根据IBM发布的第19期年度数据泄露成本研究报告，相较于前一周期，全球企业因数据泄露所承受的成本平均上涨了10%，达到488万美元。此份报告的时间范围是从2023年3月到2024年2月。

这一数字相较于2018年的386万美元增长了26.4%，与2014年相比更是上升了39.4%。

“这份报告凸显了我自2023年下半年以来一直关注的问题，当时我们看到组织削减了安全团队和预算。”Beauceron Security公司的首席执行官兼联合创始人David Shipley说道：“这种做法如同任由网络犯罪的野火蔓延，同时却削减了预防和应对火灾的措施，其影响结果显而易见。”

在对604家组织的研究中，有70%的组织遭遇了由于数据泄漏引起的极其严重的业务中断。

在过去的14年中，美国一直处于数据泄露成本领先的位置（尽管这种地位并不是什么好事）。美国的平均数据泄露成本为936万美元，尽管这一数字从2023年的948万美元略有下降，但每次数据泄漏的成本仍然比世界其他地区高出五十多万美元。在全球接受调查的16个国家和地区中，中东地区的沙特阿拉伯和阿拉伯联合酋长国以875万美元排名第二，这一数字高于2023年的807万美元。值得注意的是，不同国家或地区在接受调查的组织数量上可能存在显著差异，例如在中东地区有39名受访者，而美国则有71名受访者。

英国在成本榜单上位列第七，其成本为453万美元。东盟国家包括新加坡、印度尼西亚、菲律宾、马来西亚、泰国和越南，它们的平均成本为323万美元，排名第十二。澳大利亚的单件成本稍低，为278万美元，紧随东盟之后。印度的成本则为235万美元，居于第十五位。

连续二年，巴西以每起数据泄露成本136万美元（尽管比2023年的122万美元上升了11.5%）夺得了数据泄露成本最低国家的桂冠。

报告指出，攻击类型对经济损失有显著影响。破坏性攻击中，恶意行为者删除关键数据并对系统造成损害，其成本最高：每次数据泄漏造成的损失为568万美元（2023年）。紧随其后的是数据泄露和勒索软件攻击，分别导致每次数据泄漏的经济损失达521万和491万美元，位列第二和第三位。

根据Info-Tech Research Group的首席网络安全顾问Fritz Jean-Louis的说法，双重勒索攻击已成为影响数据泄露成本的重要因素。自2023年以来，他注意到勒索软件攻击中出现了双重勒索的情况。在这种类型的攻击中，攻击者不仅加密了受害者的数据，还会在加密之前泄露这些数据。通过这种方式，他们能够同时利用被加密的数据和泄露的信息来威胁组织支付更高的赎金。这种导致了更高的恢复成本以及更长的业务中断时间。

该报告指出，专业安全人员的短缺与数据泄露成本的增加有着密切的联系。预计到2024年，有53%的企业面临人才技能缺口，而在2023年这一比例为42%。这些企业为此付出了高昂的代价：在2024年，这些公司的数据泄露成本总计达到了574万美元，与2023年的相比增长了7.1%，同时比全球平均成本高出86万美元。

尽管医疗保健行业仍然是数据泄露成本最高的行业，每起事件平均损失达到977万美元，但这个数字已有所下降。与2023年相比，每起事件的成本降低了10.6%。在17个行业中，共有四个行业的这一数字在减少，这三个行业是研究（下降2.5%）、教育（下降4.3%）和公共部门（下降2%）。

在2023年至2024年间，公共部门、零售、教育和酒店行业相继发生了多起数据泄漏事件。尽管这些组织面临的挑战在增加，尤其是零售业的数据泄露成本在2024年上升了17.5%，酒店行业的泄露成本也增加了13.7%。

有趣的是，2016年的数据表明，教育行业的数据泄漏成本仅次于医疗保健行业。

个人身份信息（PII）在数据泄漏中被窃取的数据占比最高，2024年达到了48%，较2023年的52%略有下降。员工个人信息在2023年是第二大受关注的数据类型，占比为40%，到了2024年则降至第三位，占比为37%，其位置被知识产权信息所取代。到2024年，知识产权信息的数据被盗比例上升至47%，而2023年这一比例为34%。

排在前五名的数据类型包括匿名客户数据和企业其他数据，它们在2023年的排名分别是第四和第五。到了2024年，这两者位置发生了互换。

2024年新增一种数据类型：影子数据。影子数据指的是存储在未被管理的数据源中的信息，而35%的安全事件涉及此类数据。更糟糕的是，报告发现，与非影子数据相关的安全事件相比，影子数据的被盗导致每次事件的成本平均高出16%。

