根据 IBM 关于网络安全事件的年度报告,成为数据泄露受害者的企业预计平均将遭受近 500 万美元的经济损失,与去年相比增长了 10%。这家科技巨头与 Ponemon 研究所合作,对 2023 年 3 月至 2024 年 2 月间受数据泄露影响的 604 家组织进行了研究。这些数据泄露事件影响了 16 个国家和地区的 17 个行业,泄露的个人数据从 2100 条到 113000 条不等。研究人员还采访了 3,556 位安全和 C-suite 业务领导人,他们对各自组织发生的数据泄露事件都有第一手资料。
最令 IBM 印象深刻的是,全球数据泄露的平均成本急剧上升,达到 488 万美元,是自大流行病以来的最大涨幅。2023 年的成本为 445 万美元。
在接受研究人员采访的机构中,有一半以上表示,他们正通过提高商品和服务价格,将增加的违规成本转嫁给客户。
IBM 安全部副总裁 Kevin Skapinetz 说:"企业陷入了漏洞、遏制和后果应对的持续循环之中。这种循环现在往往包括投资加强安全防御,并将漏洞费用转嫁给消费者--使安全成为新的经营成本。"
IBM 的 488 万美元基于四项活动的成本:发现漏洞的成本、通知受害者的成本、开展漏洞后应对工作的成本以及因漏洞造成的业务损失。除了法证专家、热线支持和免费信用监控处方的成本外,还有更多的间接成本,如内部调查和潜在的客户损失。
总体而言,研究人员发现,运营停机、客户流失、客服服务台人员配备以及支付更高的监管罚款等成本在去年都有所增加。仅业务损失和入侵后活动就占了 280 万美元,是过去 6 年中最高的总和。
在报告追踪的外泄事件中,45% 以上涉及客户个人数据,如纳税识别号、电子邮件和地址。43%的泄露事件涉及知识产权记录。
报告还研究了与勒索软件攻击有关的漏洞。执法部门介入的攻击可节省 100 万美元的成本,这还不包括赎金的潜在成本。在遭受勒索软件攻击的组织中,有三分之二的组织在执法部门介入后没有支付赎金。
执法部门的参与还将发现和遏制漏洞所需的时间缩短了 16 天。
医疗保健行业以 977 万美元的平均违规成本居各行业之首,自 2011 年以来一直处于领先地位。入侵成本增幅最大的行业是工业行业,去年每次入侵的平均成本增加了 83 万美元。工业领域的组织(包括化学加工和工程以及制造公司)受到高度监管,并深受运营停机的影响。
在所研究的 16 个国家和地区中,美国连续 14 年在成本方面遥遥领先,平均违规成本为 936 万美元。加拿大和日本的平均入侵成本有所下降,而意大利和中东国家的入侵成本则大幅上升。
大多数泄密事件的源头可追溯到网络钓鱼攻击或凭证泄露。网络钓鱼信息造成的泄密损失为 488 万美元,而凭证泄露造成的损失为 481 万美元。