年度重磅 | IBM發布《2020年數據泄露成本報告》

80％ 數據泄露事件導致客戶個人數據暴露；人工智能和自動化技術將數據泄露成本降低一半。

2020年 7月，IBM Security 發布《2020年數據泄露成本報告》，宣布其全球調研結果。該項調研研究了數據泄露的財務影響，揭示了數據泄露事件給企業造成的平均成本為 386萬美元，而其中員工賬戶遭受攻擊是最昂貴的原因。對全球 500多個組織數據泄露事件的深入分析發現，有 80％ 的事件導致了客戶個人身份信息 （PII，Personally Identifiable Information） 暴露。在因數據泄露而暴露的所有數據類型中，客戶 PII 也是造成企業耗費成本最高的一項。

企業越來越多地通過新的遠程工作模式、基于云的業務運營模式來訪問敏感數據，為此，該報告還闡明了這些數據遭受泄露后組織可能遭受的財務損失。IBM 的另一項調研發現，盡管這種工作方式轉變已經引起了風險模型的變化，但超過半數的因新冠疫情而開始居家辦公的員工并未獲得有關如何處理客戶 PII 的新準則。

《2020年數據泄露成本報告》是由 IBM Security 贊助、Ponemon Institute 編寫，基于過去一年中遭受數據泄露的組織中的 3，200多名安全專業人員的深入訪談而編制。 

今年報告的一些重要調查結果包括：

智能技術將數據泄露成本降低了一半：與尚未部署安全自動化技術的公司相比，已完全部署了此類技術的公司（即利用 AI、分析和自動編排來識別和響應安全事件的公司）所遭受的數據泄露成本要減少一半（245萬美元對 603萬美元）。

為受攻擊的憑證“買單”：在攻擊者利用被盜或受到攻擊的憑證訪問公司網絡而導致的事件中，公司遭受的數據泄露成本比全球平均水平高出近 100萬美元 － 每次數據泄露的成本高達 477萬美元。利用第三方漏洞是造成惡意數據泄露成本第二高的根本原因（高達 450萬美元）。

特大型數據泄露事件的成本飆升數百萬美元［2］：超過 5，000萬條記錄被泄露的數據泄露事件的成本，從去年的 3．88億美元躍升至 3．92億美元。泄露記錄條數從 40 到 5000萬條不等的數據泄露事件的平均成本達到 3．64億美元，與 2019年相比，該項成本增加了 1，900萬美元。

民族國家攻擊 － 最具破壞性的數據泄露：據報告研究，相對于其它攻擊者而言，始于民族國家的攻擊導致的數據泄露事件成本最高。由國家資助的攻擊造成的數據泄露事件平均成本為 443萬美元，高于出于經濟動機的網絡犯罪分子和黑客造成的數據泄露事件成本。

IBM X－Force 威脅情報副總裁 Wendi Whitmore 表示：

在企業減緩數據泄露影響的能力方面，我們看到部署了自動化技術的公司擁有明顯的優勢。隨著企業以更快的速度擴展其數字化業務，加上安全行業的人才短缺情況持續存在，團隊因需要保護更多的設備、系統和數據而不堪重負。安全自動化可以解決這一負擔，不僅可以實現更快的泄露響應，而且還可以顯著提高成本效益。”

員工憑證及云配置錯誤－ 攻擊者選擇的切入點

報告顯示，憑證被盜或受攻擊以及云配置錯誤是導致惡意數據泄露事件的最常見原因，占比近 40％。2019年共有超過 85億條記錄被暴露，在五分之一的所分析數據泄露事件中，攻擊者使用了先前暴露的電子郵件和密碼，因此，企業已經開始通過采用零信任的方法來重新考慮其安全戰略 － 重新審視他們在用戶身份驗證方面的方式和程度。

同樣，公司在應對安全性復雜性（數據泄露成本的主要因素之一）方面遭遇的困境也使得云配置錯誤成為日益嚴峻的安全性挑戰之一。2020年的報告顯示，攻擊者有幾乎 20％ 的時間選擇通過云配置錯誤來破壞網絡，這導致數據泄露成本平均增加了 50多萬美元，達到了 441萬美元，使得云配置錯誤成為了報告中成本第三高的初始感染媒介。

