7月24日,IBM釋出了《2023年資料洩露成本報告》。該報告調查了在2022年3月至2023年3月期間受到資料洩露影響的553家組織,報告中提到,2023年全球資料洩露的平均成本達到445萬美元,創下曆史新高。
摘譯 | 林心雨/賽博研究院實習研究員
來源 | IBM
該報告所研究的資料洩露事件發生在16個國家和地區,涉及17個不同行業。整個報告中探讨了資料洩露的根本原因以及短期和長期後果,還探讨了能夠使公司減少資料洩露損失的要素和技術。
本文基于對《2023年資料洩露成本報告》研究資料的分析,主要介紹該報告的11個關鍵發現點。
445萬美元-資料洩露的平均總成本
資料洩露的平均成本在2023年達到曆史新高,為445萬美元。這比2022年的435萬美元增加了2.3%。從長期來看,平均成本比2020年報告中的386萬美元增加了15.3%。
51%-因資料洩露而計劃增加安全投資的組織所占百分比
雖然資料洩露成本持續上升,但受訪者對于是否計劃因資料洩露而增加安全投資的意見幾乎各占一半。需要增加投資的首要領域包括事件響應 (IR) 規劃和測試、員工教育訓練以及威脅檢測和響應技術。
176萬美元-廣泛使用人工智能和自動化技術對安全成本的影響
安全的人工智能和自動化技術是降低成本、最大限度縮短識别和遏制漏洞時間的重要投資。廣泛使用這些技術的組織平均縮短了108天的時間來識别和控制安全漏洞。與未使用安全人工智能和自動化功能的組織相比,它們還報告稱資料洩露損失成本降低了176萬美元。
1/3-企業自身安全團隊或工具發現洩露的次數
隻有三分之一的公司是通過自己的安全團隊發現資料洩露的,這說明組織需要配備更完善的威脅檢測技術。67%的資料洩露事件是由良性第三方或攻擊者自己報告的。與内部檢測相比,當攻擊者披露漏洞時,企業要多付出近100萬美元的代價。
47萬美元-未尋求法律幫助的受害者的額外成本
該年度的報告表明,受訪者在遭受勒索軟體攻擊後,如果不向執法部門彙報,則會導緻更高的損失。63%的受訪者表示他們尋求了法律幫助,而沒有執法部門介入的37%的受訪者則多支付了9.6%的費用,并經曆了長達33天的資料洩露生命周期。
53.3%-醫療保健領域資料洩露成本的增加
自2020年以來,受到高度監管的醫療保健行業的資料洩露成本上升了53.3%。醫療保健行業連續第13年報告了成本最高的資料洩露事件,平均成本為1093萬美元。
82%-涉及存儲在雲環境中的資料的比例
2023年,雲環境經常成為網絡攻擊者的攻擊目标。攻擊者通常可以通路多個環境,其中39%的漏洞涉及多個環境,造成的損失高達475萬美元。
168萬美元-采用DevSecOps節約的成本
軟體開發過程中的內建安全測試(DevSecOps)在2023年顯示出可觀的投資回報率。DevSecOps采用率高的組織比采用率低或未采用的組織節省了168萬美元。與其他降低成本的因素相比,DevSecOps節省的成本最多。
149萬美元-組織通過IR規劃和測試實作的成本節約
IR規劃和測試不僅是組織的優先投資項目,也是控制資料洩露成本的高效政策。IR規劃和測試水準高的組織比水準低的組織節省了149萬美元。
144萬美元-安全系統複雜度高的組織洩露成本的增加
安全系統複雜性較低或未建立安全系統的組織在2023年資料洩露的平均成本為384萬美元。安全系統複雜度高的組織資料洩露的平均成本為528萬美元,相較往年增加了31.6%。
102萬美元-資料洩露生命周期超過200天與不足200天的平均成本差異
識别和解決資料洩露的時間(即資料洩露生命周期)仍然是影響組織總體經濟損失重要的一部分。識别和解決時間少于200天的資料洩露事件使企業損失393萬美元,超過200天的漏洞則會造成495萬美元的損失,兩者相差23%。
CYBER RESEARCH INSTITUTE