根據(jù)IBM發(fā)布的第19期年度數(shù)據(jù)泄露成本研究報(bào)告，相較于前一周期，全球企業(yè)因數(shù)據(jù)泄露所承受的成本平均上漲了10%，達(dá)到488萬美元。此份報(bào)告的時(shí)間范圍是從2023年3月到2024年2月。

這一數(shù)字相較于2018年的386萬美元增長了26.4%，與2014年相比更是上升了39.4%。

“這份報(bào)告凸顯了我自2023年下半年以來一直關(guān)注的問題，當(dāng)時(shí)我們看到組織削減了安全團(tuán)隊(duì)和預(yù)算?！盉eauceron Security公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人David Shipley說道：“這種做法如同任由網(wǎng)絡(luò)犯罪的野火蔓延，同時(shí)卻削減了預(yù)防和應(yīng)對(duì)火災(zāi)的措施，其影響結(jié)果顯而易見?！?/span>

在對(duì)604家組織的研究中，有70%的組織遭遇了由于數(shù)據(jù)泄漏引起的極其嚴(yán)重的業(yè)務(wù)中斷。

在過去的14年中，美國一直處于數(shù)據(jù)泄露成本領(lǐng)先的位置（盡管這種地位并不是什么好事）。美國的平均數(shù)據(jù)泄露成本為936萬美元，盡管這一數(shù)字從2023年的948萬美元略有下降，但每次數(shù)據(jù)泄漏的成本仍然比世界其他地區(qū)高出五十多萬美元。在全球接受調(diào)查的16個(gè)國家和地區(qū)中，中東地區(qū)的沙特阿拉伯和阿拉伯聯(lián)合酋長國以875萬美元排名第二，這一數(shù)字高于2023年的807萬美元。值得注意的是，不同國家或地區(qū)在接受調(diào)查的組織數(shù)量上可能存在顯著差異，例如在中東地區(qū)有39名受訪者，而美國則有71名受訪者。

英國在成本榜單上位列第七，其成本為453萬美元。東盟國家包括新加坡、印度尼西亞、菲律賓、馬來西亞、泰國和越南，它們的平均成本為323萬美元，排名第十二。澳大利亞的單件成本稍低，為278萬美元，緊隨東盟之后。印度的成本則為235萬美元，居于第十五位。

連續(xù)二年，巴西以每起數(shù)據(jù)泄露成本136萬美元（盡管比2023年的122萬美元上升了11.5%）奪得了數(shù)據(jù)泄露成本最低國家的桂冠。

報(bào)告指出，攻擊類型對(duì)經(jīng)濟(jì)損失有顯著影響。破壞性攻擊中，惡意行為者刪除關(guān)鍵數(shù)據(jù)并對(duì)系統(tǒng)造成損害，其成本最高：每次數(shù)據(jù)泄漏造成的損失為568萬美元（2023年）。緊隨其后的是數(shù)據(jù)泄露和勒索軟件攻擊，分別導(dǎo)致每次數(shù)據(jù)泄漏的經(jīng)濟(jì)損失達(dá)521萬和491萬美元，位列第二和第三位。

根據(jù)Info-Tech Research Group的首席網(wǎng)絡(luò)安全顧問Fritz Jean-Louis的說法，雙重勒索攻擊已成為影響數(shù)據(jù)泄露成本的重要因素。自2023年以來，他注意到勒索軟件攻擊中出現(xiàn)了雙重勒索的情況。在這種類型的攻擊中，攻擊者不僅加密了受害者的數(shù)據(jù)，還會(huì)在加密之前泄露這些數(shù)據(jù)。通過這種方式，他們能夠同時(shí)利用被加密的數(shù)據(jù)和泄露的信息來威脅組織支付更高的贖金。這種導(dǎo)致了更高的恢復(fù)成本以及更長的業(yè)務(wù)中斷時(shí)間。

該報(bào)告指出，專業(yè)安全人員的短缺與數(shù)據(jù)泄露成本的增加有著密切的聯(lián)系。預(yù)計(jì)到2024年，有53%的企業(yè)面臨人才技能缺口，而在2023年這一比例為42%。這些企業(yè)為此付出了高昂的代價(jià)：在2024年，這些公司的數(shù)據(jù)泄露成本總計(jì)達(dá)到了574萬美元，與2023年的相比增長了7.1%，同時(shí)比全球平均成本高出86萬美元。

