IBM发布《2020年数据泄露成本报告》

80% 数据泄露事件导致客户个人数据暴露；人工智能和自动化技术将数据泄露成本降低一半。

2020年 7月，IBM Security 发布《2020年数据泄露成本报告》，宣布其全球调研结果。该项调研研究了数据泄露的财务影响，揭示了数据泄露事件给企业造成的平均成本为 386万美元，而其中员工账户遭受攻击是最昂贵的原因。对全球 500多个组织数据泄露事件的深入分析发现，有 80% 的事件导致了客户个人身份信息 (PII，Personally Identifiable Information) 暴露。在因数据泄露而暴露的所有数据类型中，客户 PII 也是造成企业耗费成本最高的一项。

企业越来越多地通过新的远程工作模式、基于云的业务运营模式来访问敏感数据，为此，该报告还阐明了这些数据遭受泄露后组织可能遭受的财务损失。IBM 的另一项调研发现，尽管这种工作方式转变已经引起了风险模型的变化，但超过半数的因新冠疫情而开始居家办公的员工并未获得有关如何处理客户 PII 的新准则。

《2020年数据泄露成本报告》是由 IBM Security 赞助、Ponemon Institute 编写，基于过去一年中遭受数据泄露的组织中的 3,200多名安全专业人员的深入访谈而编制。

今年报告的一些重要调查结果包括：

· 智能技术将数据泄露成本降低了一半：与尚未部署安全自动化技术的公司相比，已完全部署了此类技术的公司（即利用 AI、分析和自动编排来识别和响应安全事件的公司）所遭受的数据泄露成本要减少一半（245万美元对 603万美元）。

· 为受攻击的凭证“买单”：在攻击者利用被盗或受到攻击的凭证访问公司网络而导致的事件中，公司遭受的数据泄露成本比全球平均水平高出近 100万美元 - 每次数据泄露的成本高达 477万美元。利用第三方漏洞是造成恶意数据泄露成本第二高的根本原因（高达 450万美元）。

· 特大型数据泄露事件的成本飙升数百万美元：超过 5,000万条记录被泄露的数据泄露事件的成本，从去年的 3.88亿美元跃升至 3.92亿美元。泄露记录条数从 40 到 5000万条不等的数据泄露事件的平均成本达到 3.64亿美元，与 2019年相比，该项成本增加了 1,900万美元。

IBM X-Force 威胁情报副总裁 Wendi Whitmore 表示： “在企业减缓数据泄露影响的能力方面，我们看到部署了自动化技术的公司拥有明显的优势。随着企业以更快的速度扩展其数字化业务，加上安全行业的人才短缺情况持续存在，团队因需要保护更多的设备、系统和数据而不堪重负。安全自动化可以解决这一负担，不仅可以实现更快的泄露响应，而且还可以显著提高成本效益。”

员工凭证及云配置错误 - 攻击者选择的切入点

报告显示，凭证被盗或受攻击以及云配置错误是导致恶意数据泄露事件的最常见原因，占比近 40%。2019年共有超过 85亿条记录被暴露，在五分之一的所分析数据泄露事件中，攻击者使用了先前暴露的电子邮件和密码，因此，企业已经开始通过采用零信任的方法来重新考虑其安全战略 - 重新审视他们在用户身份验证方面的方式和程度。

同样，公司在应对安全性复杂性（数据泄露成本的主要因素之一）方面遭遇的困境也使得云配置错误成为日益严峻的安全性挑战之一。2020年的报告显示，攻击者有几乎 20% 的时间选择通过云配置错误来破坏网络，这导致数据泄露成本平均增加了 50多万美元，达到了 441万美元，使得云配置错误成为了报告中成本第三高的初始感染媒介。

国家资助的攻击所造成的危害最大

2020年的报告显示，尽管由国家资助的威胁攻击者造成的数据泄露事件在恶意事件中的占比只有 13%，但此类却是最具破坏性的事件，这表明出于经济动机的攻击（占比为 53%）不会为企业带来更高的财务损失。由国家支持的攻击具有高度战术性、长期性和隐蔽性等特点，而且针对的都是高价值数据，因此通常会导致受害者环境受到更大范围的破坏，导致平均数据泄露成本增加至 443万美元。