國家資助的攻擊所造成的危害最大

2020年的報告顯示，盡管由國家資助的威脅攻擊者造成的數據泄露事件在惡意事件中的占比只有 13％，但此類卻是最具破壞性的事件，這表明出于經濟動機的攻擊（占比為 53％）不會為企業帶來更高的財務損失。由國家支持的攻擊具有高度戰術性、長期性和隱蔽性等特點，而且針對的都是高價值數據，因此通常會導致受害者環境受到更大范圍的破壞，導致平均數據泄露成本增加至 443萬美元。

實際上，與其他地區相比，中東歷來是由國家發起的攻擊活動占比比較高的地區，其數據泄露平均成本每年增長 9％，在受調研的 17個地區中是數據泄露平均成本第二高的地區（高達 652萬美元）。［3］同樣，能源行業也是最經常被民族國家攻擊所針對的領域之一，其數據泄露成本同比增長了 14％，平均達到 639萬美元。

高級安全技術有助于提升業務智能水平

該報告強調了實施高級安全技術的企業與落后企業之間的數據泄露成本鴻溝越來越大，具體來說：完全部署了安全自動化技術的公司與尚未部署此類技術的公司相比，節省了 358萬美元的成本。兩者之間的成本差距從 2018年的 155萬美元增加到了 200萬美元。

通過完全部署安全自動化技術，企業響應數據泄露所需的時間大幅縮短，這是降低數據泄露成本的一個關鍵因素。該報告顯示，人工智能、機器學習、分析和其他形式的安全自動化技術使得完全部署了安全自動化技術的公司對數據泄露的響應速度比尚未部署安全自動化的公司要快 27％ 以上，后者平均需要多出 74天才能識別并遏制數據泄露。

事件響應 （IR） 方面的準備程度也繼續嚴重影響著數據泄露的財務后果。既沒有成立 IR 團隊也沒有制定 IR 計劃測試的公司，其數據泄露平均成本為 529萬美元；而成立了 IR 團隊并使用桌面演練或模擬來測試 IR 計劃的公司，其數據泄露平均成本則比前者低 200萬美元，這再次表明了充分的準備可在網絡安全方面產生可觀的投資回報。

今年報告還披露了一些其他調查結果：

遠程工作風險將會招致成本 － 該報告顯示，由于混合工作模式導致工作環境受控程度較低，因此在新冠疫情期間采用遠程辦公模式的公司中，70％ 的公司預計將會增加數據泄露的成本。

盡管決策權有限，但首席信息安全官仍然要為數據泄露負責：盡管只有 27％ 的受訪者表示 CISO／CSO 是其所在組織的安全戰略和技術決策者，但 46％ 的受訪者表示，他們的 CISO／CSO 最終都要對數據泄露事件負責，該報告顯示，相比單次數據泄露的平均成本，任命 CISO 可以幫助企業節省 14．5萬美元的成本。

大多數購買網絡保險的企業都使用索賠來支付第三方費用：該報告顯示，購買了網絡保險的組織的數據泄露平均成本比全球平均值 386萬美元要低近 20萬美元。實際上，在購買了網絡保險的組織中，有 51％ 的組織將索賠用于支付第三方咨詢費和律師費，而 36％ 的組織將其用于受害者的賠償。只有 10％ 的受訪者表示會支付勒索軟件的費用或勒索費用。

區域和行業洞察力：盡管美國企業的數據泄露成本仍然居于全球首位，平均達到 864萬美元，但報告顯示，斯堪的納維亞地區的數據泄露成本同比增幅最大，接近 13％。醫療保健行業仍舊是數據泄露平均成本最高的行業，高達 713萬美元 － 與 2019年相比，增幅超過了 10％。

［1］ 該報告分析了 2019年 8月至 2020年 4月之間發生的數據泄露事件。關于采用分析方法的局限性，報告中亦有闡述。

［2］ 《2020年數據泄露成本報告》基于對特定樣本的單獨分析，研究了特大型數據泄露事件（即丟失或被盜記錄條數超過 100萬條的數據泄露事件）的成本。

［3］ IBM 2020 X－Force 威脅情報指數報告顯示

關于本次調研

本年度數據泄露成本報告基于對 2019年 8月至 2020年 4月發生的真實數據泄露事件的深入分析而編制，同時考慮了數百個成本因素，包括法律、法規和技術活動以及品牌資產損失、 客戶和員工生產效率損害等。