数据泄露事故成本比较
如果说,未来将有更多数据泄露诉讼还不足以说明问题,企业数据泄露事故本身正变得越来越普遍。当企业疏于保护客户的个人数据,这会让网络罪犯有机可趁。但专家表示,对大型企业的有针对性攻击更难以检测和防御。
“攻击者使用的技术越来越复杂,这种威胁在不断发展,”Nelson称,“例如,在我们的《互联网安全威胁报告》中,零日漏洞正处于历史高位。只要攻击者成功入侵网络,他们就可在较长时间内不被发现,这意味着他们可做更多的破坏。”
此外,数据泄露诉讼成本可能非常高昂,因为泄露的数据越敏感,和解的费用就越高。在一些情况中,和解费用具体数目都没有公开。例如,在2013年Adobe数据泄露事故中,3800万客户用户名、电子邮件地址、加密的密码和加密的信用卡号码被盗,最后在今年夏天以未知金额在庭外和解。Adobe支付120万美元法律费用作为和解的一部分,但实际支付给客户的数额不详。
其他和解则是公开的,通过观察最近和解的数据泄露诉讼(不同公司规模和行业),泄露的信息类型以及和解数量之间似乎存在相关性。例如,在2012年的LinkedIn数据泄露事故中,650万用户加密密码被盗—随后被黑客破解,这导致该社交网络公司支付125万美元和解费用,这些钱完全分配给80万LinkedIn高级订阅用户。
与此同时,在46万个人信息被盗后,健康保险提供商AvMed公司花费300万美元解决了这个数据泄露集体诉讼案。尽管受影响客户只有LinkedIn的一半,但AvMed支付的和解费用是其两倍,为什么呢?AvMed被盗的数据包括敏感的PII,例如客户的姓名、地址、社会安全号码和医疗信息。
Nelson表示,“被盗数据的价值和和解费用之间存在必然的关联。”
有些数据泄露事故集体诉讼是由客户提出,而还有些则是由银行、信用卡公司和联邦政府提出,下面让我们看看最近的数据泄露和解:
· LinkedIn公司数据泄露事故影响600万用户,其用户名和密码都被泄露。125万美元的和解资金只适用于80万拥有高档订阅的用户。
· 在AvMed数据泄露事故中,超过100万的社会安全号码和医疗记录被泄露,该公司花费310万美元来和解。
· 2013年的Target数据泄露事故影响超过1亿用户,其信用卡号码、姓名、地址、电子邮件地址和电话号码被盗。该零售巨头为客户集体诉讼和解支付1000万美元。
· 在与信用卡公司MasterCard和Visa的两起相关诉讼中,Target公司分别以3900万美元和6700万美元完成和解。该和解协议涵盖对受影响信用卡和借记卡银行和其他金融服务公司的欺诈性收费成本。
· 在这个月,Wyndham酒店及度假村同意为三起数据泄露事故与美国联邦贸易委员会达成和解,据报道,这些泄露事故泄露了客户的信用卡号码。除了支付和解费用,该酒店同意在未来20年都进行年度IT安全审计,包括对PCI DSS合规的审计。
· 在2011年数据泄露事故中2万病人的医疗记录被泄露后,斯坦福大学医院及诊所以410万美元达成庭外和解。
· 2011年索尼PlayStation网络数据泄露事故影响7700万用户,并且泄露了客户姓名和地址、登录凭证及加密的信用卡号码。索尼以1500万美元和解,但该公司否认有任何不当行为。
· 在2014年年底,索尼影视娱乐公司遭受重大数据泄露事故,其中泄露了敏感员工信息,例如PII、工资、犯罪背景调查、绩效评估和内部通信。该工作室最近还以800万美元解决了前雇员提出的诉讼。
· 在线购票供应商Vendini在2013年数据泄露中,信用卡信息、电子邮件地址、电话号码和未公开数量客户的PII遭遇泄露,该公司去年以300万美元完成庭外和解。
· 在2012年年底,连锁超市Schnuck Markets遭遇泄露事故,其中240万客户信用卡信息被泄露,该公司同意以210万美元达成和解。
