資料洩露的實際成本：聲譽受損、客戶流失、罰款、停業

IBM釋出的《2021年資料洩露成本》報告揭示，資料洩露成本從386萬美元增至424萬美元，為其17年報告發布史上最高平均總成本數額。

英國文化、媒體和體育部（DCMS）最近釋出的報告顯示，英國大中型企業越來越來難以承受資料洩露不斷高企的成本。該報告顯示，2021年，英國大中型企業平均損失了1。94萬英鎊，而2020年時這一數字還只是1。34萬。有意思的是，如果考慮大中小各種規模的企業，資料洩露的平均成本驟降至4200英鎊。而且，相比2020年的8460英鎊還腰斬了。

每年都有很多這樣的報告向我們揭示身邊正發生什麼，資料洩露和網路攻擊的成本又增加了多少。這些報告都很有價值，因為能讓我們瞭解到價格、所用方法和組織是怎樣應對日益增多的威脅的。但是，我們需要謹慎對待這些報告，因為這些報告沒有準確描述，也無法準確描述我們數字世界中正在發生一切，更別說精準統計資料洩露的影響了。這並不是針對研究人員本身的抱怨，而是一種客觀觀察：計算問題的規模或所造成影響的成本時，我們無法靠慮到如此之多的因素。

儘管報道資料洩露的財務影響既必不可少又很有價值，但這種報告過於武斷，並沒有給出更難以量化的資料洩露的真實成本。當然，把這些統計資料擺上董事會會議桌來合理化網路安全預算還是很不錯的，但我們還應該考慮資料洩露那些不太明顯的影響，因為資料洩露的成本和對業務的影響遠遠高於報告數字所呈現的。

聲譽損害

資料洩露事件發生後，組織往往必須與顧客、長期客戶和僱員就所發生的事情艱難溝通。在瞭解事件發生經過和計算出財務影響之前，必須精心準備所有電話、電子郵件和新聞稿。每一場溝通都有可能失去一個客戶，組織的聲譽所受的負面影響不斷累積。

當然，這並不意味著組織應該矇混過關或者儘量避免這些溝通，因為從長遠看，這麼做顯然會讓他們陷入更糟糕的境地。只要組織以開放的態度誠實通報所發生的一切，那麼大多數（不是全部）客戶、供應商和僱員都會給予諒解，尤其是在遭到有組織網路犯罪侵害的情況下。但堅持這麼做也很冒險，因為在發現自己是網路攻擊真正的受害者時，耐心和慷慨往往是稀缺品。

時間回溯到2013年，美國零售業巨頭塔吉特被網路罪犯攻陷，資料洩露影響4100萬客戶。塔吉特在16天內檢測到了洩露，並在發現後20天裡公開披露了此事，但很多客戶對這家公司的披露耗時非常不滿。

這無疑在相當長的一段時間裡影響了塔吉特的股價。當然，任何公司的股價都是公司聲譽和地位的金融表徵。

賠償和罰款

考慮資料洩露成本時我們最常想到的就是聲譽上的影響，但需要考慮的其他因素還有很多。

資料洩露還會引發索賠，甚至制裁和罰款。資訊專員辦公室（ICO）是英國的監管機構，根據英國《資料保護法案》和歐盟《通用資料保護條例》（GDPR）監管治理和合規事宜。如果發生資料洩露，組織可能必須向ICO作出解釋，等待ICO的後續動作。無論採取何種形式的制裁，律師都會介入，資料洩露的財務影響會再次迅速升級。

發生資料洩露事件之後，有一種影響往往會忘了討論，這種影響雖然也會造成財務損失，但在初步評估中卻不是那麼明顯。

人員影響

發生資料洩露時，光確定發生了什麼和需要採取哪些行動就有一大堆事情要做。事件響應團隊會採取行動，按計劃果斷行事，以期恢復業務正常執行。

在響應和恢復過程中，相關人員面臨著全力確保儘快恢復的壓力。假期被取消，育兒和照顧親屬的個人義務被忽視，當前要務就是維持或恢復業務正常運營。

因此，恢復團隊成員承受的壓力是巨大的，而在考慮誰應該加入恢復團隊時，這種壓力又常常遭到忽視。大多數主管和經理都需要能夠在壓力下保持冷靜。不過，資料洩露或網路事件並不是大多數人需要面對的日常（謝天謝地）。因此，人們對安全事件的反應天差地別，但無論如何反應，終歸逃不脫最初都是人類會有的反應。

別對人性抱有太高的幻想，資料洩露發生時，團隊的第一反應會是：“這對我有什麼影響？我得擔責嗎？”或許這種想法轉瞬即逝，但肯定會出現。於是，壓力和焦慮開始出現，因為這個人會在個人責任和崗位職責之間掙扎。

難怪最近的研究顯示，24%的財富500強企業首席資訊保安官（CISO）履職時間僅一年，而平均任期為26個月。那麼，IT團隊成員的情況又如何呢？相應團隊中的其他人又是何種情況？事件發生後他們會待多久呢？

當然，壓力和焦慮會導致心理健康問題，而如果我們回到資產負債表，生產力問題會導致更多的經濟損失。

結語

計算資料洩露的成本確實可以歸結為我們可以往電子表格中填入什麼，但我們不應該僅僅看到資料洩露表面的財務影響。如果想要深入瞭解真實成本，我們就得考慮資料洩露事件的方方面面。這意味著要考慮對我們聲譽的影響、損失的機會成本、對生產力的影響、增加的運營成本、賠償和罰款，以及對我們人員的影響。

對人員的影響往往是最難以計算的，因為沒有明確的指徵表明何時會感受到這種影響；團隊成員可能會在業務開始恢復的那一刻開始尋找另一份工作，並且可能永遠不會提到那次事件是離職的催化劑。

財務成本可能僅僅是電子表格中細細的一行，但資料洩露的實際成本遠不止如此，還有對內部和外部利益相關者的信任侵蝕。