络安全事件损失的方法比与实际记录的价值高估了1.7万亿美元。Baker表示,典型的估算事件成本的方法已经使用了很长时间,并且运行良好,然而对每条记录损失150美元的典型估算并不准确,而且经常是严重不准确。该报告使用了一种更准确的网络风险评估方法,使用涉及记录的数量来评估网络安全事件造成的损失,但是该方法是概率性的,不是确定性的。该报告推荐使用了统计方法制成的下表来快速预测网络安全事件的成本。
统计数据显示,中小企业遭受网络安全事件的概率低于2%,并且一年内遭受10次或更多事件的可能性较小。但是,Baker 承认,世界上中小型企业的数量超过了《财富》 1000强企业的数量多得多,因此,2%的中小企业实际上有很多公司。
Cyentia Institute是一家研究与数据科学公司,其使命是增进网络安全行业的知识,通过与供应商和其他组织合作发布一系列高质量的数据驱动内容来实现这一目标。该团队利用多年的经验来促进网络安全知识和实践。作为值得信赖的行业领导者,多年来致力于提高研究和可用信息的质量。该研究机构对研究方法学、强大的数据分析和沟通技巧以及丰富的网络安全领域专业知识有着深刻的了解。
天地和兴工控安全研究院编译
参考资源
【1】https://www.cyentia.com/iris/
【2】https://www.cyentia.com/wp-content/uploads/IRIS2020_cyentia.pdf
【3】https://www.infosecurity-magazine.com/news/cyber-event-costs-worse/
(文章来源:天地和兴)
