廣告合規(guī)法務(wù) 企業(yè)合規(guī) 藥企合規(guī) 企業(yè)廉潔合規(guī) 企業(yè)合規(guī)管理 上市公司合規(guī) 企業(yè)合規(guī)管理
網(wǎng)絡(luò)安全事件的財(cái)務(wù)影響由客戶信息的敏感性和檢測(cè)時(shí)間決定。
調(diào)研機(jī)構(gòu)AuditAnalytics回顧了2011年以來(lái)的639起上市公司網(wǎng)絡(luò)安全事件,發(fā)現(xiàn)每起網(wǎng)絡(luò)數(shù)據(jù)泄露事件的平均損失高達(dá)1.16億美元。
Audit Analytics近期發(fā)布的報(bào)告題為《網(wǎng)絡(luò)安全事件披露趨勢(shì)》,報(bào)告發(fā)現(xiàn),2019年網(wǎng)絡(luò)罪犯通常旨在獲取客戶姓名、住址和電子郵件地址(占比分別為48%、29%和28%)。2018年,姓名和信用卡信息是最受網(wǎng)絡(luò)罪犯歡迎的信息類型。2011年至2019年,惡意軟件(34%)是獲取數(shù)據(jù)的常用方法,其次是網(wǎng)絡(luò)釣魚(yú)(25%)、未授權(quán)訪問(wèn)(20%)和錯(cuò)誤配置(12%)。然而,遭遇數(shù)據(jù)泄露的公司中幾乎有一半(43%)選擇隱瞞不報(bào)。
基于Web的多方法攻擊很常見(jiàn)
2018年,英國(guó)航空公司慘遭自歐盟引入《通用數(shù)據(jù)保護(hù)條例》(GDPR)以來(lái)最大型數(shù)據(jù)泄露事件。在那起事件中,網(wǎng)絡(luò)罪犯偷走了客戶名稱、住址、電子郵件地址和詳細(xì)的信用卡信息。檢查和過(guò)濾網(wǎng)站流量的Web應(yīng)用防火墻(WAF)本可以阻止此事件發(fā)生,因?yàn)閃AF的設(shè)計(jì)初衷就是為了檢測(cè)和阻止數(shù)據(jù)盜竊、SQL注入和跨站腳本攻擊等網(wǎng)站入侵常用手法。很明顯,英國(guó)航空公司要么沒(méi)安裝這種防火墻,要么沒(méi)有正確配置。
分布式拒絕服務(wù)(DDoS)攻擊可制造互聯(lián)網(wǎng)流量洪水,突然涌向Web或應(yīng)用服務(wù)器,導(dǎo)致公司在線基礎(chǔ)設(shè)施癱瘓。更令人頭疼的是,發(fā)起DDoS攻擊還相對(duì)容易。因此,網(wǎng)絡(luò)罪犯常利用DDoS攻擊來(lái)掩護(hù)更大規(guī)模、更嚴(yán)重的攻擊。例如,在2015年,英國(guó)零售商Carphone Warehouse旗下網(wǎng)站OneStopPhoneShop.com、e2save.com和Mobiles.co.uk等遭到DDoS攻擊,該公司IT專家的注意力被DDoS攻擊吸引,忽視了同時(shí)發(fā)生的客戶數(shù)據(jù)庫(kù)竊取攻擊,致使該公司240萬(wàn)條客戶記錄被盜。約有9萬(wàn)名客戶的信用卡信息失竊,萬(wàn)幸的是,這些數(shù)據(jù)加了密。
股市余波
缺乏防護(hù)的公司常因放任攻擊發(fā)生而付出代價(jià)。除此之外,Audit Analytics報(bào)告揭示,修復(fù)費(fèi)用和股價(jià)下跌是數(shù)據(jù)泄露事件的另外兩個(gè)重大財(cái)務(wù)影響。
數(shù)據(jù)泄露損失的首要影響因素是被盜信息的價(jià)值。失竊財(cái)務(wù)信息的破壞性眾所周知,沒(méi)什么好奇怪的。但Audit Analytics指出,2016至2019年期間,身份證號(hào)碼也成了網(wǎng)絡(luò)竊賊眼中的香餑餑,身份證號(hào)盜竊在那段期間增加了500%以上。2011年以來(lái),修復(fù)費(fèi)用超過(guò)5000萬(wàn)美元的上市公司數(shù)據(jù)泄露事件中,7起財(cái)務(wù)信息被盜,3起身份證號(hào)碼失竊。受害最嚴(yán)重的幾家是:2013年的塔吉特(2.92億美元),2014年的家得寶(2.98億美元),2017年的Equifax(17億美元)和2018年的萬(wàn)豪(1.14億美元)。
值得注意的是,最大的幾起數(shù)據(jù)泄露事件,比如Facebook為被泄數(shù)據(jù)付出的50億美元,或者Equifax花費(fèi)的近20億美元,很大程度上影響了數(shù)據(jù)泄露的平均損失。另外,雖然Audit Analytics報(bào)告將Equifax的修復(fù)費(fèi)用定在17億美元,但該公司2020年第一季度報(bào)告的修復(fù)支出比這個(gè)數(shù)字更多。
檢測(cè)時(shí)間越長(zhǎng)損失越大
數(shù)據(jù)泄露損失的第二個(gè)決定因素是發(fā)現(xiàn)數(shù)據(jù)泄露的耗時(shí)長(zhǎng)短。Audit Analytics報(bào)告稱,公司企業(yè)平均需耗時(shí)108天才能發(fā)現(xiàn)數(shù)據(jù)泄露,報(bào)告數(shù)據(jù)泄露則還需再加49天。從發(fā)現(xiàn)數(shù)據(jù)泄露到通知監(jiān)管機(jī)構(gòu)的中位間隔是30天。
