根據惠普(HP)委託研究機構Ponemon所做的2013年網路犯罪成本研究報告(2013 Cost of Cyber Crime Study)指出,企業於2013年花費於網路犯罪的平均成本為1,156萬美元,比起2012年增加了26%,而企業解決網路攻擊的平均時間從2012年的24天增加至32天。
在去年(2012)的報告中,Ponemon曾預測,有鑒於相關安全技術的提升,未來幾年的網路犯罪成本應該會持平,不過2013年的報告證實了Ponemon的預測沒有成真。Ponemon在2013年的報告中同時修正了此預測,指出由於網路攻擊的複雜性不斷提升,因此短期內成本不會下降,而會繼續再成長一段時間。
Ponemon分析,整體來說,有越來越多的隱匿式攻擊出現,且攻擊次數更頻繁、複雜度更高,因而導致成本上升。以攻擊數量來說,平均每周的攻擊次數從102件增加至122件。另一方面,Ponemon表示,成本的上揚也反映了企業採取更多措施處理攻擊,以及花費更多的成本在蒐證分析上。
值得注意的是,網路攻擊的複雜性不僅增加了成本,也延長了處理時間。企業處理網路攻擊的平均時間從2012年的24天增加至32天。Ponemon表示,高度複雜的滲透式與目標式攻擊,讓企業需要花更多的時間回復,另一方面,企業為了符合相關法規,也必須採取更多處理步驟。
此外,報告也指出,企業透過安全智慧(security intelligence)解決方案,如安全訊息和事件管理(SIEM)、網路智慧系統,以及巨量資料(big data)分析,可以協助企業減輕網路攻擊帶來的影響,並有助於降低成本。
該報告的重要發現整理如下:
1.每一個組織花費在網路犯罪的年平均成本為1,156萬美元(範圍從130萬美元到5,800萬美元之間),比起2012年的890億美元增加了26%,相較於四年前更提升了78%。
2.解決網路攻擊的平均時間從2012年的24天增加至32天,在解決問題期間所耗費的成本,從約59.2萬元增加至103.6萬元,相當於問題處理期間每天花費的成本提升了55%。
3.平均每周的網路攻擊次數,從2012年的102次增加到122次。
4.在組織類別上,國防、金融服務、能源與公用事業組織所耗費的成本最高。
5.規模較小的組織,其每人平均網路攻擊成本比規模較大的組織顯著高出許多。
6. DoS攻擊、網頁攻擊,以及內部惡意人士攻擊為最主要的網路犯罪成本來源,占整體成本的55%。
7.網路犯罪成本可分為外部與內部引起。在外部因素中,資料竊取為企業帶來的損失最大,占整體外部成本的43%,其次為業務中斷或生產力損失,占36%。不過資料遺失成本比起2012年下降了2%,業務中斷則成長了18%。在內部成本中,回復和偵測所耗費的成本最高。