网络安全事件的财务影响由客户信息的敏感性和检测时间决定。

调研机构Audit Analytics回顾了2011年以来的639起上市公司网络安全事件，发现每起网络数据泄露事件的平均损失高达1.16亿美元。

Audit Analytics的报告题为《网络安全事件披露趋势》，报告发现，2019年网络罪犯通常旨在获取客户姓名、住址和电子邮件地址（占比分别为48%、29%和28%）。2018年，姓名和信用卡信息是最受网络罪犯欢迎的信息类型。2011年至2019年，恶意软件（34％）是获取数据的常用方法，其次是网络钓鱼（25％）、未授权访问（20％）和错误配置（12％）。然而，遭遇数据泄露的公司中几乎有一半（43％）选择隐瞒不报。

基于Web的多方法攻击很常见

2018年，英国航空公司惨遭自欧盟引入《通用数据保护条例》（GDPR）以来最大型数据泄露事件。在那起事件中，网络罪犯偷走了客户名称、住址、电子邮件地址和详细的信用卡信息。检查和过滤网站流量的Web应用防火墙（WAF）本可以阻止此事件发生，因为WAF的设计初衷就是为了检测和阻止数据盗窃、SQL注入和跨站脚本攻击等网站入侵常用手法。很明显，英国航空公司要么没安装这种防火墙，要么没有正确配置。

分布式拒绝服务（DDoS）攻击可制造互联网流量洪水，突然涌向Web或应用服务器，导致公司在线基础设施瘫痪。更令人头疼的是，发起DDoS攻击还相对容易。因此，网络罪犯常利用DDoS攻击来掩护更大规模、更严重的攻击。例如，在2015年，英国零售商Carphone Warehouse旗下网站OneStopPhoneShop.com、e2save.com和Mobiles.co.uk等遭到DDoS攻击，该公司IT专家的注意力被DDoS攻击吸引，忽视了同时发生的客户数据库窃取攻击，致使该公司240万条客户记录被盗。约有9万名客户的信用卡信息失窃，万幸的是，这些数据加了密。

股市余波

缺乏防护的公司常因放任攻击发生而付出代价。除此之外，Audit Analytics报告揭示，修复费用和股价下跌是数据泄露事件的另外两个重大财务影响。

数据泄露损失的首要影响因素是被盗信息的价值。失窃财务信息的破坏性众所周知，没什么好奇怪的。但Audit Analytics指出，2016至2019年期间，身份证号码也成了网络窃贼眼中的香饽饽，身份证号盗窃在那段期间增加了500%以上。2011年以来，修复费用超过5000万美元的上市公司数据泄露事件中，7起财务信息被盗，3起身份证号码失窃。受害最严重的几家是：2013年的塔吉特（2.92亿美元），2014年的家得宝（2.98亿美元），2017年的Equifax（17亿美元）和2018年的万豪（1.14亿美元）。

值得注意的是，最大的几起数据泄露事件，比如Facebook为被泄数据付出的50亿美元，或者Equifax花费的近20亿美元，很大程度上影响了数据泄露的平均损失。另外，虽然Audit Analytics报告将Equifax的修复费用定在17亿美元，但该公司2020年第一季度报告的修复支出比这个数字更多。

检测时间越长损失越大

数据泄露损失的第二个决定因素是发现数据泄露的耗时长短。Audit Analytics报告称，公司企业平均需耗时108天才能发现数据泄露，报告数据泄露则还需再加49天。从发现数据泄露到通知监管机构的中位间隔是30天。

对公司企业而言，从发现到披露的这段时间不是小事。引用Audit Analytics研究结果的一篇学术文章指出，发现数据泄露后立即披露的公司股价下跌0.33%，但拖延一个月才披露的公司遭遇了0.72%的股价下跌，降幅几乎倍增。至于公司企业未能披露攻击，而外部人士后来发现了此事的情况，股价跌幅还要更大。这种情况下，公司股价在攻击披露3天之后下跌1.47%，一个月后跌幅为3.56%。

数据泄露事件披露的拖延症之王当属雅虎，雅虎知道俄罗斯黑客早在2013年就渗透了自己的系统，但直到2016年被威瑞森收购时才披露这一事件。整个泄露事件影响超过30亿个账户。因数据泄露事件报告延迟了1,649天，证券交易委员会最终对雅虎处以3500万美元的罚款。精品国际酒店集团（Choice Hotels International）是另一家报告超长延期的公司，数据泄露发生在2015年6月，却直到2019年才披露。由于编程漏洞，这家连锁酒店集团在线预订门户的数据与第三方共享了8.8万多次。

加强内部控制才能抵御复杂攻击

说句公道话，一些公司聘请第三方调查员调查数据泄露情况，而这可能会导致向监管机构报告的延迟。但无论如何，延迟是有问题的。美国证券交易委员会（SEC）就网络欺诈对上市公司内部控制的影响出过一份调查报告，Audit Analytics引用此报告称：“对监管机构和投资人而言，不能快速发现网络数据泄露是十分令人担忧的。”SEC并未对其2018年报告中指出的9个案例提出实施建议，但建议公司企业审核自身与网络威胁相关的内部控制。

Audit Analytics报告总结道：“没能快速发现的数据泄露警示公司内部控制上的漏洞，表明控制措施可能不足以及时检测出问题。”

取决于失窃信息的性质，反复发生的数据泄露可导致未来接二连三的额外支出，包括财务数据被泄的客户和供应商提起的法律诉讼，或者个人数据受影响的员工起诉公司。IT尽职审查至关重要，因为研究和经验表明坏人总吃回头草：Audit Analytics报告称，遭遇数据泄露的公司企业中，有26%会反复沦为数据泄露受害者，比如Facebook、索尼、亚马逊、Comcast和T-Mobile美国公司。

《网络安全事件披露趋势》：

http://auditanalytics-trends-in-cybersecurity-breach-disclosures.pagedemo.co/

SEC调查报告：

https://www.sec.gov/litigation/investreport/34-84429.pdf