数据泄露给大公司造成了多少损失？令人震惊的是。

在过去的两年里，从索尼到塔吉特到国歌的财富500强公司经历了重大的数据泄露。高管们失业了，数千万消费者的信用卡和其他个人数据遭到泄露，企业疯狂地试图控制损失。就在上周，Target同意支付1000万美元，以解决与大规模2013数据泄露有关的集体诉讼。

但是，对于所有恐慌的头条新闻，董事会的焦虑以及普遍的网络安全厄运和悲观情绪，一个重要的问题 (如果违反直觉的话) 似乎被忽略了: 黑客真正让大公司付出多少代价？

如果你深入研究一些世界上最臭名昭著、披露的数据泄露事件打击的公司的财务业绩结果，一个令人不安的事实会让你震惊: 它们似乎并没有花那么多钱。

这是哥伦比亚大学国际与公共事务学院研究员本杰明·迪恩 (Benjamin Dean) 的一项分析得出的惊人结论。迪恩也有会计背景，在索尼、家得宝和塔吉特最近被广为人知的安全漏洞之后，他为索尼、家得宝和塔吉特调查了超过10万份文件。迪恩密切关注这些公司季度财务报告中与违规相关的费用，发现这些公司报告的实际费用不到每家公司年收入的1%。

迪安在他的帖子最初出现的对话中写道: “在保险报销和扣除税款后，损失就更少了。”

仔细看看索尼。

索尼的2014年11月黑客行为导致未发行的电影，令人尴尬的内部电子邮件以及47,000名名人和员工的个人数据 (包括社会安全号码) 的披露。(这对公司造成了极大的创伤和破坏，以至于推迟了其10-k申请。)

尽管如此，索尼估计，到目前为止，“在调查和补救成本中”，其违规行为的财务影响仅为1500万美元。这几乎不是雷达上的一个亮点。

“为了给这些损失提供一定的规模，” 迪恩写道，“它们占索尼2014年预计总销售额的0.9% 至2%，是最初估计的一小部分。”

Dean指出，索尼预计整个财年将花费3500万美元 “恢复财务和it系统”。该公司预测，进一步注销了违规行为的金钱后果: “索尼认为，网络攻击对其截至2015年3月31日财年的综合业绩的影响不会太大。”翻译: .

这些数字可能不足以证明索尼影业的前信息安全执行董事。在2007年，他告诉cio杂志，““ 接受风险是一个有效的商业决定 ”，证券公…司不会投资1000万美元来避免可能的100万美元损失。但是Dean的分析确实令人震惊地接近使最小的努力立场成为可辩护的立场。

家得宝 (Home Depot) 的黑客攻击也几乎没有造成影响。

去年的家得宝 (Home Depot) 黑客入侵导致骗子将大约5000万个客户的信用卡号和电子邮件地址收入囊中，但是家得宝 (Home Depot) 最新收入报告中的相关信息显示，其影响可以忽略不计:

在2014财年第三季度，公司记录了与数据泄露相关的税前费用4300万美元，部分被公司认为可偿还且可能在其保险范围内收回的费用的1500万美元应收账款所抵消，税前净费用为2800万美元。

迪恩指出，当你计算时，2800万美元 “占家得宝2014销售额的不到0.01%”。

目标呢？

Target对2013年的黑客攻击导致4000万张支付卡和7000万其他记录被盗，包括客户的电子邮件地址和电话号码。安全漏洞被认为是如此严重，以至于该组织不得不辞职。

然而，Target在其最新文件中详细列出了其违规行为的通行费:

公司在2014年第四季度发生了400万美元的违约相关费用，全年净费用为1.45亿美元，这反映了1.91亿美元的总费用，部分被确认为4600万美元的应收保险所抵消。与数据泄露相关的第四季度和全年2013净费用为1700万美元，反映了6100万美元的总费用，部分被确认的4400万美元的应收保险所抵消。

总而言之，Target的总支出总计为2.52亿美元，保险补偿将其降至1.62亿美元，进一步的税收减免最终产生1.05亿美元。虽然比家得宝 (Home Depot) 或索尼 (Sony) 的支出要大，但最终的金额并没有那么大。

“这相当于0.1% 个2014年的销售额，” 迪恩指出。

“对公司本身来说，这似乎是一个四舍五入的错误，” 他告诉来自澳大利亚的电话。“与他们的年收入相比，这当然不是一个巨大的损失。”

投资还是不投资证券。

可以肯定的是，这种分析引起了批评。英特尔信息安全策略师Matthew Rosenquist认为，Dean的分析存在几个问题。首先，他指出，迪恩使用收入而不是利润作为关键指标。他在公司博客上写道: “如果一次攻击消耗了你很大一部分利润，或者更糟，把你从绿色推到账本的红色面，这对管理层来说可能会有很大的不同。”

罗森奎斯特还强调了违约的隐性成本: 保险费上涨，对第三方的损害，客户的商誉和信任下降。他写道，最重要的是，在安全方面不进行投资在战略上是近视的; 如果没有确保稳定性，企业也可能会自杀。

迪恩承认，随着时间的推移，消费者的信仰可能会受到侵蚀，但他说，就目前而言，“就声誉损害而言，你看不到对底线的损失和影响。”

实际上，罗森奎斯特和迪恩的结论并没有太大不同。“无论我们如何衡量它，或者我们向前看还是向后看，我们都同意公司需要在信息安全方面进行投资的中心点，” Dean toldFortune通过电子邮件回应Rosenquist的批评。

事实证明，迪恩不是故意的，数字上的障碍的辩护者。他说，他认为公司网络需要支持-即使数据泄露不会损害公司的底线。此外，他认为支持公司网络的动机需要支持。在公司对这些违规行为承担更多责任之前-不是在手腕上拍了1000万美元-而是在他还不确定的情况下，公司不会在信息安全方面进行大量投资。

那么，安全值得投资吗？这是Dean的看法:

我们需要回到确凿的证据上。与某些情况下的投机相比，核实的损失和影响是什么？这并不完全是散布恐惧。我们需要把我们的分析作为一个问题的基础。一旦我们确定了问题有多大，我们就可以确定该怎么做，并进行公开和明智的讨论。现在这还没有发生。我没有看到用来支持索赔的确凿证据。如果正在进行讨论，则不会公开。

考虑对话开始了。