IBM Security：数据泄露成本创历史新高

IBM Security 委托进行的一项研究表明，数据泄露的全球平均成本达到了 435 万美元的历史最高水平，并警告说，研究组织缺乏零信任原则正在推高这些成本。

这项与 Ponemon Institute 合作进行的研究指出，在过去两年中，全球平均数据泄露成本攀升了近 13%，高达 83% 的组织经历了不止一次数据泄露。

“2022 年数据泄露成本”报告研究了 2021 年 3 月至 2022 年 3 月期间受数据泄露影响的约 550 家企业，IBM Security 表示，这些数据涵盖了全球 17 个国家/地区的组织。

该报告指出，泄露后的后果会产生“难以忘怀的影响”，超过一半的泄露成本在泄露后一年多的时间里加起来。

“在报告的过去两年中，违规成本增加了近 13%，调查结果表明，这些事件也可能导致商品和服务成本上升，”IBM Security 表示，并指出大约 60% 的研究组织“提出了他们的产品或服务价格因违规而导致。”

该研究呼吁特别关注关键基础设施组织承担的成本，平均违规成本达到 482 万美元，远高于其他行业企业的平均成本。

IBM Security 研究发现，金融服务、工业、技术、能源、运输、通信、医疗保健、教育和公共部门行业的公司受到勒索软件攻击的严重影响（28% 的公司受到数据盗窃和勒索泄露的影响）。

更糟糕的是，该研究发现，大约 20% 的关键基础设施组织因第三方业务合作伙伴受到损害而遭受破坏。

IBM Security 表示，在接受这项研究调查的 550 家组织中，拥有全面部署安全 AI 和自动化系统的公司表现更好，与没有此类防御措施的组织相比，这些组织的违规成本降低了约 305 万美元。 

IBM Security 表示：“这 65.2% 的平均违规成本差异——完全部署的 315 万美元与未部署的 620 万美元之间——代表了研究中最大的成本节约，与没有安全 AI 和自动化的公司相比，与没有安全 AI 和自动化的公司相比，拥有全面部署安全 AI 和自动化的公司平均缩短了 74 天的时间来识别和遏制违规行为（称为违规生命周期）——249 天与 323 天。使用安全性人工智能和自动化在两年内增长了近五分之一，从 2020 年的 59% 到 2022 年的 70%。”

该研究还发现，实施零信任原则的公司能够更好地管理数据泄露造成的成本。

IBM Security 表示，在参与该研究的 550 家组织中，高达 60% 的组织没有部署零信任安全措施，从而推高了违规后成本。“与部署零信任的组织相比，未部署零信任的组织平均要承担 100 万美元的更高违规成本。” 

报告指出：“在关键基础设施组织中，79% 的组织没有部署零信任。这些组织平均遭受 540 万美元的违规成本，比全球平均水平高出 100 万美元以上。”

该研究连续第 12 年发现，医疗保健行业的平均违规成本最高（在 1000 万美元范围内）。金融机构的成本第二高——平均为 597 万美元——其次是药品，为 501 万美元，技术为 497 万美元，能源为 472 万美元。

该研究还发现，成为勒索软件攻击受害者的组织并没有显着降低成本，即使在支付赎金要求以检索有价值的数据之后也是如此。 

“研究中选择支付威胁参与者赎金要求的勒索软件受害者，与选择不支付赎金的受害者相比，平均违规成本仅减少了 610,000 美元——不包括赎金成本。考虑到赎金支付的高昂成本，财务损失可能会更高，这表明简单地支付赎金可能不是一种有效的策略，”报告称。

该研究还发现，安全云部署存在重大差距，约 43% 的受访者处于“早期阶段或尚未开始在其云环境中应用安全实践”。 

原文始发于微信公众号（祺印说信安）：IBM Security：数据泄露成本创历史新高