IBM：2023年数据泄露的成本知多少？

最近，IBM发布了最新版的《2023 年数据泄露的成本》，IBM官方信息显示， 2023 年全球数据泄露平均成本已经上升至445 万美元，成为历史新高，比过去 3 年增长了 15%。检测和升级成本在同一时间段内跃升了 42%，占违规成本的最高部分，并表明转向更复杂的违规调查。

根据 2023 年 IBM 报告，企业在计划如何处理日益增加的成本和频率的数据泄露方面存在分歧。研究发现，虽然 95% 的研究组织经历过不止一次违规，但被违规的组织更有可能将事件成本转嫁给消费者 (57%)，而不是增加安全投资 (51%)。

2023 年数据泄露成本报告基于对 2022 年 3 月至 2023 年 3 月期间全球 553 个组织经历的真实数据泄露的深入分析。这项研究由 IBM Security 赞助和分析，由 Ponemon Institute 进行，连续出版18年。通过2023 年 IBM 报告中的一些主要发现包括：

• 人工智能加快速度——人工智能和自动化对研究组织的违规识别和遏制速度影响最大。与研究中未部署这些技术的组织相比，广泛使用人工智能和自动化的组织的数据泄露生命周期缩短了 108 天（分别为 214 天和 322 天）。
• 沉默的成本——研究中涉及执法的勒索软件受害者与那些选择不涉及执法的勒索软件受害者相比，平均节省了470,000 美元的违规成本。尽管有这些潜在的节省，但在研究的勒索软件受害者中，37% 的勒索软件攻击并未涉及执法部门。
• 检测差距——所研究的漏洞中只有三分之一是由组织自己的安全团队检测到的，而攻击者披露的这一比例为 27%。与自行发现数据泄露的研究组织相比，攻击者披露的数据泄露成本平均高出近100 万美元。

• 跨环境泄露数据——所研究的数据泄露中有近 40% 导致跨多个环境（包括公共云、私有云和本地）的数据丢失，这表明攻击者能够在避免检测的同时危害多个环境。研究影响多个环境的数据泄露也导致更高的泄露成本（平均475 万美元）。
• 医疗保健违规成本继续飙升——2023 年，研究的医疗保健违规成本平均达到近1100 万美元——自 2020 年以来价格上涨了 53%。根据 2023 年X-强制威胁情报报告。威胁行为者以医疗记录为杠杆，加大了对受攻击组织支付赎金的压力。事实上，在所研究的所有行业中，客户个人身份信息是最常被泄露的记录类型，也是成本最高的。
• DevSecOps 优势– 对所有行业中具有高水平 DevSecOps 的组织进行研究发现，数据泄露的全球平均成本比那些采用低水平/不使用 DevSecOps 方法的组织低近170 万美元。
• 关键基础设施泄露成本突破500 万美元 ——与去年相比，所研究的关键基础设施组织的平均泄露成本上升了 4.5%——从482 万美元增加到504 万美元——比全球平均水平高出59 万美元。

原文始发于微信公众号（河南等级保护测评）：IBM：2023年数据泄露的成本知多少？