2022年全球数据泄露成本高达435万美元，超8成企业非首次泄露

根据IBM最新发布的《2022年数据泄露成本报告》，数据泄露的平均成本创下435万美元的历史新高，比2021年增长了2.6%，自2020年以来增长了12.7%。今年的研究首次发现，83%受访组织已经不是第一次发生数据泄露事件；60%的受访组织在事后提高了商品和服务价格，然后数据泄露造成的损失将转嫁到消费者身上。



《2022年数据泄露成本报告》基于2021年3月至2022年3月期间对全球550家组织所经历的真实数据泄露事件的深入分析和研究。《数据泄露成本报告》是全球安全行业的领先基准报告之一，它为IT、安全和商业领袖提供了一个视角，让他们了解可能增加数据泄露相关成本的风险因素，以及哪些安全实践和技术可以帮助他们减轻安全风险和经济损失。

1、医疗健康行业的数据泄露成本突破千万美元，连续12年成为平均数据泄露成本最高的行业。

根据普华永道的数据，美国的医疗健康行业的数据泄露成本自2020年以来出现了6%至7%的增长，该行业因数据泄露而上升的成本已经远远超过同期因通胀给该行业带来的成本飙升。医疗健康行业的数据泄露成本在过去两年激增了42%，从2020年的713万美元增长到2022年的1010万美元。医疗健康行业已经连续12年成为数据泄露成本最高的行业。

“企业需要将他们的安全防御放在进攻端，并击败攻击者。是时候阻止对手实现其目标并开始尽量减少攻击的影响了。越多的企业试图完善他们的安全边界而不是投资于检测和响应，越多的数据泄露事件会加剧生活成本的增加。”IBM Security X-Force全球负责人Charles Henderson说：“这份报告表明，只有将正确的策略与正确的技术相结合，才能在企业受到攻击时发挥重要作用。”

2、未部署零信任安全框架的企业数据泄露平均成本要高出100万美元

部署零信任架构的企业占比从2021年的35%增加到2022年的41%。在2022年的报告中，其余59%没有部署零信任的组织，比那些部署了零信任的组织的数据泄露平均成本高出了100万美元。而那些部署了成熟的零信任安全框架的企业，他们节省的成本甚至更大--与处于零信任计划初始阶段的企业相比，他们节省了约150万美元。
 

3、勒索软件和破坏性攻击造成的数据泄露成本更多

2022年，勒索软件和破坏性攻击造成的数据泄露成本比平均成本更高，而涉及勒索软件的违规事件占比增长了41%。此次是该报告首次研究勒索软件和破坏性攻击的成本。2022年，勒索软件攻击的平均成本--不包括赎金成本--略有下降，从462万美元降至454万美元，而破坏性攻击的成本从469万美元增至512万美元，而全球平均成本为435万美元。勒索软件造成的漏洞占比从2021年的7.8%增长到2022年的11%，增长率为41%。

组4、建事件应急响应团队和组织攻防演练的企业更能减轻数据泄露的成本。

组建事件响应（IR）团队和广泛测试IR计划是减轻数据泄露成本的两个最有效的方法。然而，在有IR计划的研究企业中（73%），37%没有定期测试他们的计划。企业必须通过桌面演习或在模拟环境（如网络靶场）中运行漏洞场景来定期测试其IR计划，这一点至关重要。

5、AI安全部署和自动化技术的投资回报率更可观

部署了安全AI和自动化的组织的比例从2020年的59%增长到2022年的70%，增长率达18.6%。表示已经 "全面部署 "安全AI和自动化技术的受访组织（约占31%），其数据泄露平均成本要比未部署相关技术的企业低305万美元??没有部署安全AI和自动化的组织其数据泄露成本平均为620万美元，全面部署了这些技术的组织其数据泄露成本平均为315万美元。

安全AI和自动化的投资回报率，还可以从另一个指标--即时间指标当中体现出来。安全AI和自动化降低了成本，而且还大大缩短了识别和控制数据泄露的时间（即泄露生命周期）。在全面部署这些技术后，数据泄露的平均生命周期比没有部署安全AI和自动化的平均周期要短74天。

