新闻资讯
全部分类

千万损失?不容忽视 | 大型企业发生网络安全事件后的损失不断上升

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2020-04-02 17:43
  • 访问量:

【概要描述】Cyentia发布《信息风险洞察研究》报告,称预计四分之一的财富1000强企业12个月内因遭受网络安全事件损失超过1亿美元以上的概率为6%。可能性损失强度之高不容忽视,赶快点击查看吧!

千万损失?不容忽视 | 大型企业发生网络安全事件后的损失不断上升

【概要描述】Cyentia发布《信息风险洞察研究》报告,称预计四分之一的财富1000强企业12个月内因遭受网络安全事件损失超过1亿美元以上的概率为6%。可能性损失强度之高不容忽视,赶快点击查看吧!

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2020-04-02 17:43
  • 访问量:
详情

  编者按:近日,Cyentia研究所发布其最新《信息风险洞察研究》报告,称未来《财富》1000强企业将面临重大网络安全事件,并且成本将会增加。预计有四分之一的财富1000强企业将遭受网络安全事件并造成损失,并且财富1000强企业在12个月内因遭受网络安全事件损失超过1亿美元以上的概率为6%。 在网络安全事件造成的损失中,10%的事件将超过2000万美元,其中信息服务和零售行业受影响最大。同时,该报告使用了一种新型更准确的计算方法来评估网络安全事件的损失。泄露1000条记录的网络安全事件有6%的概率损失超过1000万美元。相比之下,大规模泄露10亿条记录的事件有超过50%的概率会导致损失超过1000万美元。对于关键基础设施领域企业来说,应从应急响应角度高度重视该问题,评估安全事件造成的可能损失,并应与企业风险承受能力保持一致。同时,风险管理者可利用该数据对风险策略做出更好的决策。

  网络安全研究和数据科学公司Cyentia研究所3月18日发布其《2020年信息风险洞察研究》报告。研究发现,2021年 将有四分之一的《财富》 1000强公司会发生网络安全事件,而中小企业通常发生网络安全事件后会损失其年收入的25%。该报告消除了围绕网络风险的恐惧、不确定性和疑问的迷雾,旨在帮助管理人员找到更好的数据驱动决策方式。这项开创性的研究利用了Advisen的海量数据库,涵盖了过去十年中成千上万的公开网络安全事件数据。Cyentia对数据库的广泛分析提供了有关网络安全事件对各种类型和规模的组织的频率和财务影响的宝贵见解。

  Cyentia的高级数据科学家兼该报告首席分析师David Severski表示:“ 该报告改变了企业风险管理者的局面。借助数据驱动的网络安全事件频率和成本估算,公司将能够在对他们最重要的问题上做出更好的决策。”

  Cyentia的数据科学家团队通过使用Advisen的行业领先的可公开发现的网络安全事件数据,Cyentia能够为风险管理人员提供行业特定的预估,包括网络安全事件的发生频率以及网络安全事件可能造成的损失规模。该报告的读者可以根据其行业、公司规模或合作伙伴的特征来找到预估数据。有了这些预测数据,风险管理者可以对投资和风险策略做出更好的决策,从而提高业务投入的回报。

  Advisen的网络安全事件数据包括90000多个可靠且可公开验证的网络安全事件数据,包含以下类型的网络风险数据:网络勒索、数据意外泄漏、数据物理丢失或被盗、数据恶意破坏、未经授权的数据收集、未经授权的联系或披露、欺诈性账户访问、工业控制与运营、网络中断、网络钓鱼、诈骗、社会工程、物理篡改、配置错误、处理错误。

  根据Cyentia最新的《信息风险洞察研究》报告,预计有四分之一的财富1000强企业将遭受与网络安全相关的损失事件,而财富1000强企业(F1000)在12个月内因遭受网络安全事件损失超过1亿美元以上的可能性为6%。在网络安全事件的成本中,10%的事件损失将超过2,000万美元,其中信息服务和零售行业受影响最大,损失异常高于其他行业10倍。

  主要发现

  60%:在过去十年中,有超过60%的《财富》 1000强企业至少发生过一次公共网络安全事件。每年,该报告估计《财富》 1000强企业中有四分之一将遭受网络损失事件。对于《财富》 250强企业,该比例接近50%。

  2%:对于非大型企业,遭受网络安全事件的可能性大大降低。中小型企业(SMB)的发生网络安全事件的概率低于2%,并且在一年之内遭受多次网络安全事件的可能性较小。

  30X:遭受网络安全事件的可能性也因行业而异,相差30倍。政府机构、行政和信息服务、金融和管理公司遭受网络事件的概率最高。建筑、农业、采矿业遭受网络事件的概率较低。

  $1.7T:该报告还驳斥了其他估算网络安全事件成本的方法。传统的使用每条记录的固定成本来估算网络安全事件损失的方法是不准确的。与实际记录的价值相比,该方法高估了1.7万亿美元的损失。在该研究报告中使用了一种更准确的网络安全事件成本计算方法。

  50%:该报告使用涉及记录的数量来评估网络安全事件造成的损失,但是该方法是概率性的,不是确定性的。泄露1,000条记录的事件有6%的概率损失超过1000万美元。相比之下,大规模泄露10亿条记录的事件有超过50%的概率会导致损失超过1000万美元。

  $20M:遭受网络安全事件的财务损失通常约为20万美元,但有10%的概率遭受网络安全事件会导致损失超过2000万美元。财富250强企业中极端事件的成本(第95百分位数)超过1亿美元。