还有悬而未决的诉讼包括Home Depot、Neiman Marcus、Excellus BlueCross BlueShield、Communicaty Health Systems公司以及美国人事管理局的泄露事故案。最近,拥有婚外情网站Ashley Madison的Avid Life Media公司在去年Ashley Madison臭名昭著的数据泄露事故后,面临来自加拿大法律事务所57800万美元集体诉讼。这个案件带来严重的影响,包括未经证实的自杀报道、勒索以及离婚等。鉴于这个诉讼的规模,这可能让Ashley Madison面临破产。
数据的价格
由于数据泄露现在很普遍,信用卡客户现在已经习惯每年或每两年更换信用卡。信用卡和借记卡号码都有使用期限,因为当这些信息被泄露时,信用卡公司和客户就不需要花时间来替换它们。
“这些信用卡的利用价值会随着时间的推移而下降,而社会安全号码、驾驶证号码或医疗记录的价值则可保持更长的时间,”Chatfiled表示,“这些数据可让攻击者在以后利用,并且,这些数据的准确性并不会随着时间而受到影响。”
尽管在黑市个人身份信息的价格并没有继续上涨,但根据趋势科技2015年的报告显示,PII的平均价格已经从2014年的4美元下降到每行1美元,每行都包含名字、详细地址、出生日期、社会安全号码和其他信息。
这很可能是由于近年来不断增加的数据泄露事故,PII供过于求,更多的数据泄露事故意味着更多的可用数据,这不可避免地会压低价格。
趋势科技公司威胁通信经理Christopher Budd指出,随着对PII的需求降低,黑客会想要更便利、侵入型和有价值的数据。在过去几年中,我们看到的“Target”类型的数据泄露事故将会减少,网络罪犯将会转移到新形势的数据,例如与IoT设备相关的信息,因为这些数据不太安全。
现在不只是企业面临风险,消费者设备IoT的市场正在逐渐发展壮大,消费者同样面临风险。“IoT肯定是隐私数据泄露事故的下一个前线,”Chatfiled称,“如果我们在2018年谈同样的话题,这仍是热门话题,我并不会感到很惊讶。”
IoT引入了数据流、新设备和流量,这些都与家庭个人设备互联,例如灯、安全摄像头、自动调温器、婴儿监视器、门锁、空气质量监控器、活动水平等。不幸的是,由于人们太关注这些漂亮的新玩意,他们并没有考虑安全性。IoT正在以指数速度增长,而安全标准却没有同步发展。
“大家都在急于开发新技术,”Nelson表示,“但有时,安全并没有跟上这种技术发展速度。”
现在,包含某种个人信息的任何事物都有其价值。趋势科技的报告列出了黑市的数据及其价格,例如美国手机账号价格高达14美元,PayPal、eBay、Facebook、FedEx、Netflix和亚马逊被盗的账号可在黑市中购买。PayPal和eBay中成熟的账户售价高达300美元,这意味着它有多年的交易历史记录,而且不太可能被标记为可疑交易。银行账户的登录凭证更加昂贵,在200到500美元之间。信贷报告也可以25美元购买,扫描文件(例如护照和驾驶执照)价格在10到35美元之间。
Chatfiled承认黑市对PII需求降低,并表示对知识产权信息的需求日益增加,“特别是在中国和俄罗斯,来自世界各地的知识产权正成为比信用卡号码更重要的目标。”
除了诉讼和解,数据泄露事故的成本很高昂。这还包括律师费、员工加班费、安装新安全软件、媒体控制、品牌价值损失、网络安全保险费和收入损失。随着每年数据泄露事故诉讼数量的增加,在某个时候,诉讼可能会进入法庭审判,并可能危机企业的未来。即使对于在网络安全投入巨资的公司,都很难满足安全要求、合规措施以及不断变化的威胁。并且,对于这些移动的目标,企业很难(如果不是不可能)确保他们不会面对数据泄露带来的法律行动。
原文发布时间为:2016-03-04
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。