Comparitech的最新研究表明,数据泄露确实会对公司股价产生负面影响,研究的主要发现如下:
- 在数据泄漏披露后的六个月内,违规公司的股票平均表现比纳斯达克指数低3.2%
- 股价在数据泄漏发生后41个工作日内触底,平均下跌-1.4%
- 数据泄漏行为发生53天后,股价恢复至披露前的水平
- 医疗企业的平均股价在数据泄漏后跌幅最大,其次是金融和制造业
- 反直觉的是,社会安全号码等高度敏感数据的泄露对股价的负面影响小于电子邮件地址等非敏感信息的泄露
- 大规模数据泄漏对股价的负面影响比小规模泄漏更大
数据泄漏对股价的影响再次显现
Comparitech的分析显示,数据泄漏对股价的影响力是周期性的,按时间大致分为强(敏感)、弱(麻痹)、强(再次敏感)三大阶段,我们现在正处于第三阶段。
第一阶段:2015年之前(尤其是2007年之前)发生的泄露事件对股价的影响更为显著;第二阶段2015-2020年披露的泄露事件影响则相对较小。投资者对这类事件的适应能力增强,市场也逐渐认为数据泄露是一种“新常态”。
然而,第三阶段(2020年后至今)股价对网络攻击再次敏感。随着勒索软件攻击的崛起,网络攻击不仅仅局限于数据盗窃,还包括通过加密公司系统来直接中断业务运作,这种新型攻击造成的财务损失更为显著,进而导致遭受攻击的企业股价表现逊于市场平均水平。
哪些行业的股价受数据泄露影响最大?
例如,根据Comparitech对118家上市公司在数据泄露前后股价的研究,这些公司的股价在数据泄露发生后的41天内平均下跌了约1.4%。
数据泄漏发生后纳斯达克股价的差异统计
不同行业对数据泄露的反应也不尽相同。医疗行业在数据泄露后的六个月表现远低于市场,平均落后NASDAQ指数达10.6%。相比之下,零售行业则在同一时期表现出色,超过了纳斯达克指数7.29%。
金融服务和支付行业由于涉及大量敏感信息,通常受到的冲击也较为严重。在泄露发生后,金融企业的股价在短短16个交易日内平均下跌了17.42%。相比之下,零售企业虽然也涉及大量用户数据,但由于其行业性质,股价的跌幅相对较小,且恢复速度更快。
股价恢复周期可长达一年以上
股价的短期波动是显著的,但长期的影响更为复杂。比较典型的情况是,在数据泄露发生后的两周内,受影响公司的股价通常会触底,然后逐步反弹。一年后,这些公司的股价平均上涨了8.53%,但仍比同期纳斯达克指数低约3.7%。也就是说,尽管股价回升,但并未完全恢复到市场整体表现水平。
更有意思的是,一些重大的数据泄露事件,例如2017年Equifax的泄露,导致该公司的股价一度暴跌60%,但在一年后几乎完全恢复。这说明,尽管数据泄露可能导致短期股价大跌,投资者在长期仍有信心,尤其是在公司积极采取补救措施并公开透明地应对危机时。
泄漏数据越敏感对股价影响越小?
另一个有趣的现象是,涉及敏感数据(如社会安全号码)的泄露反而对股价的影响较小,而泄露较不敏感的数据(如电子邮件地址)时,股价的跌幅却更大。
Comparitech的研究显示,泄露高度敏感数据的公司股价在六个月内反而跑赢了市场1%,而泄露中等敏感数据的公司则落后于市场3.8%,泄露低敏感数据的公司表现最差,落后7.93%。这一反常现象或许说明,投资者对数据泄露事件的实际了解程度存在偏差。
值得注意的是,虽然泄漏数据的敏感性与股价涨跌存在反直觉的负相关性,但这并不意味着企业可以逃脱惩罚。事实上,数据泄漏的严重性不仅会影响公司股价,甚至可能导致公司破产。因为企业在遭遇重大数据泄露后,不仅要面对监管机构的问责,还需承担高昂的通知成本。
据华尔街日报报道,数据泄漏后的通知成本通常高达每人2美元甚至更多。2023年发生重大数据泄漏事件的NPD(泄漏29亿条个人数据)和FBCS(泄漏500万客户信息)分别在近年10月和8月申请了破产保护和清算。FBCS在声明中透露仅是向所有受影响客户寄送通知信的成本就足以耗尽公司剩余的300万美元资产。
如今即便是小型企业也可能持有大量敏感数据,随着数据泄露规模的不断扩大,企业在遭遇攻击后面临巨大财务压力。因此,数据泄露不仅影响公司股价,还可能导致更为严重的财务危机,甚至直接导致公司破产。
总结
总体来看,尽管近年来数据泄露对公司股价的负面影响再次放大,但这种影响的程度取决于多个因素,包括行业性质、泄露数据的敏感性和公司对危机的应对方式等。尽管短期内股价会有所下跌,但公司只要妥善应对,通常能够在一年内逐步恢复,甚至在某些情况下超越市场表现。
当然,数据泄露不仅仅是财务问题,还涉及法律、声誉、竞争力等多方面风险。因此,企业不仅需要高度重视网络安全防御,还应制定有效的危机管理策略,缓解潜在的长期影响并避免再次成为网络攻击的受害者。