IBM發(fā)布的《2021年數(shù)據(jù)泄露成本》報告揭示，數(shù)據(jù)泄露成本從386萬美元增至424萬美元，為其17年報告發(fā)布史上最高平均總成本數(shù)額。

英國文化、媒體和體育部（DCMS）最近發(fā)布的報告顯示，英國大中型企業(yè)越來越來難以承受數(shù)據(jù)泄露不斷高企的成本。該報告顯示，2021年，英國大中型企業(yè)平均損失了1.94萬英鎊，而2020年時這一數(shù)字還只是1.34萬。有意思的是，如果考慮大中小各種規(guī)模的企業(yè)，數(shù)據(jù)泄露的平均成本驟降至4200英鎊。而且，相比2020年的8460英鎊還腰斬了。

每年都有很多這樣的報告向我們揭示身邊正發(fā)生什么，數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的成本又增加了多少。這些報告都很有價值，因為能讓我們了解到價格、所用方法和組織是怎樣應(yīng)對日益增多的威脅的。但是，我們需要謹慎對待這些報告，因為這些報告沒有準確描述，也無法準確描述我們數(shù)字世界中正在發(fā)生一切，更別說精準統(tǒng)計數(shù)據(jù)泄露的影響了。這并不是針對研究人員本身的抱怨，而是一種客觀觀察：計算問題的規(guī)?；蛩斐捎绊懙某杀緯r，我們無法考慮到如此之多的因素。

盡管報道數(shù)據(jù)泄露的財務(wù)影響既必不可少又很有價值，但這種報告過于武斷，并沒有給出更難以量化的數(shù)據(jù)泄露的真實成本。當然，把這些統(tǒng)計數(shù)據(jù)擺上董事會會議桌來合理化網(wǎng)絡(luò)安全預(yù)算還是很不錯的，但我們還應(yīng)該考慮數(shù)據(jù)泄露那些不太明顯的影響，因為數(shù)據(jù)泄露的成本和對業(yè)務(wù)的影響遠遠高于報告數(shù)字所呈現(xiàn)的。

聲譽損害

數(shù)據(jù)泄露事件發(fā)生后，組織往往必須與顧客、長期客戶和雇員就所發(fā)生的事情艱難溝通。在了解事件發(fā)生經(jīng)過和計算出財務(wù)影響之前，必須精心準備所有電話、電子郵件和新聞稿。每一場溝通都有可能失去一家客戶，組織的聲譽所受的負面影響不斷累積。 

當然，這并不意味著組織應(yīng)該蒙混過關(guān)或者盡量避免這些溝通，因為從長遠看，這么做顯然會讓他們陷入更糟糕的境地。只要組織以開放的態(tài)度誠實通報所發(fā)生的一切，那么大多數(shù)（不是全部）客戶、供應(yīng)商和雇員都會給予諒解，尤其是在遭到有組織網(wǎng)絡(luò)犯罪侵害的情況下。但堅持這么做也很冒險，因為在發(fā)現(xiàn)自己是網(wǎng)絡(luò)攻擊真正的受害者時，耐心和慷慨往往是稀缺品。

時間回溯到2013年，美國零售業(yè)巨頭塔吉特被網(wǎng)絡(luò)罪犯攻陷，數(shù)據(jù)泄露影響4100萬客戶。塔吉特在16天內(nèi)檢測到了泄露，并在發(fā)現(xiàn)后20天里公開披露了此事，但很多客戶對這家公司的披露耗時非常不滿。

這無疑在相當長的一段時間里影響了塔吉特的股價。當然，任何公司的股價都是公司聲譽和地位的金融表征。

賠償和罰款

考慮數(shù)據(jù)泄露成本時我們最常想到的就是聲譽上的影響，但需要考慮的其他因素還有很多。 

數(shù)據(jù)泄露還會引發(fā)索賠，甚至制裁和罰款。信息專員辦公室（ICO）是英國的監(jiān)管機構(gòu)，根據(jù)英國《數(shù)據(jù)保護法案》和歐盟《通用數(shù)據(jù)保護條例》（GDPR）監(jiān)管治理和合規(guī)事宜。如果發(fā)生數(shù)據(jù)泄露，組織可能必須向ICO做出解釋，等待ICO的后續(xù)動作。無論采取何種形式的制裁，律師都會介入，數(shù)據(jù)泄露的財務(wù)影響會再次迅速升級。

發(fā)生數(shù)據(jù)泄露事件之后，有一種影響往往會忘了討論，這種影響雖然也會造成財務(wù)損失，但在初步評估中卻不是那么明顯。

人員影響

發(fā)生數(shù)據(jù)泄露時，光確定發(fā)生了什么和需要采取哪些行動就有一大堆事情要做。事件響應(yīng)團隊會采取行動，按計劃果斷行事，以期恢復(fù)業(yè)務(wù)正常運行。

在響應(yīng)和恢復(fù)過程中，相關(guān)人員面臨著全力確保盡快恢復(fù)的壓力。假期被取消，育兒和照顧親屬的個人義務(wù)被忽視，當前要務(wù)就是維持或恢復(fù)業(yè)務(wù)正常運營。

因此，恢復(fù)團隊成員承受的壓力是巨大的，而在考慮誰應(yīng)該加入恢復(fù)團隊時，這種壓力又常常遭到忽視。大多數(shù)主管和經(jīng)理都需要能夠在壓力下保持冷靜。不過，數(shù)據(jù)泄露或網(wǎng)絡(luò)事件并不是大多數(shù)人需要面對的日常（謝天謝地）。因此，人們對安全事件的反應(yīng)天差地別，但無論如何反應(yīng)，終歸逃不脫最初都是人類會有的反應(yīng)。

別對人性保有太高的幻想，數(shù)據(jù)泄露發(fā)生時，團隊的第一反應(yīng)會是：“這對我有什么影響？我得擔責嗎？”或許這種想法轉(zhuǎn)瞬即逝，但肯定會出現(xiàn)。于是，壓力和焦慮開始出現(xiàn)，因為這個人會在個人責任和崗位職責之間掙扎。

難怪最近的研究顯示，24%的財富500強企業(yè)首席信息安全官（CISO）履職時間僅一年，而平均任期為26個月。那么，IT團隊成員的情況又如何呢？響應(yīng)團隊中的其他人又是何種情況？事件發(fā)生后他們會待多久呢？

當然，壓力和焦慮會導(dǎo)致心理健康問題，而如果我們回到資產(chǎn)負債表，生產(chǎn)力問題會導(dǎo)致更多的經(jīng)濟損失。

結(jié)語

計算數(shù)據(jù)泄露的成本確實可以歸結(jié)為我們可以往電子表格中填入什么，但我們不應(yīng)該僅僅看到數(shù)據(jù)泄露表面的財務(wù)影響。如果想要深入了解真實成本，我們就得考慮數(shù)據(jù)泄露事件的方方面面。這意味著要考慮對我們聲譽的影響、損失的機會成本、對生產(chǎn)力的影響、增加的運營成本、賠償和罰款，以及對我們?nèi)藛T的影響。

對人員的影響往往是最難以計算的，因為沒有明確的指征表明何時會感受到這種影響；團隊成員可能會在業(yè)務(wù)開始恢復(fù)的那一刻開始尋找另一份工作，并且可能永遠不會提到那次事件是離職的催化劑。

財務(wù)成本可能僅僅是電子表格中細細的一行，但數(shù)據(jù)泄露的實際成本遠不止如此，還有對內(nèi)部和外部利益相關(guān)者的信任侵蝕。

因此，我們應(yīng)該提出的真正問題和做出的計算是：您對信任標價幾何？