調查美國境內五十大企業的指標性研究報告
(2011年8月25日,台北訊)HP日前發表由旗下子公司ArcSight委託Ponemon Institute(1)針對網路犯罪所進行的研究報告,主要分析2011年網路犯罪所造成企業損失。該報告取樣自美國境內五十家橫跨不同產業的企業,且多為跨國性企業。為求取樣同質性,調查基準以擁有超過七百名員工以上的大型企業為主。
儘管網路犯罪所造成的衝擊眾所周知,但網路攻擊依舊層出不窮,並造成企業、政府機構相當嚴重的財務損失。此份研究報告中的主要重點包括:
-網路犯罪導至企業利潤蒙受極大損失,報告指出接受調查的企業每年因網路犯罪所遭受的平均損失高達590萬美金,而每家企業損失從150萬美金到3650萬美金不等。相較於2010年的調查報告,大幅增加五成六的損失。
-網路攻擊層出不窮,參與此研究報告的企業每週遭受網路攻擊的次數高達72次,代表這五十家企業每周至少會遭受到一次網路攻擊,比起2010年的報告,網路攻擊次數整整提升百分之四十四。
-在網路犯罪中,以惡意程式碼、阻斷服務、裝置失竊與網頁攻擊所造成損失最為嚴重。要遏止這些攻擊,就必須採用像安全資訊與事件管理(SIEM)、企業治理,風險管理以及法律遵循(GRC)等先進技術解決方案。
這份指標性研究報告與先前2010年研究報告目的相仿,旨欲將網路攻擊對企業經濟衝擊數據化,並對衍生的損失作長期走向觀察。如果企業能對網路犯罪所造成之損失有通盤了解,必能協助企業在進行預防、遏止網路攻擊前,對其所投入的資金與資源做精準估算。
一般而言,網路攻擊即經由網路所進行犯罪活動,其範疇從智慧財產竊取、網路銀行帳戶盜用、製造及散佈病毒至其他電腦、在網路上散佈商業機密資訊,甚至入侵國家機密IT基礎架構等等。近來有許多知名網路攻擊事件,像是維基解密(Wikileaks)、 Epsilion、新力(Sony)、花旗銀行、波音、 Google以及 RSA等,網路攻擊的影響擴及公民營機構。
誠如前提,此份報告希望對企業蒙受網路攻擊所造成的損失,提供最精準的估算。根據過往經驗,傳統研究方法無法掌握關鍵要素,更遑論對網路犯罪損失作精確推斷。因此,這份報告以田野調查方式進行,包括對資深人員做相關議題之深度訪談,以及蒐集網路犯罪實例相關資訊。從募集有意願參與研究企業、以活動為基礎的進行成本估算、蒐集相關來源資訊,到對所有資料做相關分析,總共投入長達九個月的時間。
此份報告總結五十家參與研究企業之案例分析,研究重點在於網路犯罪活動所衍生之直接、間接以及機會成本做精確估算,從資料失竊、影響企業營運,到企業營虧與損傷企業財產、廠房及設備等,皆在估算範圍內。除網路犯罪所造成的外在成本損失外,此份報告同時也將偵查、研究、攔阻、復原及事後之因應措施所產生之費用納入估算。
研究報告之重大發現
以下為這份研究報告的重要發現,其部分資訊為2011年五十家採樣企業與去年四十五家採樣企業之數據比較結果。
企業持續因網路犯罪遭受重大損失
研究發現這些採樣企業整年網路犯罪平均損失為590萬美金,每家企業的損失費用範圍自150萬到3650萬美金不等。相對於2010年採樣企業平均每年損失380萬美金相關費用,2011年之平均損失增加了210萬美金,提升幅度高達五成六。
網路犯罪所造成之損失因企業規模而有所差異
研究結果顯示若以企業規模作為衡量標準,將與每年平均損失成相對正比。然而,根據企業員工數來談,卻發現小型企業的平均員工網路犯罪損失較大型組織來得高(1,088美元之於284美元)。
網路犯罪具侵略性且層出不窮
接受採樣的五十家企業平均每週會遭受72次網路攻擊,等於每家企業每周至少會遭受到1.4次的攻擊。然而,相較於2010年報告數據,企業承受網路攻擊次數在2011年提高百分之四十四。
由惡意原始碼、阻斷服務、失竊或遭駭客入侵的裝置、以及由內部員工所引起之網路犯罪造成的損失最大
上述網路犯罪活動導致高達九成的損失,若要遏止網路犯罪活動的蔓延,須仰賴像安全資訊與事件管理(SIEM)、企業治理,風險管理及法律遵循(GRC)等解決方案之先進技術。
解決網路攻擊所需的時間越長,損失也將相對提高
研究結果指出解決網路攻擊所需時間越長,企業損失越大。平均解決一次網路攻擊需要18天的時間,損失高達415,748美元。在2010年報告中,平均損失為247,744美元,解決網路攻擊所需的時間也僅需14天。相較2011年報告,損失上升幅度達百分之六十七。此外,若是由內部員工引發的網路攻擊,平均解決時間將會超過四十五天。
資訊竊取仍占外部成本之冠,干擾企業營運位居第二
資訊竊取佔企業全年外部成本百分之四十(較2010年降低百分之二),干擾企業營運及生產力下降所造成損失,佔外部成本之百分之二十八(較2010年上升百分之六)。
復原與偵測為內部成本最龐大之支出項目
復原及偵測的費用佔百分之四十五內部成本,以現金花費及人力支出為其最大宗的支出。
導入安全資訊與事件管理(SIEM),降低損失
安全資訊與事件管理(SIEM)技術能降低網路犯罪損失,而導入安全資訊與事件管理(SIEM)之企業較無導入相關解決方案得企業減少百分之二十四損失。研究結果亦指出,採用SIEM解決方案之企業,相較於無導入該解決方案的企業更能迅速偵測並遏止網路犯罪。因此,更能在復原、偵測,以遏止網路犯罪方面降低支出費用,此外,導入SIEM解決方案之企業更能早期判斷針對性之滲透攻擊。
所有產業均受網路犯罪之苦,僅干擾程度不同
網路犯罪每年平均損失因不同產業而有所不同,國防、公用事業以及財務金融相關產業的損失較零售、消費性產品、餐飲等服務業來得高。
資訊安全評比較高的組織在網路犯罪損失也較低
若以知名的Security Effectiveness Score (SES)來衡量採樣企業的網路資訊安全防禦能力,結果顯示,分數越高的企業越能達到網路資訊安全的防禦,其在網路犯罪費用的損失也較低。
導入企業治理,風險管理以及法律遵循解決方案(GRC) 降低網路犯罪損失
研究報告結果顯示採用企業治理,風險管理以及法律遵循解決方案(GRC)企業較無相關導入之企業,其損失較小,更精準地說,兩者間的差距高達百分之三十八。