评估网络攻击的真正成本，你绝对想不到！

每年都有各种各样的研究，试图计算网络攻击和数据泄露的财务成本。问题在于，这些研究通常不够全面，只给事件的某一部分定了个金额，比如说，被盗记录条数或受影响人数。

这就可能会造成误导，让人低估数据泄露的真正成本：云原生网络检测与响应公司ExtraHop最近的研究表明，网络攻击的成本往往比报道的要高得多。

受攻击的持续影响，发生安全事件之后，上市公司会经历长时间的财务表现低潮期。当股价持续走低，再考虑进连续几个季度的亏损，事件的真正财务成本很容易达到数亿美元，有时候甚至高达数十亿美元。

显然，不是每家受害者都是上市公司，攻击者也会盯上其他类型的企业，但可以说，遭遇事件的非上市/私营企业也会受到一定的影响——如果他们同样向客户或公众披露攻击事实的话（不过，就经验而谈，相当比例的此类企业会尽量避免披露；遭攻击的消息被滤掉的程度会左右收入影响的大小）。

无论如何，攻击受害者知道自己将付出代价，唯一的问题就是价码几何。

网络保险可以用来抵付这些成本，但很大程度上取决于保单和保险范围。ExtraHop审查了影响上市公司的事件，结果显示，三分之一的公司其保单承保了大部分或全部成本。其他投保人收回了总成本的一部分，从五分之一到十分之一不等。自付成本，比如对未来收益和收入的不利影响，通常是不能索赔的。

数据泄露造成的损失是实实在在的

ExtraHop调研中提到的一起数据泄露事件影响了100多万人，都可以列入澳大利亚信息专员办公室报告中影响第二大的类别了。攻击者能够偷偷获取初始访问权限、升级攻击、盗取敏感数据，完全不被检测到。

这起事件向市场披露时，股东的反应非常快：该公司股价一天之内下跌了21%，一周后跌幅达35%。两个半月后，股价仍处在下跌了22%的位置上。

攻击本身还在其他方面耗费资金。总费用超过10亿美元，相当于每个受害者1000美元。其中仅三分之一用于偿付客户的成本，比如身份证件更换或提供第三方身份盗窃监控。超过3亿美元流向各州和监管机构，还有8000万美元花在了法律费用上。网络保险只覆盖了大约十分之一的费用。

此外，接下来的八个季度里，有七个季度的净收入不是同比下降了两位数就是从净利润变成了净亏损。

这绝非个案：发生数据泄露的企业，其成本影响在事后响应与修复活动之后仍然存在，往往还会延续一年或更长时间。

成本低估的主要影响之一，是会导致网络安全预算和决策与潜在攻击的规模相差甚远。

守护企业网络安全或许是笔重大投资，但投资强大的安全工具远比承受大规模数据泄露的成本要经济得多。只要能够更加了解受害者所遭财务影响的实际规模，当前对网络安全预算的限制，或对批准商业案以加大网络安全投资的抵制，可能就会消弭于无形了。

通过更清晰、更准确地了解数据泄露可能产生的长远财务影响，企业能够获得更好的证据来支持可靠的安全控制投资商业案，有助于在数据泄露变成商业问题之前加以预防和检测。

* 本文为nana编译，原文地址：https://www.cybersecurityconnect.com.au/commercial/9570-op-ed-assessing-the-true-cost-of-a-cyber-attack
注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。