2022年必须知道的89 个数据泄露统计

数据泄露的成本

数据泄露对企业来说代价高昂，这已不是什么秘密。为了计算数据泄露的平均成本，安全机构收集了被泄露组织遭受的直接和间接费用。

直接费用包括安全专家、热线支持、信用监控订阅和潜在的和解。间接成本包括内部调查和沟通，以及客户流失率或违规后公司声誉受到影响而降低的费率。请参阅下文，了解遭遇违规的代价有多大，以及哪些因素导致成本进一步上升。

1. 勒索软件泄露的平均总成本为 462 万美元，略高于 424 万美元的平均数据泄露 ( IBM )。 

2. 从 2020 年到 2021 年，数据泄露的平均每条记录（人均）成本增加了 10.3%（IBM）。

3. 医疗保健的平均总成本从 2020 年的 713 万美元增加到 2021 年的 923 万美元，增长了 29.5% ( IBM )。

4. 2021 年，失去的商业机会在违规成本中占最大份额，平均总成本为 159 万美元( IBM )。

5. 生命周期超过 200 天的违规平均成本为 487 万美元( IBM )。

6. 39% 的成本发生在数据泄露一年多之后( IBM )。

7. 2021 年，美国是数据泄露平均总成本最高的国家，为 905 万美元( IBM )。

8. 2021 年最大违规事件的平均成本为 4.01 亿美元（50 至 6500 万条记录），比 2020 年的 3.92 亿美元（IBM）有所增加。

9. 每年，在违规后的两年内，医院在广告上的花费增加了 64% （American Journal of Managed Care）。

10. 部署成熟的零信任与未部署的违规成本差异为 176 万美元( IBM )。

11. 与低级别的合规失败相比，高级别违规的最大差异为 230 万美元( IBM )。

数字违规

在准备和管理数据泄露时需要考虑许多因素，例如响应数据泄露所需的时间以及它对您公司的声誉影响。阅读下文以了解违规行为是如何发生的、查看平均响应时间并了解其他重要信息。

违规是如何发生的 

1. 平均每月有 4,800 个网站受到表单劫持代码( Symantec ) 的影响。

2. 2018 年 34% 的数据泄露事件涉及内部参与者( Verizon )。

3. 71% 的违规行为是出于经济动机（Verizon）。

4. 勒索软件占使用恶意软件的事件的近 24% ( Verizon )。

5. 2016 年 95% 的泄露记录来自政府、零售和技术部门( TechRepublic )。

6. 2019 年，36% 的外部数据泄露参与者参与了有组织犯罪( Verizon )。

平均响应时间和生命周期

1. 识别数据泄露平均需要 287 天( IBM )。

2. 控制违规的平均时间是 80 天( IBM )。

3. 医疗保健和金融行业的数据泄露生命周期最长，分别为 329 天和 233 天( IBM )。

4. 2020 年恶意或犯罪攻击的数据泄露生命周期平均需要 315 天( IBM )。

5. Microsoft Office 文件占恶意电子邮件附件的 48% ( Symantec )。

6. 从 2016 年到 2018 年，最活跃的攻击组平均针对 55 个组织（赛门铁克）。

关键信息

1. 2017 年至 2018 年间，全球每天阻止的 Web 攻击数量增加了 56.1% ( Statista )。

2. 在过去十年中，美国的数据泄露事件数量显着增加，从 2010 年的仅 662 起增加到 2021 年的 1,000 多起( Statista )。

3. 在 2018 年第三季度，办公应用程序是全球最常被利用的应用程序（Statista）。

4. 从 2017 年到 2019 年，受健康数据泄露影响的人数增加了 80% ( Statista )。

5. 通过窃取每个网站的 10 张信用卡，网络犯罪分子通过表单劫持攻击（赛门铁克）赚取高达 220 万美元。

远程工作特定的数据泄露

随着世界继续努力应对 COVID-19 大流行，企业和行业在全球每个角落都在为生存而战。大流行为能够针对医疗保健行业的弱势受害者以及失业或远程工作的网络犯罪分子开辟了道路。以下是与大流行相关的一些最具影响力的数据泄露统计数据。