  10X:典型网络安全事件造成的损失和极端网络安全事件造成的损失在不同行业之间存在很大差异。信息服务业和零售业的损失异常高出其他行业10倍。

  25%:网络安全事件显示出残酷的规模经济。如一家大型企业的年收入为1000亿美元,遭受了典型网络安全事件损失29.2万美元,约占其年收入的0.000003%。然而,一家年收入10万美元的夫妻店遭受2.4万美元的损失就占其年收入的四分之一。

  6%:根据这些频率和损失估计,该报告预估,由于网络安全事件,《财富》 1000强公司在12个月内因网络事件损失超过1亿美元的可能性为6%。

  此外,该报告从多个方面分析了组织风险因素,包括《财富》 1000强排名、行业部门和年收入。下图比较了《财富》 1000强企业和中小型企业(收入低于1亿美元)SMB在一年内遭受一次或多次网络安全事件的可能性。大约有四分之一的F1000企业在一年内会遭受至少一次网络安全事件,并且有3%的概率遭受10次或更多的损失。每1000个中小型企业中就有1个可能遭受网络安全事件,并且在一年中,每10万个小型企业中就有1个企业在一年内遭受了10次网络安全事件。而且中小型企业的数量是很多的。

 

 1frequency_f1000_smb-1-pdf

  下图评估了网络安全事件对F1000和SMB的财务影响。每个点代表数据集中的真实历史事件相关的损失。灰色线条表示典型网络安全事件的预期成本,红色条表示极端事件(第95百分位数)造成的经济损失。对F1000和SMB来说,极端事件造成的损失比典型事件大100倍。看上去F1000的损失比SMB高出10倍,但从收入的角度来看,攻击事件对中小型企业造成的伤害更大。

 

2loss_f1000_smb

  新型网络安全事件成本计算方法

  Cyentia的合伙人和联合创始人Wade Baker 在接受采访时表示,根据10年来的数据调查和事件报告频率,大型组织更有可能发生可公开报告的事件。Baker 补充表示,《财富》 1000强企业是一个更大的目标,也有一个更大的攻击目标领域,而事件更可能成为头条新闻。Baker 还承认,并非每个事件都是“黑天鹅”,并且该研究还考虑了一些小事件,就比如像违反了电话隐私法并拨打了一个不该打的电话。

  该报告还驳斥了其他估算网络安全事件成本的方法。传统的使用每条记录的固定成本来估算网络安全事件损失的方法比与实际记录的价值高估了1.7万亿美元。Baker表示,典型的估算事件成本的方法已经使用了很长时间,并且运行良好,然而对每条记录损失150美元的典型估算并不准确,而且经常是严重不准确。 该报告使用了一种更准确的网络风险评估方法,使用涉及记录的数量来评估网络安全事件造成的损失,但是该方法是概率性的,不是确定性的。该报告推荐使用了统计方法制成的下表来快速预测网络安全事件的成本。

 

 3Photo_0401_1a

  该表的使用方法如下:先选择第一列网络安全事泄露的记录数,再看该行中每列所示损失金额的概率。例如,网络安全事件涉及10万条记录有96%的概率至少要损失1万美元,只有2.7%的概率损失超过1亿美元。泄露1,000条记录的事件有5.9%的概率损失超过1000万美元。相比之下,大规模泄露10亿条记录的事件有超过54.5%的概率会导致损失超过1000万美元。该方法不像乘以150美元那么简单,但是这种方法要准确得多,这将大大有助于更好地进行风险评估。

  Baker 解释表示,一次典型事件可能会导致公司损失收入的四分之一。在某些情况下,大型企业可以承担得起这些网络事件造成的损失,然而对于小型企业来说,网络事件的损失虽然较低,但是对小型企业的影响可能更大。Baker 表示:“我们希望带来另外一种计算网络安全事件成本的方法。” Baker还表示,知道真实的网络安全事件成本对企业来说是很重要的,这样才能更好的进行规划。如果企业真的遭受了网络安全事件,企业会知道网络安全事件的损失是多少。

  Baker 表示:“并非每一次网络安全事件都会使业务终止,但在财务报告表中却是一个重大事件。有些公司为了企业继续运营下去会支付费用,因此对成本和预算进行更准确的评估非常重要,这样才能与企业的风险承受能力保持一致。”

  统计数据显示,中小企业遭受网络安全事件的概率低于2%,并且一年内遭受10次或更多事件的可能性较小。但是,Baker 承认,世界上中小型企业的数量超过了《财富》 1000强企业的数量多得多,因此,2%的中小企业实际上有很多公司。

  关于Cyentia

  Cyentia Institute是一家研究与数据科学公司,其使命是增进网络安全行业的知识,通过与供应商和其他组织合作发布一系列高质量的数据驱动内容来实现这一目标。该团队利用多年的经验来促进网络安全知识和实践。作为值得信赖的行业领导者,多年来致力于提高研究和可用信息的质量。该研究机构对研究方法学、强大的数据分析和沟通技巧以及丰富的网络安全领域专业知识有着深刻的了解。

 

  参考资源:

  【1】https://www.cyentia.com/iris/

  【2】https://www.cyentia.com/wp-content/uploads/IRIS2020_cyentia.pdf

  【3】https://www.infosecurity-magazine.com/news/cyber-event-costs-worse/

关键词:

相关文件

暂时没有内容信息显示
请先在网站后台添加数据记录。
天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号