埃森哲安全引入了由人工智能驱动的身份管理功能，以改变用户访问权限的管理，监视和控制方式

网络犯罪的代价网络犯罪研究的第九年年度费用释放改进网络安全保护的价值由 Ponemon Institute LLC 独立进行，埃森哲联合开发 内容前言4网络犯罪14安全技术可以使区别24价值27常见问题 30第九次网络犯罪年度成本研究有助于通过分析恶意活动随时间推移的趋势来量化网络攻击的经济成本。通过更好地了解与网络犯罪相关的影响，组织可以确定适当的网络安全投资金额。回顾迄今为止网络犯罪的成本是有帮助的——但展望未来，让企业领导者知道如何最好地瞄准他们的资金和资源，甚至更有益。本报告正是这样做的。通过了解他们在网络安全工作中可以在哪里实现价值，企业领导者可以最大限度地减少后果，甚至防止未来的攻击。我们的研究帮助组织解决安全问题的燃烧平台之一。我们揭示了改进网络安全保护如何降低网络犯罪成本并开辟新的收入机会以释放经济价值。 前言凯莉·比塞尔埃森哲安全全球董事总经理 kelly.bissell@accenture.com我们很高兴与您分享网络犯罪成本研究的第 9 版。我们的广泛研究包括对 355 家组织的 2,600 多名高级安全专业人员的深入采访。在里面，您会发现与安全专业人员和商业领袖相关的见解，以帮助我们更好地保护我们的组织。我们相信这些发现，连同我们的经验和建议，可以帮助高管们安全地创新并充满信心地成长。随着行业的发展和对当前环境的破坏，威胁正在急剧扩大，同时变得更加复杂。这需要更多的安全创新来保护公司生态系统。我们的组织和经济的后续成本是巨大的，而且还在不断增加。我和我的团队随时准备讨论最新趋势对您的业务意味着什么。读继续了解如何保护您的组织，以及您如何转变网络安全策略，为明天实现更大的价值。拉里·波尼蒙主席兼创始人 Ponemon Institute research@ponemon.orgPonemon Institute 再次很高兴与 Accenture Security 合作开展这项全面的网络犯罪成本研究。从一个相对温和的开始，我们现在将研究范围扩大到 11 个国家和 16 个行业部门。我们有也延长了我们的研究时间表。今年，我们与埃森哲合作，对未来五年网络犯罪对这些行业的财务影响进行建模，以更好地了解网络安全战略如何在未来发挥作用。我们相信，当您尝试驾驭网络威胁时，这份报告将是一个有用的指南。我们知道，如今，世界经济论坛和美国政府等知名组织正积极利用我们的工作来帮助塑造防御。Ponemon Institute 很荣幸能与埃森哲合作得出这些研究结果。我们相信这份报告不仅说明了我们让您了解网络攻击的性质和范围的共同承诺，而且还为您提供实用的建议，以改进您未来的网络安全工作。很少有组织能够降低网络犯罪的总体成本。如果他们还能同时开辟新的收入机会呢？我们的网络犯罪成本研究现已进入第九个年头，提供了这种诱人的前景。在这份报告中，我们展示了如何更好地防范基于人的攻击、优先考虑限制信息丢失以及采用突破性的安全技术可以帮助有所作为。4 > 网络犯罪研究的第 9 年年度费用 网络犯罪的演变网络犯罪成本研究结合了 11 个国家/地区 16 个行业的研究。我们采访了来自 355 家公司的 2,647 名高级领导人，并利用埃森哲安全的经验和专业知识来研究网络攻击的经济影响。在不断变化的数字环境中，跟上网络威胁的趋势至关重要。我们发现网络攻击正在发生变化，原因如下：•进化目标：信息窃取是网络犯罪最昂贵、增长最快的后果——但数据并不是唯一的目标。核心系统，如工业控制系统，正在以强大的破坏和破坏行动遭到黑客攻击。 1•演进影响：虽然数据仍然是目标，但盗窃并不总是结果。新一波的网络攻击使数据不再简单地被复制，而是被破坏或更改，这会滋生不信任。攻击数据完整性是下一个前沿领域。 2•进化技术：网络犯罪分子正在调整他们的攻击方法。他们通过增加网络钓鱼和恶意内部人员，将人为层（最薄弱的环节）用作攻击途径。 