原創 2016-09-07 nana 安全牛

德勤會計師事務所發現:隱藏代價能占到公司總體業務損失的90%,而且極有可能在事發2年後甚至更長時間才會顯現出來。

沒有人會否認網路攻擊的頻度和強度都在增加,大多數公司都承認自己至少遭到過1起網路事件。但這些公司真的瞭解網路事件對公司的全部影響嗎?畢竟,資料洩露相關的直接損失通常都遠遠不及隱藏代價

事實上,隱藏代價能占到公司總體業務損失的90%,而且極有可能在事發後2年甚至更久後才會顯現出來。

這是德勤會計師事務所新近發佈的一項研究報告《表面之下:深度探討網路攻擊的商業影響》所揭示的。

德勤標記出了網路攻擊的14種商業影響,並歸類為表面之上”(眾所周知的事件損失),和表面之下”(隱藏或極少被感知到的代價),每一類中都有7種影響。

德勤認為,當前市場太過低估網路事件的影響,因為公眾都只關注表面影響,而這恰恰是比重極小的那部分。

主管們通常難以估算潛在影響,部分原因源於他們通常對同儕努力將業務導回正軌的過程中所遭遇的困難和阻力並不知情。缺乏對網路攻擊的準確視圖,公司也就不能獲悉自己需要瞭解的風險態勢。

太多的討論都是圍繞現有的漏洞和技術影響。視線太窄,且只集中在了資料洩露通知元素和事後防護機制這些需要就位的東西上,而更廣泛的影響則被忽略了。

德勤的分析師著手描繪了對網路攻擊更寬泛全面的視圖。

他們想到了網路攻擊的影響被低估了,卻沒想到表面之下的影響被低估了這麼多,而且這些"隱藏"影響一直以來都沒有成為網路事件的日常討論物件。

為表現出網路攻擊方方面面的影響,德勤的研究團隊虛擬了2個案例分析,在5年時間裡為每種因素進行了經濟損失的量化。這14種商業影響具體如下所示:

表面之上(眾所周知)的網路事件損失

  • 客戶資料洩露通告
  • 事後客戶防禦
  • 合規(罰款)
  • 公關/危機溝通
  • 律師費和訴訟
  • 網路安全改進
  • 技術調查

表面之下(隱藏或極少被感知到)的損失

  • 保費增長
  • 舉債開銷增加
  • 運營中斷
  • 客戶關係價值喪失
  • 合同流失
  • 商標貶值
  • 智慧財產權遺失

上述所有影響中,可能最明顯的就是運營中斷了。

從所受影響的角度出發,每家公司都是不一樣的,但各行業之間卻有共通的關鍵領域。比如,對零售業而言,信用卡資料是最重要的。醫療保健行業,個人身份識別資訊(PIN)最重要。而在製造業,智慧財產權遺失可能會是最致命的打擊。然而,各家公司遭受的最被低估的嚴重影響,往往是業務中斷

取決於發生的時機和持續時長,業務中斷可能在各個方面造成嚴重後果,比如財務處罰、收益損失、借貸開支、客戶服務、品牌接受度和未來發展機會等。

最重大的切實影響就是最先被感受到的那個——事件響應的經濟開支。控制和回應攻擊的動作、對資料洩露造成後果的調查、公關、合規處罰、信用監控服務,以及後端加強防禦的費用等等。對中大型企業而言,這些有可能很輕易就累計到數百萬美元了。

除此之外,還有些不易度量的開支,取決於企業所屬行業、企業規模和安全事件性質等不同因素。影響可能包含有企業充分保護資訊的能力的喪失,這種能力的喪失在金融產業引發的客戶反應,會比在批發製造業嚴重得多。

此類損失可能更難以度量,但若投資人、客戶或主要業務合作夥伴對事件深究起來,也是夠企業受的。

RSA首席技術官拉姆贊總結了網路攻擊最重大的5個影響領域:業務持續性影響、智慧財產權失竊、客戶和員工資訊等敏感性資料遺失、合規影響、信譽損失。

取決於企業自身和所屬具體市場縱向行業,不同的條目會浮現到這個列表頂部。其中一些領域,比如業務持續性影響領域,就相對容易量化。另一方面,其他一些領域,比如信譽損失和智慧財產權失竊,就更難以賦以一個準確的衡量金額。

影響的開銷

但德勤的分析師們沒有被困難嚇住。在報告中,他們建立了兩家代表性公司,遭受網路攻擊並附上了對所有影響領域的損失價值。

其一是一家醫療保健公司,遭受的是資料洩露事件:其醫療保健分析軟體供應商的一台筆記型電腦被盜,而電腦中存有該醫療保健公司的280萬條個人健康資訊(PHI)記錄。基於所有14個影響因素,該事件的全部損失被確定為16.79美元,細分如下:

表面之上

  • 客戶資料洩露通告 = 6個月,1000(總損失占比0.6%)
  • 事後客戶防禦 = 3年,2100(1.25%)
  • 合規(罰款) = 2年間,200(0.12%)
  • 公關/危機溝通 = 1年裡,100(0.06%)
  • 律師費和訴訟 = 5年,1000(0.6%)
  • 網路安全改進 = 1年,1400(0.83%)
  • 技術調查 = 6周,100(0.06%)

表面之下

  • 保費增長 = 3年間,4000(2.38%)
  • 舉債開銷增加 = 6000(3.57%)
  • 運營中斷 = 3000(1.79%)
  • 客戶關係價值喪失 = 3年間,4.3(25.61%)
  • 合同流失 = 3年間,8.3(49.43%)
  • 商標貶值 = 5年間,2.3(13.7%)
  • 智慧財產權遺失 = 無賦值

那麼公司企業應該做些什麼來防止這些潛在的損失呢?有4個方面值得注意。

首先,程式元素——公司戰略、監管、策略、流程、框架,以及有沒有需要修復的總體程式相關的漏洞。

其次,主動安全控制和態勢——防護公司資料、系統、環境和業務的東西有沒有就位。

再次,用於持續理解和監視公司環境的東西——有沒有合適的工具來記錄公司系統內發生的行為,有沒有合適的分析工具對異常行為進行分析。

最後,公司是否有回應準備,是否有彈性——有沒有事件回應預案?有沒有對回應預案進行過測試?執行管理團隊是否知道該向誰溝通這些事情?