編者按：近日，Cyentia研究所發布其最新《信息風險洞察研究》報告，稱未來《財富》1000強企業將面臨重大網絡安全事件，并且成本將會增加。預計有四分之一的財富1000強企業將遭受網絡安全事件并造成損失，并且財富1000強企業在12個月內因遭受網絡安全事件損失超過1億美元以上的概率為6%。 在網絡安全事件造成的損失中，10%的事件將超過2000萬美元，其中信息服務和零售行業受影響最大。同時，該報告使用了一種新型更準確的計算方法來評估網絡安全事件的損失。泄露1000條記錄的網絡安全事件有6%的概率損失超過1000萬美元。相比之下，大規模泄露10億條記錄的事件有超過50%的概率會導致損失超過1000萬美元。對于關鍵基礎設施領域企業來說，應從應急響應角度高度重視該問題，評估安全事件造成的可能損失，并應與企業風險承受能力保持一致。同時，風險管理者可利用該數據對風險策略做出更好的決策。

　　網絡安全研究和數據科學公司Cyentia研究所3月18日發布其《2020年信息風險洞察研究》報告。研究發現，2021年 將有四分之一的《財富》 1000強公司會發生網絡安全事件，而中小企業通常發生網絡安全事件后會損失其年收入的25%。該報告消除了圍繞網絡風險的恐懼、不確定性和疑問的迷霧，旨在幫助管理人員找到更好的數據驅動決策方式。這項開創性的研究利用了Advisen的海量數據庫，涵蓋了過去十年中成千上萬的公開網絡安全事件數據。Cyentia對數據庫的廣泛分析提供了有關網絡安全事件對各種類型和規模的組織的頻率和財務影響的寶貴見解。

　　Cyentia的高級數據科學家兼該報告首席分析師David Severski表示：“ 該報告改變了企業風險管理者的局面。借助數據驅動的網絡安全事件頻率和成本估算，公司將能夠在對他們最重要的問題上做出更好的決策?！?/span>

　　Cyentia的數據科學家團隊通過使用Advisen的行業領先的可公開發現的網絡安全事件數據，Cyentia能夠為風險管理人員提供行業特定的預估，包括網絡安全事件的發生頻率以及網絡安全事件可能造成的損失規模。該報告的讀者可以根據其行業、公司規?；蚝献骰锇榈奶卣鱽碚业筋A估數據。有了這些預測數據，風險管理者可以對投資和風險策略做出更好的決策，從而提高業務投入的回報。

　　Advisen的網絡安全事件數據包括90000多個可靠且可公開驗證的網絡安全事件數據，包含以下類型的網絡風險數據：網絡勒索、數據意外泄漏、數據物理丟失或被盜、數據惡意破壞、未經授權的數據收集、未經授權的聯系或披露、欺詐性賬戶訪問、工業控制與運營、網絡中斷、網絡釣魚、詐騙、社會工程、物理篡改、配置錯誤、處理錯誤。

　　根據Cyentia最新的《信息風險洞察研究》報告，預計有四分之一的財富1000強企業將遭受與網絡安全相關的損失事件，而財富1000強企業(F1000)在12個月內因遭受網絡安全事件損失超過1億美元以上的可能性為6%。在網絡安全事件的成本中，10%的事件損失將超過2,000萬美元，其中信息服務和零售行業受影響最大，損失異常高于其他行業10倍。

　　主要發現

　　60%：在過去十年中，有超過60%的《財富》 1000強企業至少發生過一次公共網絡安全事件。每年，該報告估計《財富》 1000強企業中有四分之一將遭受網絡損失事件。對于《財富》 250強企業，該比例接近50%。

　　2%：對于非大型企業，遭受網絡安全事件的可能性大大降低。中小型企業(SMB)的發生網絡安全事件的概率低于2%，并且在一年之內遭受多次網絡安全事件的可能性較小。

　　30X：遭受網絡安全事件的可能性也因行業而異，相差30倍。政府機構、行政和信息服務、金融和管理公司遭受網絡事件的概率最高。建筑、農業、采礦業遭受網絡事件的概率較低。

　　$1.7T：該報告還駁斥了其他估算網絡安全事件成本的方法。傳統的使用每條記錄的固定成本來估算網絡安全事件損失的方法是不準確的。與實際記錄的價值相比，該方法高估了1.7萬億美元的損失。在該研究報告中使用了一種更準確的網絡安全事件成本計算方法。

　　50%：該報告使用涉及記錄的數量來評估網絡安全事件造成的損失，但是該方法是概率性的，不是確定性的。泄露1,000條記錄的事件有6%的概率損失超過1000萬美元。相比之下，大規模泄露10億條記錄的事件有超過50%的概率會導致損失超過1000萬美元。

　　$20M：遭受網絡安全事件的財務損失通常約為20萬美元，但有10%的概率遭受網絡安全事件會導致損失超過2000萬美元。財富250強企業中極端事件的成本(第95百分位數)超過1億美元。

