Leslie
2019年10月04日
IBM Security與Ponemon Institute每年皆會對全球資料外洩成本提出年度報告,2019年「資料外洩成本報告(Cost Data Breach Report)」於同年七月提出,對2019年7月至2019年4月全球超過五百家有資料外洩情況的公司進行檢驗。報告指出,資料外洩情況日益嚴重,2019年報告數據較過去五年成長12%,全球平均損失近四億美元,每次損失的資料數量平均為25,575筆,損失最多的國家為美國(美金8.1億元),平均指認數據外洩時間為279天,損失金額最高的產業為健康照護。以下為本報告研究方式與研究成果簡要重點:
一、研究方法
本篇報告收集507個組織、訪問3,211位熟悉組織資料外洩議題的專業人員,訪題包括資料外洩原因、方式、如何偵測並調查外洩、事後補救(系統修正、相關法律責任等)。
二、資料外洩損失成本計算方式
該報告採用會計作業成本分析法(activity-based costing,ABC),初步將損失類別分成四大類:
- 偵測與情勢升級:檢驗與調查活動、評估與稽核、危機處理小組、高層溝通成本等。
- 通知成本:向資料擁有者通知外洩情況、與執法單位溝通、外部專家合作等。
- 後期處理:客訴服務、內部溝通、重新製發載具(如信用卡)、法務、產品折扣、裁罰準則更新等。
- 商業損失成本: 資料外洩期間經營損失成本、顧客流失、商譽流失等。
三、重要發現
上述研究發現中,我們可以看到健康照護產業相較於其他,有最高的資料外洩成本(見下圖一 ),研究報告指出其一的原因為,健康照護產業較它產業有嚴格規範,因而違規的成本高;公部門則因為較沒有「顧客流失」後果,因而損失成本最小。本數據需要注意的是,本報告健康照護公司調查對象皆在美國且為私人企業,在美國以外國家,健康照護產業經常歸類為公家部門。
資料來源:IBM Security, Cost of a Data Breach Report 2019, 26 (2019).
四、資料外洩原因
本報告將外洩原因大略分成三類並說明如下:(1)惡意攻擊:過半數(51%)以上資料外洩為此原因;(2)人為疏失:25%;(3)系統故障:24%。近五年惡意攻擊比例如下圖所示:
資料來源:IBM Security, Cost of a Data Breach Report 2019, 33 (2019).
五、資料外洩處理週期
資料外洩事件發生到處理完畢所需時間,本報告稱為「資料外洩生命週期(data breach lifecycle)」,就此部分,報告也指出下列重要發現:
在不同產業別部分,資料外洩生命週期也有顯著的差異(如下圖 ),需時最長的產業是健康照護及公部門,兩者需要近一年的時間才能整排除資料外洩事件;最短時間則是財務金融部門,生命週期為233天。
資料來源:IBM Security, Cost of a Data Breach Report 2019, 54 (2019).
報告數據顯示,處理資料外洩的速度與財務損失成反比,處理速度越快則資料外洩造成的損失越低,然由上述圖表可見,公部門面對資料外洩的成本,在所有產業別中最少、處理天數卻最多,由資料外洩開始到完整排除狀況可達將近一年時間,因而筆者假設上開數據呈現反比率消長的趨勢的前提是,資料處理者會因資料外洩而造成不願或無法負擔的鉅額損失。公部門相較於私人營利單位,因為甚少產生「顧客流失」問題,缺乏積極誘因改善資料外洩防護與處理機制,因而在處理效率上敬陪末座。公部門可運用公權力強制人民繳交個人資料,並存有人民最機敏的完整資訊,面對全球網路惡意攻擊日益猖獗,若審查與制衡機制未透明且不完善,人民個資侵害風險將日益升高。
資料來源
IBM Security, Cost of a Data Breach Report (2019), https://www.ibm.com/downloads/cas/ZBZLY7KL?_ga=2.214614101.374799518.1570089204-1306271313.1570089204&_gac=1.238354740.1570089204.EAIaIQobChMI9dWtsYP-5AIVFaqWCh0ucwmFEAAYASAAEgLxZ_D_BwE (Last visited: December 27, 2019).
作者
中央研究院法律學研究所 Leslie
本研究感謝「AI人工智慧之倫理挑戰與因應策略:一個短期與中長期的研究」計畫支持