深度探讨網絡攻擊給企業帶來的商業影響

德勤會計師事務所發現：“隐藏代價”能占到公司總體業務損失的90%，而且極有可能在事發2年後甚至更長時間才會顯現出來。

沒有人會否認網絡攻擊的頻度和強度都在增加，大多數公司都承認自己至少遭到過1起網絡事件。但這些公司真的了解網絡事件對公司的全部影響嗎？畢竟，資料洩露相關的直接損失通常都遠遠不及“隐藏代價”。

事實上，“隐藏代價”能占到公司總體業務損失的90%，而且極有可能在事發後2年甚至更久後才會顯現出來。

這是德勤會計師事務所新近釋出的一項研究報告《表面之下：深度探讨網絡攻擊的商業影響》所揭示的。

德勤标記出了網絡攻擊的14種商業影響，并歸類為“表面之上”(衆所周知的事件損失)，和“表面之下”(隐藏或極少被感覺到的代價)，每一類中都有7種影響。

德勤認為，目前市場太過低估網絡事件的影響，因為公衆都隻關注表面影響，而這恰恰是比重極小的那部分。

高管們通常難以估算潛在影響，部分原因源于他們通常對同侪努力将業務導回正軌的過程中所遭遇的困難和阻力并不知情。缺乏對網絡攻擊的準确視圖，公司也就不能獲悉自己需要了解的風險态勢。

太多的讨論都是圍繞現有的漏洞和技術影響。視線太窄，且隻集中在了資料洩露通知元素和事後防護機制這些需要就位的東西上，而更廣泛的影響則被忽略了。

德勤的分析師着手描繪了對網絡攻擊更寬泛全面的視圖。

他們想到了網絡攻擊的影響被低估了，卻沒想到表面之下的影響被低估了這麼多，而且這些”隐藏”影響一直以來都沒有成為網絡事件的日常讨論對象。

為表現出網絡攻擊方方面面的影響，德勤的研究團隊虛拟了2個案例分析，在5年時間裡為每種因素進行了經濟損失的量化。這14種商業影響具體如下所示：

表面之上(衆所周知)的網絡事件損失

客戶資料洩露通告事後客戶防禦合規(罰款)公關/危機溝通律師費和訴訟網絡安全改進技術調查

表面之下(隐藏或極少被感覺到)的損失

保費增長舉債開銷增加營運中斷客戶關系價值喪失合同流失商标貶值知識産權遺失

上述所有影響中，可能最明顯的就是營運中斷了。

從所受影響的角度出發，每家公司都是不一樣的，但各行業之間卻有共通的關鍵領域。比如，對零售業而言，信用卡資料是最重要的。醫療保健行業，個人身份識别資訊(pin)最重要。而在制造業，知識産權遺失可能會是最緻命的打擊。然而，各家公司遭受的最被低估的嚴重影響，往往是業務中斷。

取決于發生的時機和持續時長，業務中斷可能在各個方面造成嚴重後果，比如财務處罰、收益損失、借貸開支、客戶服務、品牌接受度和未來發展機會等。

最重大的切實影響就是最先被感受到的那個——事件響應的經濟開支。控制和響應攻擊的動作、對資料洩露造成後果的調查、公關、合規處罰、信用監控服務，以及後端加強防禦的費用等等。對中大型企業而言，這些有可能很輕易就累計到數百萬美元了。

除此之外，還有些不易度量的開支，取決于企業所屬行業、企業規模和安全事件性質等不同因素。影響可能包含有企業充分保護資訊的能力的喪失，這種能力的喪失在金融産業引發的客戶反應，會比在批發制造業嚴重得多。

此類損失可能更難以度量，但若投資人、客戶或主要業務合作夥伴對事件深究起來，也是夠企業受的。

rsa首席技術官拉姆贊總結了網絡攻擊最重大的5個影響領域：業務持續性影響、知識産權失竊、客戶和員工資訊等敏感資料遺失、合規影響、信譽損失。

取決于企業自身和所屬具體市場縱向行業，不同的條目會浮現到這個清單頂部。其中一些領域，比如業務持續性影響領域，就相對容易量化。另一方面，其他一些領域，比如信譽損失和知識産權失竊，就更難以賦以一個準确的衡量金額。

影響的開銷

但德勤的分析師們沒有被困難吓住。在報告中，他們建立了兩家代表性公司，遭受網絡攻擊并附上了對所有影響領域的損失價值。

其一是一家醫療保健公司，遭受的是資料洩露事件：其醫療保健分析軟體供應商的一台筆記本電腦被盜，而電腦中存有該醫療保健公司的280萬條個人健康資訊(phi)記錄。基于所有14個影響因素，該事件的全部損失被确定為16.79億美元，細分如下：

表面之上

客戶資料洩露通告 = 6個月，1000萬(總損失占比0.6%)事後客戶防禦 = 3年，2100萬(1.25%)合規(罰款) = 2年間，200萬(0.12%)公關/危機溝通 = 第1年裡，100萬(0.06%)律師費和訴訟 = 5年，1000萬(0.6%)網絡安全改進 = 第1年，1400萬(0.83%)技術調查 = 6周，100萬(0.06%)

表面之下

保費增長 = 3年間，4000萬(2.38%)舉債開銷增加 = 6000萬(3.57%)營運中斷 = 3000萬(1.79%)客戶關系價值喪失 = 3年間，4.3億(25.61%)合同流失 = 3年間，8.3億(49.43%)商标貶值 = 5年間，2.3億(13.7%)知識産權遺失 = 無指派

那麼公司企業應該做些什麼來防止這些潛在的損失呢？有4個方面值得注意。

首先，程式元素——公司戰略、監管、政策、流程、架構，以及有沒有需要修複的總體程式相關的漏洞。

其次，主動安全控制和态勢——防護公司資料、系統、環境和業務的東西有沒有就位。

再次，用于持續了解和監視公司環境的東西——有沒有合适的工具來記錄公司系統内發生的行為，有沒有合适的分析工具對異常行為進行分析。

最後，公司是否有響應準備，是否有彈性——有沒有事件響應預案？有沒有對響應預案進行過測試？執行管理團隊是否知道該向誰溝通這些事情？

本文轉自d1net（轉載）