6、关键性基础设施组织数据泄露的平均成本482万美元

关键性基础设施组织包括金融服务、工业、技术、能源、运输、通信、医疗健康、教育和公共部门等行业的单位。28%的关键性基础设施组织经历了破坏性或勒索软件的攻击，而17%的组织因为商业伙伴被破坏而经历了漏洞事件。关键性基础设施组织的数据泄露的平均成本为482万美元，比其他行业组织的平均成本高100万美元。

7、云环境数据泄露占比45%，混合云环境中相对成本更低。

研究中45%的数据泄露事件发生在云中。采用混合云企业的数据泄露事件平均成本是380万美元，而私有云中的数据泄露成本是424万美元，公共云中的数据泄露成本高达502万美元。与单一采用公有云或私有云模式的企业相比，采用混合云模式的企业其数据泄露事件的周期也更短。与公有云采用者相比，混合云采用者识别和控制漏洞的时间要少48天。

8、XDR技术可帮助企业缩短近一个月的数据泄露时间。

那些采用XDR技术的44%的企业在响应时间上有很大的优势。与没有实施XDR的组织相比，部署了XDR的组织的数据泄露生命周期平均缩短了29天。

9、人员不足相比有足够团队的企业在数据泄露成本高50多万美元。

研究中只有38%的企业表示他们配备有安全团队和足够的人员，这种技能差距导致人员不足的组织的数据泄露成本比人员充足的安全团队高出55万美元。

10、 近2成的违规事件是由供应链泄露引起，不仅成本更高，比平均生命周期高出26天。

近年来的一些重大攻击是通过供应链到达组织的，比如组织由于商业伙伴或供应商的妥协而被攻破。2022年，19%的违规事件是供应链攻击，平均成本为446万美元，略高于全球平均水平。供应链泄露事件的平均生命周期比全球平均生命周期长26天。

11、支付勒索赎金企业的数据泄露总成本更高

根据2022年数据泄露成本报告，与选择不支付赎金的企业相比，支付了勒索赎金要求的企业的平均泄露成本减少了61万美元（不包括支付的赎金金额）。然而，考虑到平均赎金支付金额（根据Sophos的数据，2021年达到81.2万美元），选择支付赎金的企业的数据泄露总成本反而更高，而且还无意中为未来的勒索软件攻击提供资金，这些资金本可用于补救和恢复工作。

尽管全球努力阻止勒索软件的持续存在，但网络犯罪的工业化推动了它的存在。IBM Security X-Force发现，受访企业勒索软件攻击的持续时间在过去三年中下降了94%——从两个多月锐减到不足4天。

以指数级速度缩短的勒索软件攻击生命周期可能会引发影响更大的攻击，因为网络安全事件响应者只有非常短的机会窗口来检测和遏制攻击。随着“赎金时间”减少到几个小时，企业必须提前对事件响应手册进行严格测试，这一点至关重要。但该报告指出，多达37%的已制订事件响应计划的组织没有定期对其进行测试。

此外，更多要点如下

• 17个不同地域和17个行业的数据泄露平均成本，包括最高的国家（美国--944万美元）。
• 事件响应团队和定期测试的事件响应计划对成本的影响（平均节省266万美元）。
• 导致漏洞的最常见攻击载体的频率和平均成本，包括被盗凭证（19%，450万美元）、网络钓鱼（16%，491万美元）和云端错误配置（15%，414万美元）。
• 安全措施和技术的影响，包括风险量化技术、身份和访问管理、多因素认证和危机管理团队。
• 安全漏洞的影响，包括安全系统的复杂性、云迁移中的攻击、远程工作和合规失败。
• 超过100万条记录的巨型数据泄露事件成本（包括最大的高达6000万条记录的数据泄露事件）接近4亿美元。

报告所展示的结论揭示了近年来企业数据和网络安全的重要趋势，企业必须关注到越来越高的数据泄露成本和越来越短的攻击生命周期，意识到自身网络安全建设存在的问题，确认自身的安全防御能力是否到位。正如Charles Henderson所说，正确的策略与正确的技术相结合，在企业受到攻击时可以发挥重要作用。