1. 当远程工作是导致数据泄露的一个因素时，数据泄露的平均总成本要高出 100 万美元以上，而远程工作不是一个因素的数据泄露事件( IBM )。

2. 拥有超过 60% 的员工远程工作的组织的平均数据泄露成本高于没有远程工作人员的组织( IBM ) 。

3. 当组织没有调整其 IT 以应对大流行或进行其他类似更改时，违规的平均成本为 501 万美元，而全球总体平均成本为 424 万美元( IBM )。

4. 估计显示，仅在 2020 年 5 月，每周就有多达 192,000 起与冠状病毒相关的网络攻击，与 2020 年 4 月（Unisys）相比增加了 30%。

5. 2021 年，酒店业 98% 的销售点数据泄露事件都是出于财务动机 ( Verizon )。

6. 今年，医疗保健行业已确认的数据泄露事件增加了 58% ( Verizon )。

7. Web 应用程序泄露占所有泄露的 43%，自 2019 年以来翻了一番（Verizon）。

8. 5 月，33,000 名失业申请人通过大流行性失业援助计划 ( NBC ) 暴露于数据安全漏洞。

9. 联邦灾难贷款申请的数据泄露在他们的申请被曝光后影响了 8,000 名小企业主 ( US PIRG )。

10. 网络诈骗在 2020 年 3 月增加了 400%，使 COVID-19 成为有史以来最大的安全威胁 ( Reed Smith )。

数据泄露风险

IBM 的数据泄露成本报告 发现，数据泄露的平均成本为 386 万美元，并且呈上升趋势。这些数据尤其验证了投资于预防性数据安全的重要性。请参阅下面的数据泄露风险统计数据，以帮助量化这些破坏性攻击的影响、动机和原因。

1. 截至 2021 年，一名金融服务员工可以访问 1100 万份文件( Varonis )。

2. 平均分布式拒绝服务 (DDoS) 攻击增长到超过 26 Gbps，规模增加了 500% ( Nexusguard )。

3. 2020 年第一季度，DDoS 攻击与 2019 年第一季度相比增长了 278% 以上，与上一季度相比增长了 542% 以上 ( Nexusguard )。

4. 9,637 次攻击介于 10 Mbps 和 30 Mbps ( Nexusguard ) 之间。

5. 2021 年，超过 64% 的金融服务公司拥有 1,000 多个敏感文件可供每位员工访问( Varonis )。

6. 到 2021 年，平均 70% 的敏感数据被认为是陈旧的( Varonis )。

7. 58% 的公司发现 1,000 多个文件夹具有不一致的权限( Varonis )。

8. 只有 5% 的公司文件夹受到保护( Varonis )。

9. 59% 的金融服务公司拥有超过 500 个永不过期的密码，近 40% 的公司拥有超过 10,000 个幽灵用户( Varonis ) 。

10. 小型企业占数据泄露受害者( Verizon ) 的 28%。

11. 超过 80% 的黑客攻击涉及暴力破解或使用丢失或被盗的凭据( Verizon )。

12. 每 39 秒就会发生一次网络攻击（马里兰大学）。

13. 数据泄露的规模越大，组织在接下来的两年内再次发生泄露的可能性就越小（IBM）。

14. 人为错误导致 23% 的数据泄露( IBM )。

15. 62% 的不涉及错误、滥用或物理行为的违规行为涉及使用被盗凭据、暴力破解或网络钓鱼( Varonis )。

违反预测

在快速发展的数据安全领域，企业所有者随时了解所有潜在问题至关重要。以下是未来几年可能发生的预计网络安全事件。

1. 到 2025 年，全球网络犯罪估计将造成 10.5 万亿美元的损失，同比增长 15% （网络安全风险投资公司）。

2. 攻击者将对生物识别黑客攻击归零，并暴露触摸 ID 传感器、面部识别和密码( Experian ) 中的漏洞。

3. 略读并不是什么新鲜事，但下一个前沿可能是对大型金融机构的国家网络进行企业范围的攻击，从而导致数百万美元的损失（Experian）。

4. 据预测，一家主要的无线运营商将同时受到攻击，同时影响 iPhone 和 Android。网络犯罪分子可以窃取数百万消费者的个人信息，可能会禁用美国的所有无线通信( Experian )。

