2024年,医疗行业因Change Healthcare遭遇的一次勒索软件攻击而遭受重创,这次攻击导致全国范围内的医疗服务受到严重影响,并且超过1.9亿人的受保护健康信息被盗。根据Kroll公司的报告,医疗行业成为受攻击最严重的行业,超越了金融行业,占到去年所有数据泄露事件的23%。虽然黑客攻击是2024年最常见的数据泄露原因,但许多网络安全事件是由恶意或疏忽的内部人员造成的,这些事件解决起来成本高昂。
DTEX Systems委托Ponemon研究所进行的一项最新研究旨在确定内部数据泄露的普遍程度、这些事件的财务影响以及组织如何应对内部风险。调查显示,越来越多的组织正在采用内部风险管理计划,拥有该计划的公司比例从2023年的77%增加到了2024年的81%。用于内部风险管理的IT安全预算也在增加,从2023年的8.2%增加到了2024年的16.5%。尽管听到公司越来越重视内部风险管理令人鼓舞,但45%的受访公司表示其内部风险管理计划的资金水平不足。
内部事件的数量在增加,DTEX Systems报告称,从2023年的7,343起事件增加到2024年的7,868起;然而,有越来越多的证据表明,内部风险管理计划正在产生预期的效果。虽然总事件数量逐年增加,但事件频率有所下降。2023年,71%的受访公司表示每年经历了超过21起事件,而在2024年,只有57%的公司经历了这一水平的事件。
这是第六次《内部风险成本基准研究》,首次发现平均遏制内部数据泄露的时间有所减少,从2023年的86天减少到2024年的81天,而且遏制速度越快,成本越低。DTEX Systems表示,31天内遏制的事件平均成本为1,060万美元,而超过91天才得以遏制的事件平均成本为1,870万美元。
最常见的动机是经济利益(55%)、便利性(如使用AI或LLMs支持工作任务)(55%)、职业不满(48%)和民族主义(37%),而内部事件的主要原因是错误或疏忽的内部人员,共发生了4,321起事件,平均每家公司发生13.5起。这些事件的平均成本为676,517美元,高于2023年的505,113美元。恶意内部人员事件的成本更高,平均每起事件为715,366美元,高于2023年的701,500美元。2024年,共识别出1,995起此类事件,平均每家公司发生6.3起。然而,最昂贵的风险是被通过凭证盗窃欺骗的内部人员,这些事件的平均成本为779,797美元,高于2023年的679,621美元,至少在2024年识别出1,552起此类事件。最大的成本在美国,公司在处理内部事件上平均花费2,220万美元,其中医疗和制药行业的成本最高,达到2,920万美元。技术和软件行业排名第二,平均成本为2,300万美元。
事后活动成本的上升导致年度内部数据泄露成本从2023年的1,620万美元增加到2024年的1,740万美元,其中遏制和事件响应的成本最高,分别为211,021美元和154,819美元,高于前一年的179,209美元和113,635美元。内部事件最昂贵的后果是中断或停机,占总成本的24%,直接和间接劳动力成本占18%。
内部风险管理计划的主要感知收益包括节省应对数据泄露的时间(63%的受访者)、保护品牌声誉(61%)、降低数据泄露成本(59%的受访者)和避免监管罚款(59%的受访者)。当被问及内部风险管理计划的具体收益时,65%的受访者表示它允许他们在数据泄露链早期识别内部风险,61%的人表示AI帮助他们更好地理解了人类行为,59%的人表示他们能够对令人担忧的员工行为做出适当反应,56%的人表示他们能够将令人担忧的员工行为与组织认为正常的行为进行对比。对内部风险管理计划的评估显示,事件减少(45%)、解决时间缩短(43%)和调查时间缩短(39%)。
(全文结束)
