数据泄露已成为一种全球性且不断增长的威胁，备受瞩目的事件经常成为头条新闻。不幸的是，除了制造新闻和损害声誉之外，违规行为还会带来经济成本。根据最新的IBM报告，数据泄露的平均总成本在2022年达到435万美元的历史新高，比上一年增长2.6%，比2020年增长12.7%。因此，我们必须承认并解决影响数据泄露。在本文中，我们将探讨导致数据泄露带来的高昂代价的因素，以及如何减轻这些损失。

数据泄露的平均成本为435万美元。没有两个漏洞是相同的，计算价格标签是一项复杂且多方面的任务。这个数字可能会因多种因素而有很大差异，例如受影响组织的规模和行业、被泄露的数据类型以及受害者的位置。

美国连续12年保持数据泄露成本最高国家的地位。美国的平均数据泄露成本为944万美元，比全球平均水平高出509万美元。在美国，数据泄露通常更昂贵的主要原因之一是市场规模。由于美国的人口比大多数其他国家多得多，因此它有更多的潜在受害者和更高的补救成本。

另一个因素是联邦和州层面复杂且不断发展的一套数据保护法规。遭受数据泄露的公司会因违规而被罚款和处罚，从而增加了泄露成本。美国的诉讼文化意味着受影响的组织经常面临来自客户或股东的法律诉讼，从而导致高昂的法律费用和和解成本。

数据泄露是一个全球性问题，可能发生在任何地方。它们在商业集中度更高、对数字基础设施的依赖程度更高的发达国家更为普遍。

另一方面，欠发达地区易受攻击的数字系统和网络较少。随着它们继续发展和数字化，它们也将变得更容易受到网络攻击。

以下是除美国外因数据泄露而遭受高于平均水平损失的国家/地区：

中东有几个高价值的网络犯罪目标，例如石油和天然气公司以及金融机构。该地区在平均数据泄露总成本方面保持第二高的地位，2021年增长7.6%，到2022年达到746万美元。

加拿大严重依赖技术部门并制定了严格的数据保护法，包括《个人信息保护和电子文件法》(PIPEDA)。加拿大排名2022年的平均违规成本为564万美元，比上年增长4.4%。

英国拥有许多大型跨国公司和蓬勃发展的中小企业部门。该国还有一些世界上最严格的数据保护法，包括《通用数据保护条例》(GDPR)和《2018年数据保护法》。2022年，英国超越德国、日本和法国，成为17个国家中的第四位。英国数据泄露的平均总成本上升了8.1%，达到505万美元。

德国是一个工业强国，拥有强大的数据保护法，例如GDPR和联邦数据保护法(BDSG)。德国的平均数据泄露成本下降了0.8%，到2022年降至489万美元。

日本有许多横跨科技、汽车和金融服务行业的大公司，以及特别严格的数据保护法，包括个人信息保护(APPI)法。2022年，日本的平均数据泄露总成本下降了2.5%，降至457万美元。

由于各种因素，例如存储的数据类型以及组织IT基础设施的规模和复杂性，数据泄露的成本因行业而异。例如，处理大量敏感客户数据的行业更有可能遭遇后果严重的违规行为。

令人担忧的是，在2022年，接受调查的关键基础设施组织中有28%遭受了勒索软件攻击，而17%的组织因业务合作伙伴受损而遭到破坏。关键基础设施组织的数据泄露平均成本为482万美元，比其他行业组织的平均成本高出100万美元。

医疗保健行业再次受到重创。它以1010万美元的价格连续第12年成为平均数据泄露成本最高的行业。此外，医疗保健提供商的违规成本同比激增9.4%，自2020年以来增长了42%。

2022年IBM数据泄露成本报告细目

IBM的年度数据泄露报告是该领域的黄金标准，提供最准确、最全面的数据泄露数据。最近发布的数据泄露成本报告揭示了许多有趣的见解。

以下是报告中最值得注意的要点的细分：

检测和升级超过损失的业务成本

检测和升级是指确认违规、评估其影响并通知相关利益相关者。另一方面，业务损失成本代表客户信任度和声誉下降的财务影响，这不可避免地导致收入减少和难以获得新客户。

六年来，检测和升级首次超过损失的业务成本，成为最昂贵的类别。平均检测和升级成本从2021年的124万美元增加到2022年的144万美元，增幅为16.1%。另一方面，业务损失成本从2021年的159万美元下降10.7%至2022年的142万美元。

数据表明，消费者承认公司为保护他们的数据所做的努力，并认识到一些数据泄露是不可避免的，而不仅仅是公司的责任。此外，检测和解决安全威胁的成本不断增加反映了组织为增强其网络安全而采取的额外措施。

泄露的凭据仍然是主要的攻击媒介

凭据被盗或泄露仍然是数据泄露的最常见原因，也是2022年19%泄露事件的主要攻击媒介。虽然不是最昂贵的，平均成本为450万美元，但凭据被盗或泄露造成的泄露也有平均持续时间最长，需要327天才能检测和遏制，比平均时间长16.6%。

网络钓鱼占数据泄露的16%，是第二常见的原因，但也是最昂贵的，平均造成491万美元的成本。在网络钓鱼之后，最昂贵的违规类型是企业电子邮件受损，平均成本为489万美元。受损的商业电子邮件占所有泄露事件的6%。第三大损失是由于第三方软件中的漏洞造成的，平均损失为455万美元。

