综合整理|郑美励  图表|取自《2021年资料外泄成本报告》、互联网

疫情期间，资料外泄成本创下新高，2021年每起资料外泄事件的平均成本为424万美元，与前一年相比，成本上升了10%。

由IBM Security和Ponemon Institute共同推出的《2021年资料外泄成本报告》从去年5月至今年3月，统计了全球17个国家及地区、17个领域共537个各类规模企业资料外泄事故数据，发现网络入侵事故所造成的平均损失高达424万美元（约1769万令吉）。

此数据不仅创下该报告17年来的历史新高，而且根据报告分析，随着保持资料安全的成本越来越高而且更难控制。

报告揭示以下4大趋势：

1.远程办公影响：
疫情迫使许多员工匆忙间居家办公，60%企业亦是由实体环境快速转移至云端环境，报告认为，资讯安全的速度可能跟不上资讯科技转变的速度，进而削弱企业组织应对资料外泄的能力。在疫情期间迅速转由实体运营转向远程运营似乎导致了更昂贵的资料外泄成本。

当远程办公是发生资料外泄的其中一个因素时，资料外泄成本平均高出100多万美元，达到496万美元（约2095万令吉）。相比之下，没有远程办公这项因素的资料外泄事件中，所需要的成本为389万美元（约1643万令吉）。

2.医疗保健资料外泄成本激增：
疫情期间，面临巨大运营变化的行业（医疗保健、零售、酒店和消费者制造/分销）的资料外泄露本也按年大幅上升。到目前为止，医疗资料外泄造成的损失最大，每次事故的成本约为923万美元（约3899万令吉），比前一年增加了200万美元（约845万令吉）。

3.用户凭证（用户名和密码）被盗导致资料外泄：
用户凭证被盗是最常见且最根本的资料外泄原因。82%受访者承认在多个账户使用同一组密码。另外，将近44%的资料外泄泄漏了客户的个人数据（姓名、电子邮件、密码，甚至医疗保健数据）。

与其他类型的数据相比，客户个人身分信息的丢失成本最昂贵（每条丢失或被盗记录价值180美元，约760令吉）。"    

4.现代化方法降低成本：
疫情期间进行资讯科技的转换固然提高资料外泄成本，但没有实施任何数字化转型项目的企业承受更昂贵的资料外泄成本。

采用人工智能、安全分析和加密是降低资料外泄成本的前三大因素，与没有大量使用这些工具的公司相比，它们为公司节省了125万（约528万令吉）至149万美元（约629万令吉）。

另外，采用混合云方法的企业的资料外泄成本（约为361万美元，约1525万令吉）低于主要是使用公共云（约为480万美元，约2028万令吉）或使用私有云方式为主（约为455万美元，约1922万令吉）的企业。

另外，如果企业有落实“零信任”安全方式，能更好的应对资料外泄。

拥有成熟零信任策略的企业的平均资料外泄成本为328万美元（约1386万令吉），比根本没有部署这种方法的企业低了176万美元（约743万）。而投资在意外事故应对小组和计划可以降低资料外泄的成本。

注：“零信任”安全方式假设用户身分或网络已经遭到入侵，并依靠人工智能和分析来持续验证用户、资料和资源之间的连接。

其他关调查数据：

■38%：业务损失（客户流失业上升、系统停机造成的收入损失以及收购新业务的成本增加、名誉损失）是资料外泄所导致的严重后果，占比达38%。

■80%：部署资料安全的人工智能与自动化后遭遇的资料外泄的成本损失为290万美元（约1229万令吉），不过如果完全没有部署，则损失高达671万美元（约2836万令吉），两者的成本之差将近80%。今年有65%企业进行部份或全数的人工智能与自动化的部署，比起2020年上升6%。

■287天：检测和遏制资料外泄的平均天数为 287 天（212 天检测，遏制 75 天），比2020年的报告多花一周的时间。

■4亿100万美元（约16亿9396万令吉）：重大资料外泄的平均成本达到4亿100万美元，涉及的资料外泄数量介于5000万至6500万条记录之间。这个成本比报告中大多数资料外泄规模（资料外泄数量介于100至10万条记录）昂贵100倍。

4范围造成成本损失

动轧几百万到几千万的成本，究竟是如何计算得出？报告指出排除了很小规模的资料外泄，只统计资料外泄介于2000条至10万1000条的事故。而重大资料外泄则使用不同的分析法计算。

同时，报告也以“基于活动的成本”会计方法，计算以下4大活动范围造成的成本损失：
（1）侦测及升级；（2）业务损失；（3）通知，包括通知相关的当事人、数据保护监管单位和第三方；（4）资料外泄后的反应如遭监管单位罚款、法律支出、信用监控和身份保护服务。