几乎没有人会否认,网络攻击的频率和强度增加,大多数企业确认他们现在已经遭受了至少一个网络事件。但做这些组织对组织的全面影响一个真正意义上的?毕竟,通常与数据泄露相关的直接成本比所产生的“隐性成本”远不如显著。
事实上,“隐性”成本可达90%的对组织的整体业务影响,并很可能将在活动结束后两年或两年以上经历。这是最近一个题为研究由德勤咨询的调查结果中,“下面的网络攻击的表面:深入了解的业务影响。”
德勤列出了网络攻击的14项商业影响,分别被归类为“表面上的”或众所周知的事件成本,以及“表面下的”或隐藏或不那么明显的成本。每个类别有7个影响。
但德勤认为,网络事故,目前市场估值大大低估,因为公共着眼于上述表面的影响 - 大远小的百分比。
“高管难以衡量部分原因是他们通常不是厕所的潜在影响是什么他们的同龄人用,因为他们的工作就是让他们的企业在他们的脚向后,奋斗”的笔记艾米莉·莫斯伯格,与德勤会计师事务所和德勤弹性实践领导者的主要咨询网络风险的服务。“网络攻击的影响的准确的图片有所欠缺,因此,企业不发展风险的姿势,他们所需要的。”
“大部分的谈话一直专注于存在哪些漏洞和技术影响,”莫斯伯格继续。“焦点似乎是非常狭隘的违约通知元素以及需要到位后违反保护机制上,而是广泛的影响似乎被忽略。”
德勤分析师着手获取网络攻击的更广泛的图片。
德勤(Deloitte & Touche)负责人艾米丽•莫斯伯格(Emily Mossberg)说
“我们认为这被低估了。我们没有预料到的是,表面之下的真实影响有多大,并没有成为今天日常讨论的网络事件的一部分,”Mossberg解释说。
为了说明网络攻击的所有影响,德勤的研究提出了两个虚构的案例研究,并对每个因素在5年期间的损失金额进行了分配。14项业务影响可细分为:
上面的表面,或知名网络事件成本
- 客户违约通知
- 入侵后的客户保护
- 法规遵从(罚款)
- 公共关系/危机通信
- 律师费及诉讼费用
- 网络安全改进
- 技术调查
在表面之下,或隐或不可见成本
- 保险费增加
- 增加的成本提高债务
- 运营中断
- 失去客户关系的价值
- 合同收入损失的价值
- 商号贬值
- 知识产权的损失(IP)
在上述所有影响领域中,最严重的可能是业务中断。
“每个组织在影响方面都是独特的,但跨行业有一些共同的关键领域。例如,在零售中,信用卡数据是最重要的。在医疗保健领域,PIN(个人识别信息)。对于制造业来说,知识产权的损失会产生最大的影响。然而,通常最被低估的跨组织的重大影响是业务中断,”Erik Thomas说,他是EMT咨询公司的总裁和首席顾问,也是SIM网络安全小组的成员。
托马斯表示:“根据时间和持续时间的不同,这可能会在财务处罚、损失收入、借贷成本、客户服务、品牌认知和未来机会等方面产生广泛的影响。”
达伦·范·Booven,在爱达荷国家实验室首席信息安全官,同意。
“最显著切实的影响是一个将首先感受到的,就是事件响应,经济成本”范Booven笔记。“这样的攻击不能轻易重复遏制和应对攻击的行为,调查任何违反造成,公共关系,合规罚款,信用监控服务,以及费用在后端以一种方式强化防御。对于中,大型组织中,这可以很容易地达到数百万美元的费用“。
但是还有那些无形的成本,Van Booven说“这取决于各种各样的因素,比如组织的行业、规模和事件的性质。”影响可能包括丧失充分保护信息的能力,这可能会导致金融行业与批发制造业的客户反应不同。”
Van Booven解释说:“这些成本可能很难衡量,但如果投资者、客户或主要商业伙伴对一个活动有很强的影响力,这些成本也会增加。”
RSA首席技术官Zulfikar Ramzan提出了网络攻击对五个领域影响最大的问题:业务连续性影响、知识产权盗窃、客户和员工信息等敏感数据丢失、法规遵从性影响以及声誉损失。
拉姆赞说:“根据不同的组织和他们所处的特定垂直市场,不同的商品将会涌现在清单的顶端。”“其中一些领域,比如对业务连续性的影响,比较容易量化。但另一方面,在声誉损失和知识产权盗窃等其他领域附加金额可能会更加困难。”
影响成本
但是这并没有不再努力德勤分析师。在他们的报告中,他们创造了经验丰富的网络攻击,并贴成本值的所有影响两个有代表性的公司。
其中一个例子涉及一个医疗保健组织,该组织得知一台包含280万份个人健康信息(PHI)记录的笔记本电脑从该公司的医疗保健分析软件供应商那里被盗,从而遭受了数据泄露。基于所有14个影响因素,此次入侵的总成本确定为16.79亿美元。具体如下:
在水面上
客户违约通知= 6个月,花费1000万美元(占总数的0.6%)
违约后的客户保护= 3年,花费2100万美元(占总额的1.25%)
合规=两年200万美元(占总额的0.12%)
公共关系/危机公关=在第一年的$ 1百万(占总数的百分之0.06)
律师费和诉讼=在1000万$成本五年(占总数的0.6%)
网络安全改进=第一年14美元(占总额的0.83%)
技术调查= 6周,花费100万美元(占总费用的0.06%)
表面之下
保险费成本=三年4000万美元(占总额的2.38%)
举债成本增加= 6,000万美元(占总成本的3.57%)
运营中断= 3000万美元(1.79%)
客户关系的价值损失=在三年期间$ 430万美元(占总数的25.61%)的
失去的合同收入的值=亿$ 830超过三年(占总数的49.43%)的
商品名贬值= $ 230万元以上5年损失(占总数的13.7%)
知识产权损失=此处没有标注美元价值
那么,什么是一个组织做的,以防止这一切的潜在损失?莫斯伯格建议四个方面重点关注。
Mossberg解释道:“最终,我们会考察公司的四个不同领域,以确定他们应该如何改进。”“首先,我们要看看项目的组成部分,他们的战略,他们的管理,他们的政策,他们的程序,他们的框架,以及他们的整体项目是否有需要修补的缺口。”
“其次,我们看看他们的主动安全控制和姿态 - 他们有到位的事情来保护他们的数据,系统,他们有,他们有环境,最重要的是,企业自己有?”莫斯伯格说。
“第三,我们要看看他们有什么地方可以持续了解和监控他们的环境,”Mossberg说。他们是否有适当的工具来记录系统内发生的活动,他们是否有适当的分析工具来分析非正常情况下发生的事情。”
最后,他们准备好回应了吗?他们是有弹性的吗?“Mossberg姿势。他说:“他们是否具备对事故作出反应的程序。他们测试过这些流程和计划了吗?他们知道——通过执行管理团队——他们需要和谁交流这些事情吗?”
这个故事,“在网络攻击的业务影响更深入的了解”最初发表方案 。