5. 云供应商可能会遭受破坏，损害数百家财富 1000 强公司( Experian ) 的敏感信息。

6. 在线游戏社区将成为一个新兴的黑客表面，网络犯罪分子冒充游戏玩家并获得对信任玩家的计算机和个人数据的访问权限（Experian）。

历史数据泄露统计

历史上记录的一些最大的数据泄露事件发生在 2005 年及以后。一旦政府和企业从纸质存储转向数字存储，数据泄露就变得更加普遍。

仅在 2005 年， Privacy Rights Clearinghouse就报告了 136 起数据泄露事件，自那时以来已公开了 4,500 多起数据泄露事件。但是，有理由相信实际的数据泄露数量可能要高得多，因为隐私权信息交换所报告的一些数据泄露事件的受损记录数量未知。仅 2014年Verizon 数据泄露调查就报告了 2,100 起数据泄露事件，其中暴露了 7 亿条记录。

下面，我们提供了导致并启动数据渗透时代的数据泄露统计数据列表。

1. 第一个计算机病毒，称为 Creeper，是在 1970 年代初期（信息史）发现的。

2. 2005 年，隐私权信息交换所开始了其数据泄露年表（赛门铁克）。

3. 2005 年的第一次数据泄露（DSW Shoe Warehouse）暴露了超过一百万条记录（赛门铁克）。

4. 最大的内部攻击发生在 1976 年至 2006 年间，当时波音公司的 Greg Chung 窃取了价值 20 亿美元的航空航天文件并将其交给中国( NBC )。

5. AOL 是 1996 年网络钓鱼攻击（网络钓鱼）的第一个已知受害者。

6. 截至 2015 年，全球 25% 的数据需要安全但未受到保护 ( Statista )。

7. 2017 年，美国三大信用报告机构之一的 Equifax 意外暴露了 1.455 亿个账户，包括美国消费者的姓名、社会安全号码、出生日期、地址，在某些情况下还包括驾照号码（赛门铁克）。