3 其他技术，例如民族国家攻击所采用的技术以商业企业为目标，正在改变恢复的性质，保险公司试图将网络攻击归类为“战争行为”问题。 41.埃森哲可持续 NERC CIP 合规之旅。 https://www.accenture.com/us-en/insight-power-grid-reliability-security2.2019 年技术愿景，埃森哲。https://www.accenture.com/us-en/insights/technology/cybersecurity-digital-ecosystem3.保护数字经济，埃森哲。https://www.accenture.com/us-en/insights/cybersecurity/reinventing-the-internet-digital-economy4.2018 年网络威胁报告，年中网络安全审查，埃森哲。 https://www.accenture.com/us-en/insights/security/cyber-threatscape-report-2018让我们仔细看看随着网络犯罪的发展我们面临的挑战：国家、供应链和信息威胁全球各种规模、地理位置和行业的组织都受到了网络犯罪的财务、声誉和监管后果。在过去的一年里，我们看到了显着的增长在经济间谍活动中，例如民族国家窃取高价值知识产权。扩展的供应链威胁也在挑战组织更广泛的业务生态系统。网络攻击者已经慢慢改变其攻击模式，以利用第三方和第四方供应链合作伙伴环境进入目标系统——包括具有成熟网络安全标准、框架和法规的行业。新法规旨在让组织及其高管在保护信息资产和 IT 基础设施方面承担更多责任。 《通用数据保护条例》(GDPR) 于 2018 年 5 月 25 日生效，可能面临高达 2300 万美元（2000 万欧元）或全球年收入 4% 的罚款。法国数据监管机构 (CNIL) 开出了迄今为止最大的 GDPR 罚款——5700 万美元（5000 万欧元）。相似的信息盗窃是网络犯罪最昂贵、增长最快的后果。6 > 网络犯罪的第 9 年年度成本学习网络犯罪研究的第 9 年年度成本 > 7 网络犯罪的演变培训员工考虑安全并采取行动是网络安全预算中资金最不足的活动。加州消费者隐私法案 (CCPA) 等法规处以较小的罚款（每次违规 7,500 美元），但凸显了全球企业面临的日益增加的监管风险。创新和增长带来的新风险根据埃森哲报告“保护数字经济”5，企业的增长从未如此依赖数字经济和互联网。 10 年前，只有不到四分之一的公司依赖互联网进行业务运营；现在它是 100%。 90% 的商业领袖认为，值得信赖的数字经济对其组织的未来增长至关重要——但数字创新的驱动力正在引入新的风险。在互联网依赖和数字经济蓬勃发展的同时，68% 的商业领袖表示他们的网络安全风险也在增加。近 80% 的组织正在引入数字化推动创新的速度快于他们保护创新免受网络攻击者的能力。那么，难怪网络攻击和数据欺诈或盗窃现在是 CEO 最有可能面临的前五项风险中的两个根据最新的世界经济论坛关于全球风险的报告。 6人类仍然是最薄弱的环节无论是意外还是故意，许多员工往往是网络攻击成功的根本原因。在埃森哲 2018 年网络弹性状况调查中接受调查的高管认为，员工意外发布机密信息和内部攻击的影响最大，仅次于成功破坏其组织的黑客攻击。 7今天，安全功能在很大程度上是集中的，在开发新产品、服务和流程（所有这些都涉及某种网络风险）时，其员工很少被包括在内。这种孤立的方法可能会导致整个组织缺乏问责制，并认为安全不是每个人的责任。只有 16% 的 CISO 表示，他们组织中的员工如今要对网络安全负责。除了培训和教育之外，提供持续的培训和技能强化（例如，通过网络钓鱼测试）是必不可少的。员工需要工具和激励措施来帮助他们定义和解决风险。新的工作安排——更多地使用承包商和远程工作——使得对员工培训的需求更加迫切。即便如此，培训员工考虑安全并采取行动是网络安全预算中资金最不足的活动。 