網(wǎng)絡(luò)安全事件的財務(wù)影響由客戶信息的敏感性和檢測時間決定。
調(diào)研機構(gòu)AuditAnalytics回顧了2011年以來的639起上市公司網(wǎng)絡(luò)安全事件�����,發(fā)現(xiàn)每起網(wǎng)絡(luò)數(shù)據(jù)泄露事件的平均損失高達1.16億美元��。
Audit Analytics近期發(fā)布的報告題為《網(wǎng)絡(luò)安全事件披露趨勢》�����,報告發(fā)現(xiàn)�,2019年網(wǎng)絡(luò)罪犯通常旨在獲取客戶姓名、住址和電子郵件地址(占比分別為48%���、29%和28%)���。2018年,姓名和信用卡信息是最受網(wǎng)絡(luò)罪犯歡迎的信息類型����。2011年至2019年,惡意軟件(34%)是獲取數(shù)據(jù)的常用方法����,其次是網(wǎng)絡(luò)釣魚(25%)�����、未授權(quán)訪問(20%)和錯誤配置(12%)�����。然而�����,遭遇數(shù)據(jù)泄露的公司中幾乎有一半(43%)選擇隱瞞不報����。
基于Web的多方法攻擊很常見
2018年�����,英國航空公司慘遭自歐盟引入《通用數(shù)據(jù)保護條例》(GDPR)以來最大型數(shù)據(jù)泄露事件���。在那起事件中,網(wǎng)絡(luò)罪犯偷走了客戶名稱����、住址���、電子郵件地址和詳細的信用卡信息。檢查和過濾網(wǎng)站流量的Web應(yīng)用防火墻(WAF)本可以阻止此事件發(fā)生���,因為WAF的設(shè)計初衷就是為了檢測和阻止數(shù)據(jù)盜竊��、SQL注入和跨站腳本攻擊等網(wǎng)站入侵常用手法�。很明顯�,英國航空公司要么沒安裝這種防火墻,要么沒有正確配置��。
分布式拒絕服務(wù)(DDoS)攻擊可制造互聯(lián)網(wǎng)流量洪水���,突然涌向Web或應(yīng)用服務(wù)器���,導致公司在線基礎(chǔ)設(shè)施癱瘓。更令人頭疼的是����,發(fā)起DDoS攻擊還相對容易。因此���,網(wǎng)絡(luò)罪犯常利用DDoS攻擊來掩護更大規(guī)模�、更嚴重的攻擊。例如�,在2015年,英國零售商Carphone Warehouse旗下網(wǎng)站OneStopPhoneShop.com�����、e2save.com和Mobiles.co.uk等遭到DDoS攻擊�����,該公司IT專家的注意力被DDoS攻擊吸引���,忽視了同時發(fā)生的客戶數(shù)據(jù)庫竊取攻擊�,致使該公司240萬條客戶記錄被盜�����。約有9萬名客戶的信用卡信息失竊����,萬幸的是�����,這些數(shù)據(jù)加了密。
股市余波
缺乏防護的公司常因放任攻擊發(fā)生而付出代價����。除此之外,Audit Analytics報告揭示���,修復費用和股價下跌是數(shù)據(jù)泄露事件的另外兩個重大財務(wù)影響����。
數(shù)據(jù)泄露損失的首要影響因素是被盜信息的價值���。失竊財務(wù)信息的破壞性眾所周知��,沒什么好奇怪的����。但Audit Analytics指出����,2016至2019年期間,身份證號碼也成了網(wǎng)絡(luò)竊賊眼中的香餑餑��,身份證號盜竊在那段期間增加了500%以上。2011年以來��,修復費用超過5000萬美元的上市公司數(shù)據(jù)泄露事件中��,7起財務(wù)信息被盜�,3起身份證號碼失竊。受害最嚴重的幾家是:2013年的塔吉特(2.92億美元)����,2014年的家得寶(2.98億美元),2017年的Equifax(17億美元)和2018年的萬豪(1.14億美元)�。
值得注意的是,最大的幾起數(shù)據(jù)泄露事件�,比如Facebook為被泄數(shù)據(jù)付出的50億美元,或者Equifax花費的近20億美元����,很大程度上影響了數(shù)據(jù)泄露的平均損失。另外��,雖然Audit Analytics報告將Equifax的修復費用定在17億美元��,但該公司2020年第一季度報告的修復支出比這個數(shù)字更多���。