　　10X：典型網絡安全事件造成的損失和極端網絡安全事件造成的損失在不同行業之間存在很大差異。信息服務業和零售業的損失異常高出其他行業10倍。

　　25%：網絡安全事件顯示出殘酷的規模經濟。如一家大型企業的年收入為1000億美元，遭受了典型網絡安全事件損失29.2萬美元，約占其年收入的0.000003%。然而，一家年收入10萬美元的夫妻店遭受2.4萬美元的損失就占其年收入的四分之一。

　　6%：根據這些頻率和損失估計，該報告預估，由于網絡安全事件，《財富》 1000強公司在12個月內因網絡事件損失超過1億美元的可能性為6%。

　　此外，該報告從多個方面分析了組織風險因素，包括《財富》 1000強排名、行業部門和年收入。下圖比較了《財富》 1000強企業和中小型企業(收入低于1億美元)SMB在一年內遭受一次或多次網絡安全事件的可能性。大約有四分之一的F1000企業在一年內會遭受至少一次網絡安全事件，并且有3%的概率遭受10次或更多的損失。每1000個中小型企業中就有1個可能遭受網絡安全事件，并且在一年中，每10萬個小型企業中就有1個企業在一年內遭受了10次網絡安全事件。而且中小型企業的數量是很多的。

 

　　下圖評估了網絡安全事件對F1000和SMB的財務影響。每個點代表數據集中的真實歷史事件相關的損失?；疑€條表示典型網絡安全事件的預期成本，紅色條表示極端事件(第95百分位數)造成的經濟損失。對F1000和SMB來說，極端事件造成的損失比典型事件大100倍?？瓷先1000的損失比SMB高出10倍，但從收入的角度來看，攻擊事件對中小型企業造成的傷害更大。

　　新型網絡安全事件成本計算方法

　　Cyentia的合伙人和聯合創始人Wade Baker 在接受采訪時表示，根據10年來的數據調查和事件報告頻率，大型組織更有可能發生可公開報告的事件。Baker 補充表示，《財富》 1000強企業是一個更大的目標，也有一個更大的攻擊目標領域，而事件更可能成為頭條新聞。Baker 還承認，并非每個事件都是“黑天鵝”，并且該研究還考慮了一些小事件，就比如像違反了電話隱私法并撥打了一個不該打的電話。

　　該報告還駁斥了其他估算網絡安全事件成本的方法。傳統的使用每條記錄的固定成本來估算網絡安全事件損失的方法比與實際記錄的價值高估了1.7萬億美元。Baker表示，典型的估算事件成本的方法已經使用了很長時間，并且運行良好，然而對每條記錄損失150美元的典型估算并不準確，而且經常是嚴重不準確。 該報告使用了一種更準確的網絡風險評估方法，使用涉及記錄的數量來評估網絡安全事件造成的損失，但是該方法是概率性的，不是確定性的。該報告推薦使用了統計方法制成的下表來快速預測網絡安全事件的成本。

 

　　該表的使用方法如下：先選擇第一列網絡安全事泄露的記錄數，再看該行中每列所示損失金額的概率。例如，網絡安全事件涉及10萬條記錄有96%的概率至少要損失1萬美元，只有2.7%的概率損失超過1億美元。泄露1,000條記錄的事件有5.9%的概率損失超過1000萬美元。相比之下，大規模泄露10億條記錄的事件有超過54.5%的概率會導致損失超過1000萬美元。該方法不像乘以150美元那么簡單，但是這種方法要準確得多，這將大大有助于更好地進行風險評估。

　　Baker 解釋表示，一次典型事件可能會導致公司損失收入的四分之一。在某些情況下，大型企業可以承擔得起這些網絡事件造成的損失，然而對于小型企業來說，網絡事件的損失雖然較低，但是對小型企業的影響可能更大。Baker 表示：“我們希望帶來另外一種計算網絡安全事件成本的方法?！?Baker還表示，知道真實的網絡安全事件成本對企業來說是很重要的，這樣才能更好的進行規劃。如果企業真的遭受了網絡安全事件，企業會知道網絡安全事件的損失是多少。

　　Baker 表示：“并非每一次網絡安全事件都會使業務終止，但在財務報告表中卻是一個重大事件。有些公司為了企業繼續運營下去會支付費用，因此對成本和預算進行更準確的評估非常重要，這樣才能與企業的風險承受能力保持一致?！?/span>

　　統計數據顯示，中小企業遭受網絡安全事件的概率低于2%，并且一年內遭受10次或更多事件的可能性較小。但是，Baker 承認，世界上中小型企業的數量超過了《財富》 1000強企業的數量多得多，因此，2%的中小企業實際上有很多公司。

　　關于Cyentia

　　Cyentia Institute是一家研究與數據科學公司，其使命是增進網絡安全行業的知識，通過與供應商和其他組織合作發布一系列高質量的數據驅動內容來實現這一目標。該團隊利用多年的經驗來促進網絡安全知識和實踐。作為值得信賴的行業領導者，多年來致力于提高研究和可用信息的質量。該研究機構對研究方法學、強大的數據分析和溝通技巧以及豐富的網絡安全領域專業知識有著深刻的了解。

　　參考資源：

　　【1】https://www.cyentia.com/iris/

　　【2】https://www.cyentia.com/wp-content/uploads/IRIS2020_cyentia.pdf

　　【3】https://www.infosecurity-magazine.com/news/cyber-event-costs-worse/