8. 社交媒体数据泄露占 2018 年上半年数据泄露的 56% ( ITWeb )。

9. 在过去的 10 年中，发生了 300 起涉及盗窃 100,000 条或更多记录的数据泄露事件（《福布斯》）。

10. 美国在 2018 年发生了 1,244 起数据泄露事件，暴露了 4.465 亿条记录( Statista )。

11. 数据泄露在 2019 年前六个月暴露了 41 亿条记录（福布斯）。

12. 截至 2019 年，网络攻击被认为是全球稳定的前五名风险（世界经济论坛）。

记录的最大数据泄露

数据泄露正变得越来越普遍，最近的一些数据泄露事件是有记录以来最大的。以下是历史上最大的数据泄露事件。

1. 雅虎保持着有史以来最大的数据泄露记录，拥有 30 亿个受损账户( Statista )。

2. 2019 年，First American Financial Corp. 在网上暴露了 8.85 亿条记录，包括银行交易、社会保险号等。（小发明）

3. 2019 年，Facebook 在亚马逊云服务器( CBS ) 上暴露了 5.4 亿条用户记录。

4. 2018 年，万豪国际数据泄露事件影响了大约 5 亿客人（纽约时报）。

5. 2016 年，AdultFriendFinder 网络被黑，暴露了 4.12 亿用户的私人数据（ID Strong）。

6. Experian 旗下的 Court Ventures 无意中将信息直接出售给了越南的欺诈服务机构，涉及多达 2 亿条记录（福布斯）。

7. 2017 年，近 2 亿选民的数据从 Deep Root Analytics ( CNN ) 在线泄露。

8. 2014年，eBay 遭到黑客攻击，导致访问了 1.45 亿条记录（雅虎）。

9. 在 2008 年和 2009 年，Heartland Payment Systems 遭受了数据泄露，导致 1.3 亿条记录被泄露（汤姆指南）。

10. 2007 年，TJX Companies Inc. 的一次安全漏洞泄露了 9400 万条记录（《信息周刊》）。

11. 2015 年，Anthem 经历了一次泄露，泄露了 8000 万条记录( Anthem )。

12. 2013 年，Target 确认了一个泄露 7000 万条记录的漏洞( KrebsOnSecurity )。

数据泄露预防

您可以采取多种积极主动的方法来降低发生违规的机会。识别数据的网络安全风险是一个很好的起点。了解公司如何调整预算和优先事项以保护其资产和客户免受网络攻击。

1. 63% 的公司已经实施或计划实施生物识别系统（Veridium）。

2. 17% 的 IT 安全专业人员报告说，信息安全是 2018 年预算增幅最大的( ZDNet )。

3. 80% 的组织打算增加 2018 年的安全支出( ZDNet )。

4. 据预测，2017 年至 2021 年间，全球网络安全支出将累计超过 1 万亿美元（Cybersecurity Ventures）。

5. 在全球范围内，与 2018 年相比，2019 年的 IT 安全支出预计将增长 8.7% ( Gartner )。

6. 自 2013 年以来，勒索软件总体下降了 20%，但企业公司（赛门铁克）上升了 12%。

7. 基于硬件的安全服务的预算分配从 2015 年的 20% 下降到 17%，这些服务通常缺乏可移植性和在虚拟基础架构中有效运行的能力。（451 研究）。

8. 可以复制某些安全运营功能的 MSSP 的预算分配在 2017 年底适度增长至 14.7%，但安全专业人员预计到 2021 年这一比例将增长至 17.3% （451 Research）。

数据泄露的定义

按天统计的数据泄露

数据泄露是指未经许可访问机密或敏感信息的任何事件。注意：数据不一定要从网络中泄露才能被视为违规行为。违规是未经授权访问计算机系统或网络的犯罪分子发起网络攻击的结果。然后，他们窃取其中包含的客户或用户的私人、敏感或机密个人和财务数据。

数据泄露中使用的常见网络攻击有：

勒索软件

恶意软件

网络钓鱼

拒绝服务

数据泄露的起源 

尽管由于云计算和数字存储的增加，如今数据泄露似乎更加普遍，但只要公司维护机密信息和私人记录，它们就已经存在。然而，在 1980 年代，公开披露的数据泄露事件的频率有所增加，并且在 2000 年代初期对数据泄露事件的认识有所提高。

据安全不足办公室称，1984 年，名为 TRW（现称为 Experian）的全球信用信息公司遭到黑客攻击，9000 万条记录被盗。1986 年，加拿大税务局窃取了 1600 万条记录。

大多数关于数据泄露的公开信息只能追溯到 2005 年。2020 年，多项调查显示，超过一半的美国人担心自然灾害期间的数据泄露，以及大流行导致的人身安全。今天的数据泄露往往会在一次公司范围内的攻击中影响数百万消费者。

数据泄露是如何发生的？

当网络犯罪分子渗透数据源并提取机密信息时，就会发生数据泄露。这可以通过访问计算机或网络来窃取本地文件或远程绕过网络安全来完成。虽然大多数数据泄露归因于黑客攻击或恶意软件攻击，但其他泄露方法包括内部泄露、支付卡欺诈、文件物理硬盘驱动器丢失或被盗以及人为错误。数据泄露中最常见的网络攻击概述如下。

勒索软件 

勒索软件是获得并锁定对重要数据的访问的软件。数据在文件和系统中加密，并且通常以加密货币的形式收取费用以重新获得对它们的访问权限。

共同目标：企业公司和企业 

恶意软件

恶意软件，通常称为“恶意软件”，是一个描述任何有害探测系统的程序或代码的术语。恶意软件旨在感染您的计算机，并且通常伪装成针对有害软件的警告。虚假警告试图说服用户下载不同类型的软件，虽然它不会损坏系统的物理硬件，但它可以窃取、加密或劫持计算机功能。

当您浏览被黑网站、下载受感染文件或从缺乏反恶意软件安全性的设备打开电子邮件时，恶意软件可能会侵入您的计算机。

共同目标：个人和企业

网络钓鱼

网络钓鱼诈骗是黑客获取敏感或机密信息的最常见方式之一。网络钓鱼涉及发送看似来自信誉良好的公司的欺诈性电子邮件，其目的是欺骗收件人单击恶意链接或下载受感染的附件，通常是为了窃取财务或机密信息。

共同目标：个人和企业

拒绝服务 (DDoS)