檢測時間越長損失越大
數(shù)據(jù)泄露損失的第二個決定因素是發(fā)現(xiàn)數(shù)據(jù)泄露的耗時長短。Audit Analytics報告稱��,公司企業(yè)平均需耗時108天才能發(fā)現(xiàn)數(shù)據(jù)泄露,報告數(shù)據(jù)泄露則還需再加49天���。從發(fā)現(xiàn)數(shù)據(jù)泄露到通知監(jiān)管機構(gòu)的中位間隔是30天��。
對公司企業(yè)而言���,從發(fā)現(xiàn)到披露的這段時間不是小事。引用Audit Analytics研究結(jié)果的一篇學術(shù)文章指出��,發(fā)現(xiàn)數(shù)據(jù)泄露后立即披露的公司股價下跌0.33%�����,但拖延一個月才披露的公司遭遇了0.72%的股價下跌���,降幅幾乎倍增��。至于公司企業(yè)未能披露攻擊��,而外部人士后來發(fā)現(xiàn)了此事的情況��,股價跌幅還要更大���。這種情況下���,公司股價在攻擊披露3天之后下跌1.47%,一個月后跌幅為3.56%���。
數(shù)據(jù)泄露事件披露的拖延癥之王當屬雅虎�,雅虎知道俄羅斯黑客早在2013年就滲透了自己的系統(tǒng)�,但直到2016年被威瑞森收購時才披露這一事件。整個泄露事件影響超過30億個賬戶����。因數(shù)據(jù)泄露事件報告延遲了1,649天,證券交易委員會最終對雅虎處以3500萬美元的罰款����。精品國際酒店集團(Choice HotelsInternational)是另一家報告超長延期的公司,數(shù)據(jù)泄露發(fā)生在2015年6月�����,卻直到2019年才披露����。由于編程漏洞�����,這家連鎖酒店集團在線預訂門戶的數(shù)據(jù)與第三方共享了8.8萬多次。
加強內(nèi)部控制才能抵御復雜攻擊
說句公道話���,一些公司聘請第三方調(diào)查員調(diào)查數(shù)據(jù)泄露情況����,而這可能會導致向監(jiān)管機構(gòu)報告的延遲�����。但無論如何���,延遲是有問題的�����。美國證券交易委員會(SEC)就網(wǎng)絡(luò)欺詐對上市公司內(nèi)部控制的影響出過一份調(diào)查報告���,AuditAnalytics引用此報告稱:“對監(jiān)管機構(gòu)和投資人而言,不能快速發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)泄露是十分令人擔憂的�����。”SEC并未對其2018年報告中指出的9個案例提出實施建議�,但建議公司企業(yè)審核自身與網(wǎng)絡(luò)威脅相關(guān)的內(nèi)部控制。
Audit Analytics報告總結(jié)道:“沒能快速發(fā)現(xiàn)的數(shù)據(jù)泄露警示公司內(nèi)部控制上的漏洞��,表明控制措施可能不足以及時檢測出問題���?����!?/span>
取決于失竊信息的性質(zhì)�����,反復發(fā)生的數(shù)據(jù)泄露可導致未來接二連三的額外支出����,包括財務(wù)數(shù)據(jù)被泄的客戶和供應(yīng)商提起的法律訴訟�����,或者個人數(shù)據(jù)受影響的員工起訴公司��。IT盡職審查至關(guān)重要,因為研究和經(jīng)驗表明壞人總吃回頭草:Audit Analytics報告稱�����,遭遇數(shù)據(jù)泄露的公司企業(yè)中��,有26%會反復淪為數(shù)據(jù)泄露受害者����,比如Facebook���、索尼����、亞馬遜���、Comcast和T-Mobile美國公司���。
注:
《網(wǎng)絡(luò)安全事件披露趨勢》:http://auditanalytics-trends-in-cybersecurity-breach-disclosures.pagedemo.co/
SEC調(diào)查報告:https://www.sec.gov/litigation/investreport/34-84429.pdf
