Ponemon研究所的一項(xiàng)研究發(fā)現(xiàn),數(shù)據(jù)泄露、丟失等破壞行為的平均開(kāi)銷正在逐年增加。這其中,對(duì)于一家企業(yè)來(lái)說(shuō),首當(dāng)其沖的就是業(yè)務(wù)的損失,占到了總花費(fèi)的69%。
數(shù)據(jù)破壞是一項(xiàng)需要花錢(qián)的事情,而且要想讓它什么時(shí)候變得價(jià)格低廉一些,幾乎是不可能的。尤其是由第三方組織引起的的數(shù)據(jù)破壞行為。
但是,根據(jù)Ponemon研究所的最新研究我們發(fā)現(xiàn),數(shù)據(jù)破壞的開(kāi)銷不只是接收到通知后的那種單一的開(kāi)銷。它們同樣使企業(yè)蒙受失去重要業(yè)務(wù)和商業(yè)機(jī)會(huì)的損失,這是為什么數(shù)據(jù)破壞行為會(huì)給企業(yè)帶來(lái)昂貴開(kāi)銷的主要原因。
根據(jù)由PGP發(fā)起的一項(xiàng)調(diào)查,我們看到,數(shù)據(jù)破壞的平均花費(fèi)從檢測(cè)到通知再到回復(fù),在過(guò)去的2008年是202美元。相對(duì)于2007年的197美元來(lái)說(shuō),可以看到,數(shù)字在增長(zhǎng)。
研究顯示,2008年,業(yè)務(wù)方面的經(jīng)濟(jì)損失數(shù)字為全部數(shù)據(jù)破壞開(kāi)銷的69%,多于2007年的65%和2006年的54%。
Ponemon研究所的研究發(fā)現(xiàn)是基于43個(gè)遭受數(shù)據(jù)破壞的集團(tuán)的經(jīng)驗(yàn)總結(jié)出來(lái)的。他們中的84%都在過(guò)去經(jīng)歷過(guò)一次數(shù)據(jù)破壞行為。
正如其他研究發(fā)現(xiàn)一樣,Ponemon研究所通報(bào)說(shuō)道,大部分的數(shù)據(jù)破壞行為都不是由于黑客引起的,而是源于某些內(nèi)部人士的疏忽大意。有關(guān)第三方組織(如外包商、承建商和顧問(wèn)公司)的行為經(jīng)披露占到了被告者的44%,是2005年所占百分比的雙倍數(shù)字還多。第三方組織的花費(fèi)往往在52美元以上,平均為231美元 。
“我感覺(jué),現(xiàn)在很多客戶仍然將防御外部威脅看得遠(yuǎn)高于內(nèi)部威脅,并投入過(guò)多的努力在上面,”身份和準(zhǔn)入管理廠商SailPoint科技首席執(zhí)行官M(fèi)ark McClain說(shuō),“相比那些行為不軌的員工來(lái)說(shuō),他們有更多的力量來(lái)保護(hù)自己抵御那些臭名昭著的東歐黑客。”
然而,當(dāng)我們看到Heartland支付系統(tǒng)違反的案例和在這之前的無(wú)數(shù)有關(guān)聯(lián)的事件時(shí),我們看到了網(wǎng)絡(luò)騙子不約而同的圖謀,那就是,他們總是著眼于企業(yè)的數(shù)據(jù)。在Heartland的這個(gè)實(shí)例中,公司首先發(fā)現(xiàn)了涉及信用卡交易的可疑活動(dòng),這比交易從Visa 轉(zhuǎn)到 MasterCard。在隨即他們展開(kāi)的調(diào)查中發(fā)現(xiàn),黑客早已在他們的系統(tǒng)中部署了惡意軟件。
一旦數(shù)據(jù)破壞行為發(fā)生,企業(yè)往往會(huì)對(duì)培訓(xùn)加大資金投入和采取更進(jìn)一步的加密策略。
“他們要做的第一件事就是按照安全手冊(cè)的條文進(jìn)行培訓(xùn),他們這么做似乎是合理的,因?yàn)檫@些行為都來(lái)自于內(nèi)部人士的疏忽。”研究所的學(xué)會(huì)主席Larry Ponemon說(shuō),“但是從技術(shù)角度來(lái)看,違反行為發(fā)生后第一應(yīng)該做的事情是進(jìn)行加密,我們的研究發(fā)現(xiàn)似乎暗示出了加密手段的一個(gè)更全面和戰(zhàn)略性的用途。”
自數(shù)據(jù)破壞行為去年為大家所認(rèn)識(shí)后,Heartland官員已經(jīng)確立了一個(gè)內(nèi)部部門(mén)專門(mén)致力于開(kāi)發(fā)端到端的加密技術(shù),保護(hù)在金融交易過(guò)程中的商家和消費(fèi)者的信息。
Heartland 首席執(zhí)行官Robert O. Carr說(shuō)《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》已經(jīng)達(dá)到了一定影響作用,因此激進(jìn)的網(wǎng)絡(luò)竊賊也需要更進(jìn)一步的方法了。
“對(duì)于確保支付系統(tǒng)安全來(lái)說(shuō),世界上沒(méi)有絕對(duì)的靈丹妙藥,所以持之以恒的警覺(jué)意識(shí)和管理的基礎(chǔ)設(shè)施將一直被需要。”他在一份聲明中說(shuō):“盡管如此,我相信,開(kāi)發(fā)和部署端到端的加密技術(shù)將為我們提供使安全防護(hù)水平不斷提高的能力,而它們已經(jīng)變得炙手可熱。”
有人說(shuō),支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(Payment Card Industry (PCI) Data Security Standard)可能也做不到充分保護(hù)客戶或商家,這一觀點(diǎn)引起了一場(chǎng)轟轟烈烈的辯論,人們開(kāi)始懷疑在IT行業(yè)法律的所扮演的到底是什么樣的角色。盡管,一個(gè)人認(rèn)為法規(guī)中的有關(guān)安全技術(shù)的一些指導(dǎo)方針是不錯(cuò)的想法,但是這其中還是存在著不容忽視的風(fēng)險(xiǎn),那就是,法律始終是落后在時(shí)間后面的,Ponemon對(duì)人們這樣警示道。
“法規(guī)條例的滯后性不用多說(shuō),”他說(shuō),“今天按照法律,你必須采取這樣的加密策略或是那樣的軟件保護(hù),但是,立法者根本沒(méi)意識(shí)到其余的所有的巨大的安全威脅。導(dǎo)致的結(jié)果就是,你正全力以赴地執(zhí)行的一些做法可能永遠(yuǎn)落后于那些最新興的科學(xué)技術(shù)。這個(gè)世界不存在受法律限制的創(chuàng)新。”
原文鏈接:http://netsecurity.51cto.com/art/201012/240662.htm