关于(违反)数据的数据:Chubb共享了两个十年的网络声明数据

自2016年以来,Verizon每年都拒绝估算数据泄露的平均成本。 Verizon的理由是,由于有许多因素可以确定违约成本,因此没有可靠的方法“average”数据点。但是,我们知道影响违反成本的可识别因素,例如行业部门,威胁参与者,记录数,受影响的数据类型等。因此,我们对特定实体的了解越多’在风险状况方面,更好的装备是该实体不仅可以保护自己,而且可以预测违规的潜在成本。

输入 丘布’s Cyber Risk Index。它’按行业,年收入和时间段组织的20年索赔数据。由于行业和公司规模是数据泄露分析中的重要差异因素,因此该工具使公司可以磨练关于数据泄露风险的性质和程度的有意义的数据。而且’s free, whether you’是否由Chubb重新投保。

我玩了一些交互式索引,这里有一些有趣的数据点:

  • 一家年收入低于1000万美元的科技公司尚未在2014年,2015年,2016年或2017年向Chubb提出索赔要求.2018年迄今为止,可能有三起索赔要求,其中两起是由恶意软件引起的,另一起是由社交工程骗局引起的,两者外部威胁因素。外卖,内部人员滥用或错误’对于初创公司和较小的科技公司(例如软件服务提供商和开发人员)而言,这似乎是一个重大问题。
  • 到目前为止,在2018年,影响最大的公共部门实体(5亿美元至10亿美元)的索赔完全是由外部威胁行为者造成的。另一方面,影响公共部门最小实体(年收入低于1亿美元)的索偿是由内部原因或未知原因引起的。这是一个很好的例子,说明在风险概况分析中不仅需要考虑行业,还需要考虑实体规模。
  • 无论实体规模如何,教育部门显然都在四面八方。对于最大和最小的机构而言,过去几年来,破坏原因已遍及整个领域,源于内部和外部原因,并采取黑客,社会工程甚至物理盗窃的形式。

索引是’完美。最值得注意的缺失数据与违规成本有关。 NetDilligence在发布其2015年报告,研究160项实际保险索赔时,得出的结论是,违规的平均成本约为700,000.00美元。这与Ponemon常规报告的3-4百万美元相去甚远。因此,如果这样的数据库共享一些成本数据,则可能会引起很大的关注(和意识)。同样,索引不会’t报告实际的索赔数量,而是以百分比表示,这可能会误导(或用于误导)。

尽管如此,丘布’愿意免费且易于使用的交互式界面共享数据是朝着正确方向迈出的决定性的一步。主体越了解其风险状况,就越有能力保护其最有价值的数据,并做出明智的决策以确保避免违规风险。