更大型的数据泄露事件无法说服企业对IT安全投入更多资金,因为投资者和顾客都不会永久性地放弃这些公司。
2015年10月,黑客入侵了英国电讯公司TalkTalk的网站,他们可能使用了该网站上11个漏洞中的一个,窃取了15.7万顾客的个人详细信息,包括1.5万余人的银行账户信息。
上周,安全上欠下的债终于偿还了:该公司在2016年第一季度的利润下降了超过一半。在周二发布的年报上,公司披露已经失去了9.5万订阅者,黑客事件导致大约8000万美金损失,其中包括“在恢复网络能力之后部署增强的安全措施、相关IT、事件响应、咨询、免费升级所造成的费用”,以帮助公司留住客户。
TalkTalk是最近一家因数据泄露事件遭受巨大损失的公司。尽管过去的分析已经表明,数据泄露不会影响公司的长期股价,企业和其管理层正日渐承担着更多的恢复费用和损失商业市场的可能性。
Verizon的企业服务计算机调查团队RISK首脑Chris Novak说:“我们正进入一个人们被认为有责任说很多东西的时代。影响正逐渐增加。这已经不只是一个IT层面上的问题,而是成为了董事会或C级高管层的问题。”
但这还不够。尽管解雇CEO毫无疑问正在吸引高管团队和董事会的注意,数据泄露造成的金融损失可能不会持续太长时间,大公司能够很快吸收掉它们。2009年,当黑客Albert Gonzales从Heartland Payment Systems偷走了近1亿份信用卡和借记卡信息时,公司在3个月内跌掉了超过75%的股票市值。不过股价已经反弹,目前价格已经是当时的500%。
哥伦比亚大学国际公共关系事务学院互联网管理与网络安全部门研究员Benjamin Dean在去年的一篇论文中指出,在2013年的数据泄露事件之后,塔吉特损失了超过2.52亿美金,其中的0.9亿由保险公司偿还。尽管看上去总额很大,这些损失仅占公司2014年销售额的0.1%。
而且,尽管造成了8000万美金损失,TalkTalk的泄露事件仅仅影响了利润,而不是造成公司全年财报显示亏损。事实上,公司在提供客户激励方面的努力让客户流失率 (Churn Rate) 在2015年最后一个季度达到了历史最低。
RAND公司网络安全与新兴技术分析师Lillian Ablon对媒体表示,总的来看,损失不足以驱使企业在安全领域投入大笔资金。
她说:“当然,企业感觉到疼了。有些企业的股价已经下挫,但是没人真的感受到切肤之痛。”一部分问题在于,消费者已经厌倦了数据泄露事件重复出现的规律,而且不确定如何改变企业的行为方式。
在近期的一项研究中,RAND发现,只有11%的消费者因为数据泄露事件抛弃了公司的产品和服务。
“我经常纳闷,消费者为什么还没有拿起武器:毕竟,他们的数据都泄露出去了,很容易就能拿到。我认为这是因为消费者没有感觉到疼痛。身份盗窃造成的财务冲击并不大。”
受安全服务提供商Dell Secureworks资助,Ponemon Institute在2015年发布的一份报告称,这种现象导致,半数企业没有提升在安全领域的投入。在另一半的中,大约三分之二的企业计划在未来两年中增加投入,其余则准备大幅增加预算。
报告称,“尽管众所周知的数据泄露事件越来越多,IT安全投资没有对董事会产生什么影响,也没有得到董事会的帮助”。
尽管大企业能够吸收数据泄露产生的冲击,小企业则基本上在冒着网络攻击导致企业彻底倒闭的风险。虽然公众目前还不认为个人身份泄露会直接导致企业破产,其它类型的网络入侵已经造成过企业关门。比如代码仓库Code Spaces在黑客控制其亚马逊控制面板,要求赎金未果并删除了所有服务器之后将网站下线。
“小企业更多依赖关系。而且它们比大企业更容易受到直接冲击。”
不过,两个趋势将增加被入侵企业与受害用户的损失。
第一个是不容易被更改或替换掉的信息正愈发成为黑客的攻击目标,比如社保号码。比如在2015年,338起数据泄露事件放出了近1.65亿份包含社保号码。
相对地,Identity Theft Resource Center给出的数据显示,2015年,只有不到100万份借记卡或信用卡信息遭到泄露。过去的一年中,被曝光的信用卡数量显著增长:大约138起数据泄露事件导致近6500万份信用卡信息被黑客窃取。
第二个趋势是,企业正在收集数量更多、种类更多的用户个人信息。比如,家庭摄像机经常会连接到云服务存储视频。攻击者可以轻易通过入侵此类服务获取客户信息。其它与物联网有关的设备,比如心率监测仪和带有GPS的定位器均将加速这一趋势。
Verizon公司的Novak说:“如今,这一领域正变得更加私人化,因为我们身边的许多东西都是连在一起的。这种暴露将变得更加严重,而且我认为,我们会看到消费者更加在意数据泄露事件。”
本文转自d1net(转载)