盡管醫(yī)療保健行業(yè)仍然是數(shù)據(jù)泄露成本最高的行業(yè)，每起事件平均損失達(dá)到977萬美元，但這個(gè)數(shù)字已有所下降。與2023年相比，每起事件的成本降低了10.6%。在17個(gè)行業(yè)中，共有四個(gè)行業(yè)的這一數(shù)字在減少，這三個(gè)行業(yè)是研究（下降2.5%）、教育（下降4.3%）和公共部門（下降2%）。

在2023年至2024年間，公共部門、零售、教育和酒店行業(yè)相繼發(fā)生了多起數(shù)據(jù)泄漏事件。盡管這些組織面臨的挑戰(zhàn)在增加，尤其是零售業(yè)的數(shù)據(jù)泄露成本在2024年上升了17.5%，酒店行業(yè)的泄露成本也增加了13.7%。

有趣的是，2016年的數(shù)據(jù)表明，教育行業(yè)的數(shù)據(jù)泄漏成本僅次于醫(yī)療保健行業(yè)。

個(gè)人身份信息（PII）在數(shù)據(jù)泄漏中被竊取的數(shù)據(jù)占比最高，2024年達(dá)到了48%，較2023年的52%略有下降。員工個(gè)人信息在2023年是第二大受關(guān)注的數(shù)據(jù)類型，占比為40%，到了2024年則降至第三位，占比為37%，其位置被知識(shí)產(chǎn)權(quán)信息所取代。到2024年，知識(shí)產(chǎn)權(quán)信息的數(shù)據(jù)被盜比例上升至47%，而2023年這一比例為34%。

排在前五名的數(shù)據(jù)類型包括匿名客戶數(shù)據(jù)和企業(yè)其他數(shù)據(jù)，它們在2023年的排名分別是第四和第五。到了2024年，這兩者位置發(fā)生了互換。

2024年新增一種數(shù)據(jù)類型：影子數(shù)據(jù)。影子數(shù)據(jù)指的是存儲(chǔ)在未被管理的數(shù)據(jù)源中的信息，而35%的安全事件涉及此類數(shù)據(jù)。更糟糕的是，報(bào)告發(fā)現(xiàn)，與非影子數(shù)據(jù)相關(guān)的安全事件相比，影子數(shù)據(jù)的被盜導(dǎo)致每次事件的成本平均高出16%。

“在不同環(huán)境中存儲(chǔ)數(shù)據(jù)的策略極為常見，它們占所有泄露數(shù)據(jù)的40%。這些數(shù)據(jù)泄露也更難被識(shí)別和控制。與之形成對(duì)比的是，在單一環(huán)境中存儲(chǔ)的數(shù)據(jù)遭受破壞的頻率較低，無論是公共云、本地服務(wù)器還是私有云，其數(shù)據(jù)泄露的比例分別約為25%、20%和15%。

IBM安全副總裁Jennifer Kady補(bǔ)充道：“在AI時(shí)代，隨著影子數(shù)據(jù)的激增，其潛在風(fēng)險(xiǎn)也隨之上升。數(shù)據(jù)已成為構(gòu)建新一代AI驅(qū)動(dòng)應(yīng)用與場景的關(guān)鍵基礎(chǔ)。從安全角度出發(fā)，對(duì)影子數(shù)據(jù)進(jìn)行有效控制和增強(qiáng)可見性變得尤為重要。企業(yè)需迅速采用生成式人工智能技術(shù)的同時(shí)，確保安全和隱私保護(hù)要走在前面?！?/span>

數(shù)據(jù)泄露的根本原因是憑證被盜或泄露，這一問題突顯出對(duì)更強(qiáng)身份驗(yàn)證機(jī)制的需求。其次，是過時(shí)的安全標(biāo)準(zhǔn)，包括網(wǎng)絡(luò)釣魚等攻擊手段。此外，云服務(wù)配置錯(cuò)誤也是一個(gè)重要因素。

對(duì)于公司而言，令人遺憾的是，在2024年，多達(dá)45%的數(shù)據(jù)泄漏是由于IT故障或人為錯(cuò)誤所導(dǎo)致。盡管惡意的內(nèi)部攻擊可能只占整體的一小部分，但它們卻是成本最高的一種，其平均損失在2024年達(dá)到了499萬美元。

Kady說：“在過去幾年中，憑證失竊已成為主要的安全威脅之一，它不僅成本高昂，而且是一種周期性趨勢的表現(xiàn)。隨著數(shù)據(jù)泄露事件的不斷增加，越來越多的密碼和憑據(jù)在暗網(wǎng)上被公開，這使得攻擊者能夠更輕易地利用這些有效憑據(jù)進(jìn)行登錄，而無需采取復(fù)雜的黑客手段。因此，更現(xiàn)代化的、基于身份的安全檢測與響應(yīng)已成為安全團(tuán)隊(duì)重點(diǎn)投資的關(guān)鍵領(lǐng)域?！?/span>