拒绝服务是一种网络攻击，其中犯罪者试图通过暂时或无限期地中断连接到互联网的主机的服务，使其目标用户无法使用机器或网络资源。它通常是通过向目标机器或资源充斥多余的请求来实现的，以试图使系统过载并阻止某些或所有合法请求得到满足。

共同目标：托管在知名 Web 服务器上的站点或服务，例如银行

数据泄露防御 + 预防资源

随着未来几年预计会有更多的迭代，公司需要从 GDPR 中汲取教训并更新其数据治理实践。正确设置文件权限和删除陈旧数据至关重要。

保持数据分类和治理达到标准有助于保持对HIPAA、SOX、ISO 27001等数据隐私法规的遵守。如今，现代解决方案提供了强大的保护和更主动的安全方法，以确保敏感信息的安全。

检查您的数据泄露响应计划并尝试免费的风险评估，以了解您的漏洞所在。

以下资源提供了有关改进数据保护的更多信息以及数据泄露预防提示。

Varonis 红色警报数据泄露报告

Varonis 2021 年财务数据风险报告

Verizon 的数据泄露调查报告 (DBIR)

IBM 2020 年数据泄露成本报告 

DataLossDB，由开放安全基金会维护

 波耐蒙研究所

数据泄露风险计算器

身份盗窃资源中心

基于风险的年中数据泄露报告

数据泄露保险类型

为了减轻数据丢失带来的风险，许多公司现在都在购买数据泄露保险，以支持他们的数据泄露预防和缓解计划。数据泄露保险有助于支付与数据安全泄露相关的成本。它可用于支持和保护范围广泛的组件，例如公共关系危机、保护解决方案和责任。它还可能涵盖因违规而累积的任何法律费用。

常见的数据泄露保险类型有：

第一方保险

由于数据泄露会导致许多不同类型的后果，因此将花费大量时间和金钱来恢复。通过恢复数据和通知利益相关者，第一方保险涵盖以下内容：

调查成本

通知所有受影响的各方

现场查询

帮助受影响各方的工具

第三方保险

第三方保险主要由承包商和 IT 专业人员用来减轻他们的责任。承保的费用可能包括以下内容：

律师费

定居点

判决和责任

其他法庭费用，如证人费、案卷费等。

数据泄露统计常见问题解答

以下是有关数据泄露的一些最常见问题，其答案由数据泄露统计数据和事实支持。

发生了多少数据泄露事件？

答：隐私权信息交换所保留了可追溯到 2005 年的数据和公共安全漏洞的年表。数据泄露的实际数量未知。隐私权信息交换所估计自 2005 年以来已经发生了 9,044 起公共违规事件，但可以推测更多，因为该组织没有报告泄露记录数量未知的违规行为。

历史上最大的数据泄露事件是什么？

答：雅虎拥有 30 亿个受损帐户 ( Statista )，创下了有史以来最大的数据泄露记录。

2020 年发生了多少数据泄露事件？

答：2020 年确认的数据泄露事件为 3,950 起（Verizon）。

数据泄露的成本是多少？

答：截至 2020 年，数据泄露的平均总成本为 386 万美元 ( IBM )。

数据泄露的平均规模是多少？

答：25,575 条记录 ( IBM )。

无论是哪个行业，毫无疑问，数据安全和防御对于我们所处的数字经济中的公司都非常有价值。评估您企业的网络安全风险，以在公司范围内做出改变并改善整体安全行为。

通过尽一切可能保护您的企业免受数据泄露，避免成为数据泄露统计数据。

2022年数据泄露调查报告

2022年内部威胁成本全球报告

2021年数据泄露成本报告

网络安全数据统计

公众号回复 20220605 获取图中资源

黑客急于利用微软的零日漏洞

美国勒索软件工作组 (RTF)介绍

2022年最值得关注的Linux恶意软件

最厉害的网络犯罪收入超过商业公司领导

美国互联网为什么要开放接入光纤来改善

“我们不会追踪你……除非我们得到报酬。”

俄罗斯军队正在证明在战区使用手机是一个非常愚蠢的行为

曾经它的名字很牛而且家喻户晓，现在却一点没用了。

原文始发于微信公众号（网络研究院）：2022年必须知道的89 个数据泄露统计