8要将网络安全嵌入组织结构并有效抵御任何内部威胁，组织必须汇集人力资源、学习和发展、法律和 IT 团队，与安全办公室和业务部门密切合作。5.保护数字经济，埃森哲。https://www.accenture.com/us-en/insights/cybersecurity/reinventing-the-internet-digital-economy6.WEF 2019 年全球风险报告。http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf7.2018 年网络弹性状况，埃森哲。https://www.accenture.com/in-en/insights/security/2018-state-of-cyber-resilience-index8.安全意识培训大爆发，Cybersecurity Ventures，2017 年 2 月 6 日。https://cybersecurityventures.com/security-awareness-training-report/8 > 网络犯罪的第 9 年年度成本学习网络犯罪研究的第 9 年年度成本 > 9 +11%+12%基准网络安全投资在这种充满挑战的环境的背景下，我们的研究表明，网络犯罪的规模和复杂性正在增加。根据之前出版物中确定的趋势，这可能不足为奇。然而，今年我们的报告提供了一个额外的视角——对未来五年未来网络攻击面临风险的经济价值的前瞻性预测。更多的攻击和更高的成本随着网络攻击数量的增加，需要更多时间来解决，网络犯罪的成本持续上升。去年，我们观察到许多针对公共和私营部门组织的隐蔽、复杂和有针对性的网络攻击。结合不断扩大的威胁形势，组织的数量正在稳步上升的安全漏洞——从 2017 年的 130 起增加到今年的 145 起（见图 1）。出于本研究的目的，我们将网络攻击定义为通过 IT 基础设施通过内部或外部网络或互联网对组织进行的恶意活动。图1安全漏洞的增加130平均安全数2017 年的违规行为145平均安全数2018 年的违规行为去年增加=67%过去 5 年增加网络攻击还包括对工业控制系统 (ICS) 的攻击。安全漏洞是导致公司核心网络或企业系统渗透的漏洞。它不包括公司防火墙防御阻止的大量攻击。这些网络攻击对组织、行业和社会的影响是巨大的。随着安全漏洞数量的增加，每家公司的网络犯罪总成本从 2017 年的 1170 万美元增加到 1300 万美元的新高——增长了 12%（见图 2）。我们的详细分析表明，在我们的样本中，银行和公用事业行业的网络犯罪成本仍然最高，分别增加了 11% 和 16%。能源部门在这一年中保持相当平稳，略有增长 4%，但健康行业的网络犯罪成本略有下降 8%（见图 3）。图2每年网络犯罪成本的增加$11.7米网络犯罪的平均成本2017年$13.0米网络犯罪的平均成本2018年去年增加=72%过去 5 年增加10 > 网络犯罪的第九年成本学习网络犯罪研究的第 9 年年度费用 > 11 基准网络安全投资银行公用事业图 3各行业网络犯罪的年均成本15.1116.5518.3717.84百万美元传奇2017美国（29%）日本（30%）图 4各国每年网络犯罪的平均成本21.2210.4513.5727.37百万美元传奇2017软件汽车保险10.7012.9314.4616.0415.7815.762018德国（18%）英国（31%）法国（23%）8.747.909.7211.1511.4613.122018高科技12.9014.69新加坡*9.32资本市场能源 美国联邦消费品健康8.0910.5610.4111.9113.9213.2113.7713.7412.86加拿大* 西班牙*意大利（19%）巴西* 澳大利亚（26%）5.419.258.167.24零售生命科学5.879.0411.8211.4310.91$056.791015202530通讯和媒体旅游 公共部门4.616.58