实际上，与其他地区相比，中东历来是由国家发起的攻击活动占比比较高的地区，其数据泄露平均成本每年增长 9%，在受调研的 17个地区中是数据泄露平均成本第二高的地区（高达 652万美元）。同样，能源行业也是最经常被民族国家攻击所针对的领域之一，其数据泄露成本同比增长了 14%，平均达到 639万美元。

高级安全技术有助于提升业务智能水平

该报告强调了实施高级安全技术的企业与落后企业之间的数据泄露成本鸿沟越来越大，具体来说：完全部署了安全自动化技术的公司与尚未部署此类技术的公司相比，节省了 358万美元的成本。两者之间的成本差距从 2018年的 155万美元增加到了 200万美元。

通过完全部署安全自动化技术，企业响应数据泄露所需的时间大幅缩短，这是降低数据泄露成本的一个关键因素。该报告显示，人工智能、机器学习、分析和其他形式的安全自动化技术使得完全部署了安全自动化技术的公司对数据泄露的响应速度比尚未部署安全自动化的公司要快 27% 以上，后者平均需要多出 74天才能识别并遏制数据泄露。

事件响应 (IR) 方面的准备程度也继续严重影响着数据泄露的财务后果。既没有成立 IR 团队也没有制定 IR 计划测试的公司，其数据泄露平均成本为 529万美元；而成立了 IR 团队并使用桌面演练或模拟来测试 IR 计划的公司，其数据泄露平均成本则比前者低 200万美元，这再次表明了充分的准备可在网络安全方面产生可观的投资回报。

今年报告还披露了一些其他调查结果：

· 远程工作风险将会招致成本 - 该报告显示，由于混合工作模式导致工作环境受控程度较低，因此在新冠疫情期间采用远程办公模式的公司中，70% 的公司预计将会增加数据泄露的成本。

· 尽管决策权有限，但首席信息安全官仍然要为数据泄露负责：尽管只有 27% 的受访者表示 CISO/CSO 是其所在组织的安全战略和技术决策者，但 46% 的受访者表示，他们的 CISO/CSO 最终都要对数据泄露事件负责，该报告显示，相比单次数据泄露的平均成本，任命 CISO 可以帮助企业节省 14.5万美元的成本。

· 大多数购买网络保险的企业都使用索赔来支付第三方费用：该报告显示，购买了网络保险的组织的数据泄露平均成本比全球平均值 386万美元要低近 20万美元。实际上，在购买了网络保险的组织中，有 51% 的组织将索赔用于支付第三方咨询费和律师费，而 36% 的组织将其用于受害者的赔偿。只有 10% 的受访者表示会支付勒索软件的费用或勒索费用。

· 区域和行业洞察力：尽管美国企业的数据泄露成本仍然居于全球首位，平均达到 864万美元，但报告显示，斯堪的纳维亚地区的数据泄露成本同比增幅最大，接近 13%。医疗保健行业仍旧是数据泄露平均成本最高的行业，高达 713万美元 - 与 2019年相比，增幅超过了 10%。

关于本次调研

本年度数据泄露成本报告基于对 2019年 8月至 2020年 4月发生的真实数据泄露事件的深入分析而编制，同时考虑了数百个成本因素，包括法律、法规和技术活动以及品牌资产损失、 客户和员工生产效率损害等。

关于 IBM Security

IBM Security 可以提供最先进、集成的企业安全产品和服务组合。由世界著名的 IBM X-Force® 研究进行支持，该组合使企业能有效地管理风险并防范新威胁。IBM 作为世界上覆盖范围最广的安全研究、开发和交付企业之一，每天对 130多个国家/地区的 700亿次安全事件进行监控，并在全球范围内拥有 10,000多项安全专利。