IBM报告：2023年数据泄露平均成本高达445万美元，51%企业计划增加安全投资

摘译 | 林心雨/赛博研究院实习研究员

来源 | IBM

(资料图)

该报告所研究的数据泄露事件发生在16个国家和地区，涉及17个不同行业。整个报告中探讨了数据泄露的根本原因以及短期和长期后果，还探讨了能够使公司减少数据泄露损失的要素和技术。

本文基于对《2023年数据泄露成本报告》研究数据的分析，主要介绍该报告的11个关键发现点。

445万美元-数据泄露的平均总成本

数据泄露的平均成本在2023年达到历史新高，为445万美元。这比2022年的435万美元增加了2.3%。从长期来看，平均成本比2020年报告中的386万美元增加了15.3%。

51%-因数据泄露而计划增加安全投资的组织所占百分比

虽然数据泄露成本持续上升，但受访者对于是否计划因数据泄露而增加安全投资的意见几乎各占一半。需要增加投资的首要领域包括事件响应 (IR) 规划和测试、员工培训以及威胁检测和响应技术。

176万美元-广泛使用人工智能和自动化技术对安全成本的影响

安全的人工智能和自动化技术是降低成本、最大限度缩短识别和遏制漏洞时间的重要投资。广泛使用这些技术的组织平均缩短了108天的时间来识别和控制安全漏洞。与未使用安全人工智能和自动化功能的组织相比，它们还报告称数据泄露损失成本降低了176万美元。

1/3-企业自身安全团队或工具发现泄露的次数

只有三分之一的公司是通过自己的安全团队发现数据泄露的，这说明组织需要配备更完善的威胁检测技术。67%的数据泄露事件是由良性第三方或攻击者自己报告的。与内部检测相比，当攻击者披露漏洞时，企业要多付出近100万美元的代价。

47万美元-未寻求法律帮助的受害者的额外成本

该年度的报告表明，受访者在遭受勒索软件攻击后，如果不向执法部门汇报，则会导致更高的损失。63%的受访者表示他们寻求了法律帮助，而没有执法部门介入的37%的受访者则多支付了9.6%的费用，并经历了长达33天的数据泄露生命周期。

53.3%-医疗保健领域数据泄露成本的增加

自2020年以来，受到高度监管的医疗保健行业的数据泄露成本上升了53.3%。医疗保健行业连续第13年报告了成本最高的数据泄露事件，平均成本为1093万美元。

82%-涉及存储在云环境中的数据的比例

2023年，云环境经常成为网络攻击者的攻击目标。攻击者通常可以访问多个环境，其中39%的漏洞涉及多个环境，造成的损失高达475万美元。

168万美元-采用DevSecOps节约的成本

软件开发过程中的集成安全测试（DevSecOps）在2023年显示出可观的投资回报率。DevSecOps采用率高的组织比采用率低或未采用的组织节省了168万美元。与其他降低成本的因素相比，DevSecOps节省的成本最多。

149万美元-组织通过IR规划和测试实现的成本节约

IR规划和测试不仅是组织的优先投资项目，也是控制数据泄露成本的高效策略。IR规划和测试水平高的组织比水平低的组织节省了149万美元。

144万美元-安全系统复杂度高的组织泄露成本的增加

安全系统复杂性较低或未建立安全系统的组织在2023年数据泄露的平均成本为384万美元。安全系统复杂度高的组织数据泄露的平均成本为528万美元，相较往年增加了31.6%。

102万美元-数据泄露生命周期超过200天与不足200天的平均成本差异

识别和解决数据泄露的时间（即数据泄露生命周期）仍然是影响组织总体经济损失重要的一部分。识别和解决时间少于200天的数据泄露事件使企业损失393万美元，超过200天的漏洞则会造成495万美元的损失，两者相差23%。

标签：