Javelin Research Pinpoints How Institutions Should Respond to Data Breaches

Consumer Survey on Data Breach  
Notification 
Conducted by Javelin Strategy & Research June 2008 
Consumer Survey on Data Breach Notification - June 2008  1 © 2008 Javelin Strategy & Research- All Rights Reserved Executive Summary 
With data breaches continuing to make daily headlines, consumer awareness of identity theft and the security of their personal information will only be heightened. Publicity of large-scale breaches has caused an outrage among consumer advocacy groups as well as adversely affected organizations such as banks and issuers. Some incidents have led breached institutions to be stricken with class-action lawsuits, as was the case with TJX and more recently with the Hannaford breach.   Above any financial losses, however, is the breached institution's reputation, which is heavily dependent on the company's image, brand and its relationships with customers.  While data breaches can cost tens of millions of dollars to repair because of fines, security upgrades and notification efforts, reputation is one asset that may not be guaranteed as fully restorable.  Key findings from a survey of breach victims highlight the implications that security breaches hold, in terms of consumers' expectations regarding the breached institution, financial behavior and perceptions of identity fraud: 
. For 40% of consumers, security breaches changed their relationships with the affected institution or business. . 55% of breach victims offered a fraud protection solution were satisfied with the institution's handling of the incident, almost double the 31% of those who were satisfied without being offered any kind of restitution.   . The majority of breach victims (56%) prefer a solution that prevents fraudulent use of their information, rather than detecting or resolving fraud after it has occurred. . Confidence and buyer behavior are severely impacted by security breaches, with 55% of victims trusting the affected organization less, and 30% choosing to never purchase goods or services again from that organization. As a result, breached institutions must go beyond basic notification and take assertive action to mitigate the risk placed on victims. . Breach victims are beginning to expect fraud protection assistance from the institution, with 36% already having been offered some kind of identity fraud protection service. 
Methodology  Data was collected and analyzed in May 2008 via an online consumer survey of 400 data breach victims. In addition, Javelin conducted in-depth interviews with two breached institutions who had recently implemented a fraud protection solution for affected customers. The result of this project is a strategic assessment of how breached institutions should respond to data leakage incidents involving highly sensitive information, and the solutions that should be offered to victimized customers and/or employees. 
Consumer Survey on Data Breach Notification - June 2008  2 An Era of Data Insecurity  
Introduction  Safeguarding customer data is a basic component of good business practice, yet the number of compromised 1accounts due to security breaches is at an all time high. Since January 2005, nearly 227 million records containing 2sensitive information have been exposed through security breaches, and over 35 million Americans have had their information compromised in a data breach.    3 There have been more than 1,000 reported data leakage incidents since 2003. Data security has come under increasing scrutiny as breach incidents continue to make news headlines on a frequent basis. An environment of mistrust is becoming more entrenched among consumers, and the media's preoccupation with sensationalizing data breaches only adds fuel to the fire.   The infamous TJX and U.S. Department of Veterans Affairs breaches single-handedly placed data security as a prominent fixture in the media spotlight, even going as far as to prompt legislative action. After suffering the loss of 94 million records comprising credit and debit card numbers, as well as 455,000 addresses and social security 4numbers, TJX has spent or placed in reserve more than $256 million to repair the damage . The disclosures sparked widespread concern over the perceived lack of information security controls, prompting a sweeping overhaul of information technology (IT) development, operations and maintenance organization, as well as top-level personnel changes.  As Breach Notif... [download for more]