数据泄露给大公司造成了多少损失?令人震惊的是。
在过去的两年里,从索尼到塔吉特到国歌的财富500强公司经历了重大的数据泄露。高管们失业了,数千万消费者的信用卡和其他个人数据遭到泄露,企业疯狂地试图控制损失。就在上周,Target同意支付1000万美元,以解决与大规模2013数据泄露有关的集体诉讼。
但是,对于所有恐慌的头条新闻,董事会的焦虑以及普遍的网络安全厄运和悲观情绪,一个重要的问题 (如果违反直觉的话) 似乎被忽略了: 黑客真正让大公司付出多少代价?
如果你深入研究一些世界上最臭名昭著、披露的数据泄露事件打击的公司的财务业绩结果,一个令人不安的事实会让你震惊: 它们似乎并没有花那么多钱。
这是哥伦比亚大学国际与公共事务学院研究员本杰明·迪恩 (Benjamin Dean) 的一项分析得出的惊人结论。迪恩也有会计背景,在索尼、家得宝和塔吉特最近被广为人知的安全漏洞之后,他为索尼、家得宝和塔吉特调查了超过10万份文件。迪恩密切关注这些公司季度财务报告中与违规相关的费用,发现这些公司报告的实际费用不到每家公司年收入的1%。
迪安在他的帖子最初出现的对话中写道: “在保险报销和扣除税款后,损失就更少了。”
仔细看看索尼。
索尼的2014年11月黑客行为导致未发行的电影,令人尴尬的内部电子邮件以及47,000名名人和员工的个人数据 (包括社会安全号码) 的披露。(这对公司造成了极大的创伤和破坏,以至于推迟了其10-k申请。)
尽管如此,索尼估计,到目前为止,“在调查和补救成本中”,其违规行为的财务影响仅为1500万美元。这几乎不是雷达上的一个亮点。
“为了给这些损失提供一定的规模,” 迪恩写道,“它们占索尼2014年预计总销售额的0.9% 至2%,是最初估计的一小部分。”
Dean指出,索尼预计整个财年将花费3500万美元 “恢复财务和it系统”。该公司预测,进一步注销了违规行为的金钱后果: “索尼认为,网络攻击对其截至2015年3月31日财年的综合业绩的影响不会太大。”翻译: .
这些数字可能不足以证明索尼影业的前信息安全执行董事。在2007年,他告诉cio杂志,““ 接受风险是一个有效的商业决定 ”,证券公…司不会投资1000万美元来避免可能的100万美元损失。但是Dean的分析确实令人震惊地接近使最小的努力立场成为可辩护的立场。
家得宝 (Home Depot) 的黑客攻击也几乎没有造成影响。
去年的家得宝 (Home Depot) 黑客入侵导致骗子将大约5000万个客户的信用卡号和电子邮件地址收入囊中,但是家得宝 (Home Depot) 最新收入报告中的相关信息显示,其影响可以忽略不计:
在2014财年第三季度,公司记录了与数据泄露相关的税前费用4300万美元,部分被公司认为可偿还且可能在其保险范围内收回的费用的1500万美元应收账款所抵消,税前净费用为2800万美元。
迪恩指出,当你计算时,2800万美元 “占家得宝2014销售额的不到0.01%”。
目标呢?
Target对2013年的黑客攻击导致4000万张支付卡和7000万其他记录被盗,包括客户的电子邮件地址和电话号码。安全漏洞被认为是如此严重,以至于该组织不得不辞职。
然而,Target在其最新文件中详细列出了其违规行为的通行费:
公司在2014年第四季度发生了400万美元的违约相关费用,全年净费用为1.45亿美元,这反映了1.91亿美元的总费用,部分被确认为4600万美元的应收保险所抵消。与数据泄露相关的第四季度和全年2013净费用为1700万美元,反映了6100万美元的总费用,部分被确认的4400万美元的应收保险所抵消。
总而言之,Target的总支出总计为2.52亿美元,保险补偿将其降至1.62亿美元,进一步的税收减免最终产生1.05亿美元。虽然比家得宝 (Home Depot) 或索尼 (Sony) 的支出要大,但最终的金额并没有那么大。
“这相当于0.1% 个2014年的销售额,” 迪恩指出。
“对公司本身来说,这似乎是一个四舍五入的错误,” 他告诉来自澳大利亚的电话。“与他们的年收入相比,这当然不是一个巨大的损失。”
投资还是不投资证券。
可以肯定的是,这种分析引起了批评。英特尔信息安全策略师Matthew Rosenquist认为,Dean的分析存在几个问题。首先,他指出,迪恩使用收入而不是利润作为关键指标。他在公司博客上写道: “如果一次攻击消耗了你很大一部分利润,或者更糟,把你从绿色推到账本的红色面,这对管理层来说可能会有很大的不同。”
罗森奎斯特还强调了违约的隐性成本: 保险费上涨,对第三方的损害,客户的商誉和信任下降。他写道,最重要的是,在安全方面不进行投资在战略上是近视的; 如果没有确保稳定性,企业也可能会自杀。
迪恩承认,随着时间的推移,消费者的信仰可能会受到侵蚀,但他说,就目前而言,“就声誉损害而言,你看不到对底线的损失和影响。”
实际上,罗森奎斯特和迪恩的结论并没有太大不同。“无论我们如何衡量它,或者我们向前看还是向后看,我们都同意公司需要在信息安全方面进行投资的中心点,” Dean toldFortune通过电子邮件回应Rosenquist的批评。
事实证明,迪恩不是故意的,数字上的障碍的辩护者。他说,他认为公司网络需要支持-即使数据泄露不会损害公司的底线。此外,他认为支持公司网络的动机需要支持。在公司对这些违规行为承担更多责任之前-不是在手腕上拍了1000万美元-而是在他还不确定的情况下,公司不会在信息安全方面进行大量投资。
那么,安全值得投资吗?这是Dean的看法:
我们需要回到确凿的证据上。与某些情况下的投机相比,核实的损失和影响是什么?这并不完全是散布恐惧。我们需要把我们的分析作为一个问题的基础。一旦我们确定了问题有多大,我们就可以确定该怎么做,并进行公开和明智的讨论。现在这还没有发生。我没有看到用来支持索赔的确凿证据。如果正在进行讨论,则不会公开。
考虑对话开始了。