IBM《2022年数据泄露成本报告》：接近一半的泄露事件发生在云上

IBM安全在7月发布新版《2022年数据泄露成本报告》，报告结合独立研究机构波尼蒙研究所的调研数据，IBM安全最终完成分析并发布。该报告以年度单位发布，距今已有17个年头，今年的报告是根据2021年3月至2022年3月期间对17个国家/地区的550家组织的采访调研编制而成。报告为商业化成熟的IT、风险管理和安全领导提供一个视角，有助于让他们更好的管理本地与云端数据泄露风险，对国内企业出海也有一定参考意义。

关于该报告提及的数据泄露成本，指的是从安全事件发生，到应急响应结束，组织业务系统完全恢复，前、中、后所产生的所有支出，如事件的调查费用，聘请安全专家的费用，采用安全产品或服务的费用，组织的危机管理费用，以及业务停摆损失及声誉损失，相应的法律合规损失，与组织为客户提供的缓解举措成本等等。该报告强调，参与调研的事件当中不包含特大违规行为，即超过100万条数据泄露事件，因为大型违规事件的平均成本通常在数千万到数亿美元之间。

报告表示，2022年，总体而言的数据泄露成本达到历史新高，平均为435万美元，该数字相比去年增加了2.6%，2021年数据泄露成本为424万美元。而相比2020年的386万美元，2022年的数据泄露成本增长了12.7%。

在关键基础设施一侧，数据泄露的平均成本则为482万美元，比其他行业组织的平均成本高100美元。关基行业包括金融服务、工业、技术、能源、交通、通信、医疗、教育和公共部门，本次调研显示，28%的关基单位在过去一年遭受过勒索软件攻击。

在此次参与调研的机构当中，11%的数据泄露事件因勒索攻击造成，相比2021年的7.8%有所增加。数据显示，勒索软件攻击的平均成本略有下降，从2021年的462万美元降到了2022年的454万美元（不包含支付赎金的成本），但这一成本仍然高于数据泄露的总体平均成本。数据泄露的主要原因被归咎于凭证泄露，它造成了总体的20%的数据泄露。网络钓鱼是第二常见的原因，占了16%。

在过去一年，近一半的数据泄露发生在云上，报告指出这一比例占据了45%。其中混合云的数据泄露成本为380万美元，私有云则为424万美元，公有云则为502万美元。在云端安全实践方面，26%的组织说他们处于云安全实践的早期阶段，34%的组织处于中期阶段，只有23%的组织处处成熟阶段。另外，还有17%的组织云安全实践几乎为零。

此前国内网络安全上市企业山石网科发布《数据安全治理白皮书》也曾指出，在云计算环境下，数据安全流动问题凸出，面临黑客攻击、数据泄露、数据滥用、操作失误等内外部风险，数据安全已成为云上安全的防护重点。其白皮书指出，针对云计算环境的数据安全解决方案，则需要深度融入云环境和大数据环境当中，安全设备的堆砌无法彻底解决数据安全问题带来的投资和运维复杂问题。

令人遗憾的一份数据显示，参与调研的550个组织当中，83%的组织表示他们不止经历一次数据泄露事件，报告分析，安全团队正面临着空前的压力，在疫情造成的远程工作的普遍存在当下，全球的数据泄露事件可能还会持续攀升。另外一份数据更加耐人寻味，参与调研的60%的企业表示他们因为数据泄露的发生，提升了他们的产品和服务的价格。

该报告指出，在各行业当中，医疗机构仍然是数据泄漏成本最高的行业，且这一趋势已保持了12年之久，他们的平均数据泄露成本又高出100万美元。而美国是数据泄露成本全球最高的国家，其平均数据泄露成本为944万美元，在美医疗机构的数据泄露成本则高达1010万美元。金融机构的数据泄露成本紧随其后。之所以其数据泄露成本更高，主要是它们均是受到严格监管的行业，而这些行业通常表现为泄露后的几年内产生来自法律方面的成本。

在全球范围，数据泄露平均成本最高的前五个国家和地区分别是：美国944万美元、中东746万美元、加拿大564万美元、英国505万美元和德国485万美元。增速最快的国家是巴西，从108万美元增长到了138万美元。

在数据泄露生命周期方面，组织一侧识别和控制数据泄露的平均时间从2021年的287天降至277天，这意味着，如果数据泄露发现在当年的1月1日，那么组织需要在10月4日才能确定和遏制数据泄露。报告说该水平为过去几年里的平均水平，这也代表着组织对发现和应急处理数据泄露的水平高低。报告进一步表示，数据泄露生命周期如果超过200天，其数据泄露成本为486万美元，低于200天的话，则会降至374万美元。

报告关注了具有安全建设基线的数据泄露成本，为此他们引用了两个数据来说明问题，一个是在没有部署安全AI和自动化相关产品的组织在数据泄露的成本方面是620万美元，有部署的数据泄露成本则为315万美元，这显示了安全支出的重要性。报告还指出，在部署安全AI和自动化的前提下，漏洞生命周期的影响时间平均缩短了74天，他们的分别影响时间是249天和323天。

报告还分析了组织在其它安全工具加持下，对于数据泄露成本方面的影响。比如拥有XDR技术的组织就比没有XDR组织在发现和控制漏洞的速度快29天，且可解约40万美元成本。部署零信任的组织平均节约近100万美元数据泄露成本，在受访组织当中，41%的组织表示他们已经部署了零信任安全架构。

中国信通院此前发布的《数据安全技术与产业发展研究报告（2021年）》关注了IBM在数据安全领域内的发展情况，该报告指出，伴随数字技术不断发展，人工智能、大数据、云计算等新技术不断成熟落地，IBM等国外头部厂商充分利用人工智能能技术在算法优化、数据处理、漏洞分析、响应速度待方面的优势，研发并推出了“人工智能+数据安全”等数据安全解决新方案，以期更加高效和快速响应，解决数据安全风险。

信通院报告在观察国内数据安全产业发展时则表示，数字经济飞速发展的同时，数据泄露、滥用事件层出不穷。近几年数据安全法律法规、监管政策不断出台，企业数据安全防护、监测、监管、隐私保护等需求逐步显现，推动数据安全产品和服务快速发展。从国内上市网络安全企业奇安信、中孚信息、天融信财报来看，其数据安全产品均已成为公司主要盈利产品。信通院报告认为，数据安全市场规模不断扩大，未来3到5年内将继续保持调整增长态势。

观察发现，尽管国内关于企业不履行合规义务造成网络安全、数据泄露事件的处罚力度不断加大，但与欧美发达国家相比，监管手段方面仍需要不断完善，如某安全公司高管在接受安全419采访时表示，我国尚未实行网络安全披露制度，这就会造成绝大多数企业瞒报安全事件、数据泄露事件，这对企业自身与安全产业的发展均无益处。

THE END