Ponemon研究所的一項研究發(fā)現(xiàn)，數(shù)據(jù)泄露、丟失等破壞行為的平均開銷正在逐年增加。這其中，對于一家企業(yè)來說，首當其沖的就是業(yè)務的損失，占到了總花費的69%。

數(shù)據(jù)破壞是一項需要花錢的事情，而且要想讓它什么時候變得價格低廉一些，幾乎是不可能的。尤其是由第三方組織引起的的數(shù)據(jù)破壞行為。

但是，根據(jù)Ponemon研究所的最新研究我們發(fā)現(xiàn)，數(shù)據(jù)破壞的開銷不只是接收到通知后的那種單一的開銷。它們同樣使企業(yè)蒙受失去重要業(yè)務和商業(yè)機會的損失，這是為什么數(shù)據(jù)破壞行為會給企業(yè)帶來昂貴開銷的主要原因。

根據(jù)由PGP發(fā)起的一項調(diào)查，我們看到，數(shù)據(jù)破壞的平均花費從檢測到通知再到回復，在過去的2008年是202美元。相對于2007年的197美元來說，可以看到，數(shù)字在增長。

研究顯示，2008年，業(yè)務方面的經(jīng)濟損失數(shù)字為全部數(shù)據(jù)破壞開銷的69%，多于2007年的65%和2006年的54%。

Ponemon研究所的研究發(fā)現(xiàn)是基于43個遭受數(shù)據(jù)破壞的集團的經(jīng)驗總結(jié)出來的。他們中的84%都在過去經(jīng)歷過一次數(shù)據(jù)破壞行為。

正如其他研究發(fā)現(xiàn)一樣，Ponemon研究所通報說道，大部分的數(shù)據(jù)破壞行為都不是由于黑客引起的，而是源于某些內(nèi)部人士的疏忽大意。有關(guān)第三方組織(如外包商、承建商和顧問公司)的行為經(jīng)披露占到了被告者的44%，是2005年所占百分比的雙倍數(shù)字還多。第三方組織的花費往往在52美元以上，平均為231美元 。

“我感覺，現(xiàn)在很多客戶仍然將防御外部威脅看得遠高于內(nèi)部威脅，并投入過多的努力在上面，”身份和準入管理廠商SailPoint科技首席執(zhí)行官Mark McClain說，“相比那些行為不軌的員工來說，他們有更多的力量來保護自己抵御那些臭名昭著的東歐黑客。”

然而，當我們看到Heartland支付系統(tǒng)違反的案例和在這之前的無數(shù)有關(guān)聯(lián)的事件時，我們看到了網(wǎng)絡(luò)騙子不約而同的圖謀，那就是，他們總是著眼于企業(yè)的數(shù)據(jù)。在Heartland的這個實例中，公司首先發(fā)現(xiàn)了涉及信用卡交易的可疑活動，這比交易從Visa 轉(zhuǎn)到 MasterCard。在隨即他們展開的調(diào)查中發(fā)現(xiàn)，黑客早已在他們的系統(tǒng)中部署了惡意軟件。

一旦數(shù)據(jù)破壞行為發(fā)生，企業(yè)往往會對培訓加大資金投入和采取更進一步的加密策略。

“他們要做的第一件事就是按照安全手冊的條文進行培訓，他們這么做似乎是合理的，因為這些行為都來自于內(nèi)部人士的疏忽。”研究所的學會主席Larry Ponemon說，“但是從技術(shù)角度來看，違反行為發(fā)生后第一應該做的事情是進行加密，我們的研究發(fā)現(xiàn)似乎暗示出了加密手段的一個更全面和戰(zhàn)略性的用途。”

自數(shù)據(jù)破壞行為去年為大家所認識后，Heartland官員已經(jīng)確立了一個內(nèi)部部門專門致力于開發(fā)端到端的加密技術(shù)，保護在金融交易過程中的商家和消費者的信息。

Heartland 首席執(zhí)行官Robert O. Carr說《支付卡行業(yè)數(shù)據(jù)安全標準》已經(jīng)達到了一定影響作用，因此激進的網(wǎng)絡(luò)竊賊也需要更進一步的方法了。

“對于確保支付系統(tǒng)安全來說，世界上沒有絕對的靈丹妙藥，所以持之以恒的警覺意識和管理的基礎(chǔ)設(shè)施將一直被需要。”他在一份聲明中說：“盡管如此，我相信，開發(fā)和部署端到端的加密技術(shù)將為我們提供使安全防護水平不斷提高的能力，而它們已經(jīng)變得炙手可熱。”

有人說，支付卡行業(yè)數(shù)據(jù)安全標準(Payment Card Industry (PCI) Data Security Standard)可能也做不到充分保護客戶或商家，這一觀點引起了一場轟轟烈烈的辯論，人們開始懷疑在IT行業(yè)法律的所扮演的到底是什么樣的角色。盡管，一個人認為法規(guī)中的有關(guān)安全技術(shù)的一些指導方針是不錯的想法，但是這其中還是存在著不容忽視的風險，那就是，法律始終是落后在時間后面的，Ponemon對人們這樣警示道。

“法規(guī)條例的滯后性不用多說，”他說，“今天按照法律，你必須采取這樣的加密策略或是那樣的軟件保護，但是，立法者根本沒意識到其余的所有的巨大的安全威脅。導致的結(jié)果就是，你正全力以赴地執(zhí)行的一些做法可能永遠落后于那些最新興的科學技術(shù)。這個世界不存在受法律限制的創(chuàng)新。”

原文鏈接：http://netsecurity.51cto.com/art/201012/240662.htm