单个数据泄露事件给来自全球受访组织造成平均高达435万美元的损失

（全球TMT2022年7月28日讯）IBM Security 刚刚发布《2022年数据泄露成本报告》（下文简称报告），报告揭示，数据泄露事件给企业和组织造成的经济损失和影响力度达到前所未有的水平，单个数据泄露事件给来自全球的受访组织造成平均高达 435 万美元的损失，创下该年度报告发布17年以来的最高纪录。报告分析，全球数据泄露成本在过去两年间上涨近 13%，不仅如此，数据泄露事件可能是导致企业商品和服务成本上涨的因素之一。实际上，除了全球通货膨胀和供应链问题等因素导致的商品价格飙升之外，60% 的受访组织表示他们在遭遇数据泄露事件之后提高了自身产品或服务的价格。

IBM 报告发现，83% 的受访组织遭遇过不止一次的数据泄露事件，而网络攻击不断所导致的数据泄露事件更是成为企业"挥之不去的梦魇"。数据泄露事件给企业带来的"后遗症"也随着时间推移不断加剧，这些后遗症往往会持续很长时间，近 50% 的数据泄露成本是在事后一年多才产生的。

这项由 Ponemon 研究院操刀、由 IBM Security 赞助的《2022 年数据泄露成本报告》深入分析了全球 550 个组织在 2021 年 3 月至 2022 年 3 月期间所遭遇的真实数据泄露事件。

2022年报告的重要发现包括：

• 关键性基础设施在采用零信任安全策略（Zero Trust）方面还很滞后——近 80% 受访的关键性基础设施组织尚未采用零信任策略，其数据泄露的平均成本高达 540 万美元，比已采用零信任策略的组织高出 117 万美元。未采用零信任策略的组织所遭遇的数据泄露事件当中，约 28% 是由勒索软件或破坏性攻击造成的。
• 支付赎金的行为不可取——研究发现，发生数据泄露事件时，选择向威胁方支付勒索软件赎金的企业只比拒付赎金企业的平均成本少 61 万美元，但这并未包括赎金本身，如果将高昂的赎金（Sophos数据显示，2021 年平均赎金高达 81.2 万美元）纳入成本考量，交付赎金的受害企业其经济损失可能会更大。由此可见，简单地支付赎金并不可取。
• 云中安全尚不成熟——报告显示，约有43%的受访组织尚未开始在其跨云环境中部署安全措施或者还处在早期部署阶段，这些组织的数据泄露成本要比已经在跨云环境中部署了成熟的安全措施的组织平均高出 66 万美元。
• 专注于安全的AI与自动化技术可以为企业节省数百万美元——已全面部署专注于安全的AI和自动化技术的受访组织，其数据泄露平均成本要比未部署相关技术的企业低 305 万美元。此次研究发现，部署专注于安全的AI和自动化技术，是企业应对数据泄露最具成本效益的因素。

关键性基础设施组织的"过度信任"

过去一年，全球各界对关键性基础设施遭遇攻击的担忧与日俱增，多国政府的网络安全机构纷纷敦促关键性基础设施组织加强警惕破坏性攻击。报告显示，在受访的关键性基础设施组织中，勒索软件和破坏性攻击在数据泄露事件中的占比为 28%。威胁者正在通过攻击这些关键性基础设施组织来破坏与之相依存的全球供应链，而这些关键性基础设组织施涉及金融服务、工业、运输和医疗卫生等领域。

尽管各国政府一直在呼吁相关组织加强警惕，但在受访的关键性基础设施组织当中，只有21%采用了零信任安全模式。不仅如此，在关键性基础设施组织所遭遇的数据泄漏事件当中，有17% 是源自业务合作伙伴遭受到的攻击，可见其"过度信任"的环境所带来的安全风险面之大。

支付赎金的企业并未占到"便宜"

报告显示，选择向威胁者支付勒索软件赎金的企业，只比拒付赎金企业的平均泄露成本少61 万美元，但这并不包括已经支付的赎金。如果计入平均赎金金额（Sophos数据显示，2021 年赎金额高达 81.2 万美元），支付赎金带来的经济损失可能会更大。而企业支付赎金的行为无意中还为未来的勒索软件攻击提供了资金，这些资金原本可以用于企业数据泄露的补救和恢复工作。

尽管全球各国在遏制勒索软件攻击方面做出了重大努力，但是网络犯罪产业化仍在推动勒索软件的发展。IBM Security X-Force 发现，在过去三年中，受访企业遭遇勒索软件攻击的持续时间从原来的两个多月降至四天以内，下降了 94%。网络攻击生命周期的指数级缩短，可能带来影响更为严重的攻击，因为这使得网络安全事件响应人员进行检测和遏制攻击的窗口期变得非常短。随着"系统首次受攻击到全面受攻击的时间"骤减至几个小时，组织必须把提前严格测试事件响应（IR）手册的工作提上首要日程。但从报告的调查结果来看，虽然高达 37% 的受访组织已经制定了 IR 计划，但并未对其进行定期测试。

混合云优势凸显

在受访组织中，混合云环境是企业最为普遍的基础设施架构，采用率达 45%。采用混合云模式的企业数据泄露平均成本为 380 万美元，低于单一采用公有云（502 万美元）或私有云（424 万美元）模式的企业。事实上，全球受访组织从识别到遏制数据泄露的平均时间为 277 天，而采用混合云模式的受访组织要比平均速度快 15 天。

报告强调，其调研的数据泄露事件当中有45%是发生在云端，凸显了云安全的重要性。然而，43% 的受访组织表示尚未开始在其跨云环境中部署安全措施或正处于早期部署阶段，因此这些组织的数据泄露平均成本也更高ⁱⁱ。与在所有领域持续部署安全措施的企业相比，尚未开始此项工作的企业平均需要多用 108 天才能识别并遏制数据泄露。

IBM《2022 年数据泄露成本报告》还有以下更多发现：

• 网络钓鱼成为"最贵"的数据泄露诱因——凭证被盗仍然是导致数据泄露事件的最常见原因，占比 19%；网络钓鱼位居第二，占比 16%，然而却是导致数据泄露最高成本的原因，给受访组织造成平均高达 491 万美元的泄露成本。
• 医疗健康行业数据泄露成本呈两位数增长，突破千万量级，达到 1010 万美元的历史高位——医疗健康行业已经连续 12 年成为数据泄露平均成本最高的行业，其数据泄露成本在今年增加了近 100 万美元，达到历史最高的 1010 万美元。
• 安全人员配备不足——62% 的受访组织表示，由于现有人手无法满足组织的安全需求，他们的数据泄露平均成本比人员配备充足的组织高出了 55 万美元。