“我們常聽到的一個(gè)誤解是，眾多安全專家認(rèn)為即使憑證或個(gè)人身份信息遭到盜竊，通過加密也能確保數(shù)據(jù)的安全。然而，隨著量子技術(shù)的高速發(fā)展，我們不能僅僅依賴傳統(tǒng)加密來保證數(shù)據(jù)的安全性。因此，為了在量子時(shí)代中更好的保護(hù)數(shù)據(jù)，公司現(xiàn)在對(duì)保護(hù)其敏感數(shù)據(jù)和個(gè)人身份信息的投資，在量子時(shí)代將帶來顯著的回報(bào)?！?/span>

在2023年和2024年的調(diào)查中，受訪者被問及了執(zhí)法部門的參與對(duì)勒索軟件攻擊的影響。報(bào)告顯示，到2024年，有52%的勒索軟件受害者聯(lián)系了執(zhí)法部門。在這些聯(lián)系執(zhí)法部門的人群中，63%的人選擇了不支付贖金。與那些未聯(lián)系執(zhí)法部門的人員相比，這些人總共節(jié)省了近100萬美元（除去贖金支付），他們的數(shù)據(jù)泄露成本在2023年為464萬美元，而在2024年下降至438萬美元。同時(shí)，在缺乏執(zhí)法部門參與的情況下，平均數(shù)據(jù)泄露成本從2023年的511萬美元增加到2024年的537萬美元。

執(zhí)法部門的介入還有效地提高了對(duì)勒索軟件攻擊事件的識(shí)別與控制效率，將應(yīng)對(duì)這類事件所需的時(shí)間由原先的297天縮減至281天。

根據(jù)報(bào)告顯示，到2024年，采用安全AI與自動(dòng)化工具的企業(yè)在遭遇每次信息泄露后可節(jié)約成本約222萬美元，相較而言，這一數(shù)字在2023年為176萬美元。

“在本報(bào)告開始發(fā)布以來的大部分時(shí)間內(nèi)，盡管數(shù)據(jù)泄露造成的損失在持續(xù)增加，但我們注意到對(duì)關(guān)鍵安全技術(shù)和方法的應(yīng)用及投資有了顯著改善?！盞ady補(bǔ)充說：“越來越多的組織正在采用基于人工智能和自動(dòng)化的安全措施，這些措施的核心目標(biāo)是提高響應(yīng)速度——這是減少數(shù)據(jù)泄露成本的關(guān)鍵因素之一。此外，除了技術(shù)上的投入外，更多的企業(yè)正致力于完善事件響應(yīng)流程，他們不僅通過技術(shù)手段，還借助更為正式的劇本指導(dǎo)整個(gè)企業(yè)在應(yīng)對(duì)安全威脅時(shí)的角色和行動(dòng)?！?/span>

不斷變化的安全環(huán)境意味著公司需要修改其戰(zhàn)略。Kady 說：“與 10 年前相比，安全專業(yè)人員負(fù)責(zé)保護(hù)的當(dāng)今 IT 環(huán)境規(guī)模呈指數(shù)級(jí)增長，復(fù)雜程度也呈指數(shù)級(jí)增長，員工使用新應(yīng)用程序和云資源的輕松程度和速度前所未有?！皥?bào)告的調(diào)查結(jié)果強(qiáng)調(diào)了這些問題的嚴(yán)重性，其中40%的數(shù)據(jù)泄露涉及跨多個(gè)環(huán)境存儲(chǔ)的數(shù)據(jù)，35%涉及到影子數(shù)據(jù)。”

根據(jù)Shipley的觀點(diǎn)，為了有效應(yīng)對(duì)有組織的網(wǎng)絡(luò)犯罪，組織內(nèi)部以及國家層面的持續(xù)網(wǎng)絡(luò)安全投資是至關(guān)重要的?！皯?yīng)當(dāng)注重對(duì)人員、流程、文化和技術(shù)的投資，以提高組織的安全防護(hù)水平。同時(shí)，應(yīng)避免過度炒作人工智能工具，轉(zhuǎn)而重視基礎(chǔ)知識(shí)的建設(shè)，包括身份、資產(chǎn)管理和安全文化。”

 * 本文為陳發(fā)明編譯，原文地址：https://www.csoonline.com/article/3479321/the-cost-of-a-data-breach-continues-to-escalate.html