网络安全的隐性成本是什么?
网络安全不是免费的。网络安全需要定期升级的技术、专业知识和管理。所有这些都要花钱。
有一些财务顾问认为,除了最低限度的网络安全措施外,采取其他措施可能在经济上是不合理的。网络安全专家完全不同意,但从纯粹的财务角度来看,任何关于如何遏制支出的建议对某些人来说似乎都很有吸引力——至少一开始是这样。
最基本的安全论点首先引用了公司成功进行网络攻击的估计成本。据几家进行网络犯罪调查的组织称,2023 年,每次攻击的损失从 3 万美元到 5 万美元不等,部分取决于公司的规模。
论点的后半部分平衡了这些成本与网络安全成本。安全要求因企业而异,但网络安全支出的常见经验法则表明,公司将其信息技术 (IT) 预算的大约 10% 指定用于此目的。对于大型企业来说,由此产生的数字将达到数百万美元,对于一些中型企业来说,这个数字也可能很高。
那些建议在网络安全上花费绝对最低限度的人认为,与成功攻击相关的经济损失比采取和维护预防性网络安全措施的成本要低。
很容易理解为什么这个论点很有吸引力。乍一看,它看起来像是省钱。然而,它不会省钱的可能性是压倒性的。
我们知道,数据中心和金融机构等高价值目标正受到无情的攻击。IBM 每年都会对代表不同行业领域的大、中、小型公司进行网络安全调查。在其 2022 年的报告中,它发现 83% 的受访者经历过不止一次数据泄露。任何将网络安全战略建立在仅成功被黑客攻击一次的可能性之上的公司都是在下一个糟糕的赌注。
此外,大多数建议基本网络安全的人只考虑明显的前线损失 - 3万至5万美元 - 其中可能包括勒索软件付款,或知识产权损失的价值,或使任何客户受到网络攻击的法律成本。
但这并不是成功网络攻击成本的终点。还有:
无论如何,之后加强安全的成本
保险费率上升
法律处罚
品牌和声誉受损
取消竞争合同的资格
失去业务和声誉的影响会显着影响企业的整体价值。
任何被攻破的公司肯定会感到被迫最终投资于更好的网络安全,如果不是为了抵御几乎不可避免的下一次攻击,那么继续有资格获得保险——即便如此,费率肯定会上升。
与此同时,世界各地正在颁布越来越多的数据隐私和安全法律法规,允许各个司法管辖区对数据泄露处以巨额罚款。
最彻底的例子之一是欧盟的《通用数据保护条例》(GDPR)。欧盟已对违反GDPR的行为处以数亿美元的罚款;迄今为止最大的是 758 年对亚马逊的 2021.1 亿美元判决(该公司对此提出异议)。中国国家互联网信息办公室最近对滴滴全球的违规行为处以超过<>亿美元的罚款。公众对违规行为的容忍度正在减弱。
说句好话,网络安全失误可能会招致罚款,远远超过任何公司可能因实施网络安全不足而试图节省的罚款。
与此同时,重视网络安全的组织越来越不愿意与没有采取适当预防措施的公司开展业务。前面引用的IBM调查显示,五分之一(19%)的违规行为是通过被入侵的业务合作伙伴发生的。现在,足够的网络安全是越来越多的供应商合同中不可谈判的一部分。任何缺乏足够网络安全的公司都可能将自己与某些潜在业务隔绝开来。
对网络安全的一些抵制本质上不是财务上的。根据所采取的措施及其实施方式,网络安全也可能对企业的整体绩效造成影响。
这甚至可以包括业务流程。以网络上的设备配置和管理为例。世界各地的 IT 部门都在努力确保只有授权设备才能访问其网络,并确保他们可以跟踪和定位公司资产。此过程植根于部署后的密钥预配和密钥管理,这可能特别繁琐。在网络上配置设备、在移动环境中定位设备并在部署后对其进行维护需要时间和资源。
另一个问题是,一些安全措施会对计算过程产生直接影响。例如,检查正在传输的每个数据包将使数据最大程度地安全,但它也会减慢计算过程,增加的延迟超出了大多数组织所能容忍的范围。
加密数据是任何具有安全意识的组织的标准操作程序,但加密也会增加处理开销,从而减慢操作速度。Microchip和业内其他公司的安全专家一直在相互协商,以使用足够长(因此足够强大)的加密密钥来抵御大多数黑客攻击,但不会对操作构成不可接受的障碍。
那么,实施多少适当的网络安全措施呢?
网络安全没有放之四海而皆准的秘诀。数据中心的安全要求与医疗运营的要求不同,医疗运营必须符合 1996 年《健康保险流通与责任法案》(HIPAA) 规定的患者数据安全极高标准。不同的公司需要评估哪些流程和程序最适合他们的特定需求。同样,每个组织都必须评估是聘请安全专家,还是聘请安全顾问,或者两者兼而有之。
Microchip可以帮助回答这样一个问题,即网络安全对我们的任何合作伙伴来说都足够了。我们在网络安全方面拥有行业领先的专业知识、全面的安全产品组合和世界一流的安全合作伙伴计划。我们可以提供身份验证设备、可信平台模块、支持加密的微控制器和微处理器、软件库和增强协议,甚至是作为零信任网络基础一部分的计时服务器。
是的,网络安全可能代价高昂。但是,缺乏足够的网络安全最终可能会变得更加昂贵,其程度超出了公司的底线。问题不应该是是否付款。问题是多少才足够?像Microchip这样在该领域拥有广泛专业知识的值得信赖的合作伙伴将能够帮助得出一个答案,考虑到手头的风险和资源,该解决方案将提供足够的安全性。