数据泄露实际成本：声誉受损、客户流失、罚款、停业

2024-10-31

IBM发布的《2021年数据泄露成本》报告揭示，数据泄露成本从386万美元增至424万美元，为其17年报告发布史上最高平均总成本数额。

英国文化、媒体和体育部（DCMS）最近发布的报告显示，英国大中型企业越来越来难以承受数据泄露不断高企的成本。该报告显示，2021年，英国大中型企业平均损失了1.94万英镑，而2020年时这一数字还只是1.34万。有意思的是，如果考虑大中小各种规模的企业，数据泄露的平均成本骤降至4200英镑。而且，相比2020年的8460英镑还腰斩了。

每年都有很多这样的报告向我们揭示身边正发生什么，数据泄露和网络攻击的成本又增加了多少。这些报告都很有价值，因为能让我们了解到价格、所用方法和组织是怎样应对日益增多的威胁的。但是，我们需要谨慎对待这些报告，因为这些报告没有准确描述，也无法准确描述我们数字世界中正在发生一切，更别说精准统计数据泄露的影响了。这并不是针对研究人员本身的抱怨，而是一种客观观察：计算问题的规模或所造成影响的成本时，我们无法考虑到如此之多的因素。

尽管报道数据泄露的财务影响既必不可少又很有价值，但这种报告过于武断，并没有给出更难以量化的数据泄露的真实成本。当然，把这些统计数据摆上董事会会议桌来合理化网络安全预算还是很不错的，但我们还应该考虑数据泄露那些不太明显的影响，因为数据泄露的成本和对业务的影响远远高于报告数字所呈现的。

声誉损害

数据泄露事件发生后，组织往往必须与顾客、长期客户和雇员就所发生的事情艰难沟通。在了解事件发生经过和计算出财务影响之前，必须精心准备所有电话、电子邮件和新闻稿。每一场沟通都有可能失去一家客户，组织的声誉所受的负面影响不断累积。

当然，这并不意味着组织应该蒙混过关或者尽量避免这些沟通，因为从长远看，这么做显然会让他们陷入更糟糕的境地。只要组织以开放的态度诚实通报所发生的一切，那么大多数（不是全部）客户、供应商和雇员都会给予谅解，尤其是在遭到有组织网络犯罪侵害的情况下。但坚持这么做也很冒险，因为在发现自己是网络攻击真正的受害者时，耐心和慷慨往往是稀缺品。

时间回溯到2013年，美国零售业巨头塔吉特被网络罪犯攻陷，数据泄露影响4100万客户。塔吉特在16天内检测到了泄露，并在发现后20天里公开披露了此事，但很多客户对这家公司的披露耗时非常不满。

这无疑在相当长的一段时间里影响了塔吉特的股价。当然，任何公司的股价都是公司声誉和地位的金融表征。

赔偿和罚款

考虑数据泄露成本时我们最常想到的就是声誉上的影响，但需要考虑的其他因素还有很多。

数据泄露还会引发索赔，甚至制裁和罚款。信息专员办公室（ICO）是英国的监管机构，根据英国《数据保护法案》和欧盟《通用数据保护条例》（GDPR）监管治理和合规事宜。如果发生数据泄露，组织可能必须向ICO做出解释，等待ICO的后续动作。无论采取何种形式的制裁，律师都会介入，数据泄露的财务影响会再次迅速升级。

发生数据泄露事件之后，有一种影响往往会忘了讨论，这种影响虽然也会造成财务损失，但在初步评估中却不是那么明显。