“在不同环境中存储数据的策略极为常见，它们占所有泄露数据的40%。这些数据泄露也更难被识别和控制。与之形成对比的是，在单一环境中存储的数据遭受破坏的频率较低，无论是公共云、本地服务器还是私有云，其数据泄露的比例分别约为25%、20%和15%。

IBM安全副总裁Jennifer Kady补充道：“在AI时代，随着影子数据的激增，其潜在风险也随之上升。数据已成为构建新一代AI驱动应用与场景的关键基础。从安全角度出发，对影子数据进行有效控制和增强可见性变得尤为重要。企业需迅速采用生成式人工智能技术的同时，确保安全和隐私保护要走在前面。”

数据泄露的根本原因是凭证被盗或泄露，这一问题突显出对更强身份验证机制的需求。其次，是过时的安全标准，包括网络钓鱼等攻击手段。此外，云服务配置错误也是一个重要因素。

对于公司而言，令人遗憾的是，在2024年，多达45%的数据泄漏是由于IT故障或人为错误所导致。尽管恶意的内部攻击可能只占整体的一小部分，但它们却是成本最高的一种，其平均损失在2024年达到了499万美元。

Kady说：“在过去几年中，凭证失窃已成为主要的安全威胁之一，它不仅成本高昂，而且是一种周期性趋势的表现。随着数据泄露事件的不断增加，越来越多的密码和凭据在暗网上被公开，这使得攻击者能够更轻易地利用这些有效凭据进行登录，而无需采取复杂的黑客手段。因此，更现代化的、基于身份的安全检测与响应已成为安全团队重点投资的关键领域。”

“我们常听到的一个误解是，众多安全专家认为即使凭证或个人身份信息遭到盗窃，通过加密也能确保数据的安全。然而，随着量子技术的高速发展，我们不能仅仅依赖传统加密来保证数据的安全性。因此，为了在量子时代中更好的保护数据，公司现在对保护其敏感数据和个人身份信息的投资，在量子时代将带来显著的回报。”

在2023年和2024年的调查中，受访者被问及了执法部门的参与对勒索软件攻击的影响。报告显示，到2024年，有52%的勒索软件受害者联系了执法部门。在这些联系执法部门的人群中，63%的人选择了不支付赎金。与那些未联系执法部门的人员相比，这些人总共节省了近100万美元（除去赎金支付），他们的数据泄露成本在2023年为464万美元，而在2024年下降至438万美元。同时，在缺乏执法部门参与的情况下，平均数据泄露成本从2023年的511万美元增加到2024年的537万美元。

执法部门的介入还有效地提高了对勒索软件攻击事件的识别与控制效率，将应对这类事件所需的时间由原先的297天缩减至281天。

根据报告显示，到2024年，采用安全AI与自动化工具的企业在遭遇每次信息泄露后可节约成本约222万美元，相较而言，这一数字在2023年为176万美元。

“在本报告开始发布以来的大部分时间内，尽管数据泄露造成的损失在持续增加，但我们注意到对关键安全技术和方法的应用及投资有了显著改善。”Kady补充说：“越来越多的组织正在采用基于人工智能和自动化的安全措施，这些措施的核心目标是提高响应速度——这是减少数据泄露成本的关键因素之一。此外，除了技术上的投入外，更多的企业正致力于完善事件响应流程，他们不仅通过技术手段，还借助更为正式的剧本指导整个企业在应对安全威胁时的角色和行动。”

不断变化的安全环境意味着公司需要修改其战略。Kady 说：“与 10 年前相比，安全专业人员负责保护的当今 IT 环境规模呈指数级增长，复杂程度也呈指数级增长，员工使用新应用程序和云资源的轻松程度和速度前所未有。“报告的调查结果强调了这些问题的严重性，其中40%的数据泄露涉及跨多个环境存储的数据，35%涉及到影子数据。”

根据Shipley的观点，为了有效应对有组织的网络犯罪，组织内部以及国家层面的持续网络安全投资是至关重要的。“应当注重对人员、流程、文化和技术的投资，以提高组织的安全防护水平。同时，应避免过度炒作人工智能工具，转而重视基础知识的建设，包括身份、资产管理和安全文化。”

 * 本文为陈发明编译，原文地址：https://www.csoonline.com/article/3479321/the-cost-of-a-data-breach-continues-to-escalate.html