對(duì)公司企業(yè)而言,從發(fā)現(xiàn)到披露的這段時(shí)間不是小事。引用Audit Analytics研究結(jié)果的一篇學(xué)術(shù)文章指出,發(fā)現(xiàn)數(shù)據(jù)泄露后立即披露的公司股價(jià)下跌0.33%,但拖延一個(gè)月才披露的公司遭遇了0.72%的股價(jià)下跌,降幅幾乎倍增。至于公司企業(yè)未能披露攻擊,而外部人士后來(lái)發(fā)現(xiàn)了此事的情況,股價(jià)跌幅還要更大。這種情況下,公司股價(jià)在攻擊披露3天之后下跌1.47%,一個(gè)月后跌幅為3.56%。
數(shù)據(jù)泄露事件披露的拖延癥之王當(dāng)屬雅虎,雅虎知道俄羅斯黑客早在2013年就滲透了自己的系統(tǒng),但直到2016年被威瑞森收購(gòu)時(shí)才披露這一事件。整個(gè)泄露事件影響超過(guò)30億個(gè)賬戶。因數(shù)據(jù)泄露事件報(bào)告延遲了1,649天,證券交易委員會(huì)最終對(duì)雅虎處以3500萬(wàn)美元的罰款。精品國(guó)際酒店集團(tuán)(Choice HotelsInternational)是另一家報(bào)告超長(zhǎng)延期的公司,數(shù)據(jù)泄露發(fā)生在2015年6月,卻直到2019年才披露。由于編程漏洞,這家連鎖酒店集團(tuán)在線預(yù)訂門(mén)戶的數(shù)據(jù)與第三方共享了8.8萬(wàn)多次。
加強(qiáng)內(nèi)部控制才能抵御復(fù)雜攻擊
說(shuō)句公道話,一些公司聘請(qǐng)第三方調(diào)查員調(diào)查數(shù)據(jù)泄露情況,而這可能會(huì)導(dǎo)致向監(jiān)管機(jī)構(gòu)報(bào)告的延遲。但無(wú)論如何,延遲是有問(wèn)題的。美國(guó)證券交易委員會(huì)(SEC)就網(wǎng)絡(luò)欺詐對(duì)上市公司內(nèi)部控制的影響出過(guò)一份調(diào)查報(bào)告,AuditAnalytics引用此報(bào)告稱:“對(duì)監(jiān)管機(jī)構(gòu)和投資人而言,不能快速發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)泄露是十分令人擔(dān)憂的?!盨EC并未對(duì)其2018年報(bào)告中指出的9個(gè)案例提出實(shí)施建議,但建議公司企業(yè)審核自身與網(wǎng)絡(luò)威脅相關(guān)的內(nèi)部控制。
Audit Analytics報(bào)告總結(jié)道:“沒(méi)能快速發(fā)現(xiàn)的數(shù)據(jù)泄露警示公司內(nèi)部控制上的漏洞,表明控制措施可能不足以及時(shí)檢測(cè)出問(wèn)題?!?/span>
取決于失竊信息的性質(zhì),反復(fù)發(fā)生的數(shù)據(jù)泄露可導(dǎo)致未來(lái)接二連三的額外支出,包括財(cái)務(wù)數(shù)據(jù)被泄的客戶和供應(yīng)商提起的法律訴訟,或者個(gè)人數(shù)據(jù)受影響的員工起訴公司。IT盡職審查至關(guān)重要,因?yàn)檠芯亢徒?jīng)驗(yàn)表明壞人總吃回頭草:Audit Analytics報(bào)告稱,遭遇數(shù)據(jù)泄露的公司企業(yè)中,有26%會(huì)反復(fù)淪為數(shù)據(jù)泄露受害者,比如Facebook、索尼、亞馬遜、Comcast和T-Mobile美國(guó)公司。
注:
《網(wǎng)絡(luò)安全事件披露趨勢(shì)》:http://auditanalytics-trends-in-cybersecurity-breach-disclosures.pagedemo.co/
SEC調(diào)查報(bào)告:https://www.sec.gov/litigation/investreport/34-84429.pdf
? 2019-2021 All rights reserved. 北京轉(zhuǎn)創(chuàng)國(guó)際管理咨詢有限公司 京ICP備19055770號(hào)-1
Beijing TransVenture International Management Consulting Co., Ltd.
地址:梅州市豐順縣留隍鎮(zhèn)新興路881號(hào)
北京市大興區(qū)新源大街25號(hào)院恒大未來(lái)城7號(hào)樓1102室
北京市海淀區(qū)西禪寺(華北項(xiàng)目部)
深圳市南山區(qū)高新科技園南區(qū)R2-B棟4樓12室
深圳市福田區(qū)華能大廈
佛山順德區(qū)北滘工業(yè)大道云創(chuàng)空間
汕頭市龍湖區(qū)泰星路9號(hào)壹品灣三區(qū)
長(zhǎng)沙市芙蓉區(qū)韶山北路139號(hào)文化大廈
站點(diǎn)地圖 網(wǎng)站建設(shè):騰虎網(wǎng)絡(luò)
歡迎來(lái)到本網(wǎng)站,請(qǐng)問(wèn)有什么可以幫您?
稍后再說(shuō) 現(xiàn)在咨詢