2022年，勒索软件攻击占违规事件的11%，比2021年有所增加，当时勒索软件占7.8%。勒索软件攻击的平均成本略有下降，从2021年的462万美元下降到2022年的454万美元。这一成本略高于数据泄露的总体平均总成本，为435万美元。

平均而言，选择不支付赎金的组织比支付赎金的组织高出13.1%。具体而言，支付赎金的组织的违规代价为449万美元。相比之下，拒绝支付的组织不得不花费512万美元，导致两组之间相差63万美元。

数据泄露的成本受到一系列组织和技术因素的影响，这些因素在改善组织的网络安全状况方面发挥着至关重要的作用。让我们探讨可以轻松改进的方面。

以下是组织应实施的几种策略，以降低2023年数据泄露的成本。

全面部署安全人工智能和自动化的组织平均违规成本为315万美元。这几乎是620万美元的一半，没有AI安全性的组织不得不掏腰包。

此外，与没有安全人工智能的公司相比，拥有安全人工智能的公司检测和遏制漏洞的时间平均减少了74天。换句话说，使用AI将违规生命周期从323天减少到249天。

在过去两年中，安全人工智能和自动化的采用显着增长，增幅接近20%。具体而言，这些技术的利用率从2020年的59%增加到2022年的70%，凸显了人工智能在保护组织免受数据泄露和其他安全威胁方面的重要性日益增加。

零信任是一种日益流行的安全策略，旨在改善公司的安全状况。与依赖基于边界的方法的传统网络安全模型不同，在传统网络安全模型中，网络内部的一切都是可信的，零信任不会自动信任任何用户、设备或应用程序，无论它们是在网络内部还是外部。

相反，零信任要求在授予对任何资源或数据的访问权限之前验证每个用户和设备的身份和安全性。这种方法最大限度地降低了未经授权访问的风险，减少了攻击面，并更有效地检测和缓解威胁。

强大的事件响应(IR)框架对于最大限度地减少数据泄露的影响和保持业务连续性至关重要。拥有专门的IR团队和定期测试计划的企业报告说，与没有IR团队或没有定期测试IR计划的组织相比，数据泄露给他们造成的损失平均少266万美元。成本节省代表减少了58%，对于拥有强大IR框架的公司而言，违规成本总计为326万美元，而没有IR框架的公司则为592万美元。

到2023年，以下因素将成为造成财务损失的最主要因素：

违规的经济后果与其未被发现的时间长短成正比。最新调查结果显示，发现漏洞之前的平均持续时间为277天。勒索软件攻击是最难识别的，与其他漏洞相比，检测时间平均要长49天。相比之下，发现供应链漏洞需要大约26天的时间。

您可以通过以下方式缩短数据泄露的响应时间：

平均而言，涉及远程工作的违规行为导致的成本比不考虑远程工作的违规行为高出近100万美元——分别为499万美元和402万美元。此外，与远程工作相关的数据泄露成本比全球数据泄露平均成本高出约600,000美元。

由于以下几个因素，远程工作会增加数据泄露成本：

大约45%的数据泄露发生在云中，发现混合云的成本低于私有云或公共云。具体而言，混合云环境中泄露的平均成本为380万美元，低于私有云和公共云泄露的平均成本分别为424万美元和502万美元。与仅使用公共或私有云模型的组织相比，使用混合云架构的组织不仅体验到更低的泄露成本，而且它们的泄露生命周期也更短。

客户的信任很容易失去并且很难重新获得，而数据泄露的最大成本之一就是它对公司声誉造成的损害。随着竞争对手获得相对优势，这种影响通常反映在其市场地位的变化上。

例如，数据泄露会削弱公司的品牌价值，导致公司要求的溢价下降、客户转换成本增加以及市场份额流失。2022年数据泄露造成的业务损失平均成本为140万美元，占总成本的32%。

数据泄露对上市公司价格的影响反映在其股价中。根据研究，经历数据泄露的公司预计在数据泄露发生后大约110个交易日后其股价将下跌3.5%。违规对股价的长期影响更为显着，平均股价在违规一年后下跌8.6%，表现低于纳斯达克指数相同幅度。科技和金融企业对股价的影响似乎最为显着，而电子商务和社交媒体公司受到的影响往往较小。

值得记住的是，公司对数据泄露的响应方式会显着影响其声誉和随之而来的财务后果。例如，隐瞒问题比违规行为本身更能损害客户的信任。另一方面，主动向客户披露违规行为会积极影响他们对公司诚信和透明度承诺的看法。

数据泄露会产生涉及响应和遏制的直接成本，但也可能导致巨额法律罚款和和解。受到高度监管的行业尤其容易受到影响，因为它们经常面临监管机构的额外处罚，并且更有可能面临受影响个人的法律诉讼。

具有严格数据保护法规的行业的违规行为也往往会在违规后的几年内产生成本。这种“长尾”效应意味着平均24%的成本会在事件发生两年后累积。在监管不严的环境中，影响并不明显，成本往往会在前三到六个月内累积。

无论是支付违规罚款、解决集体诉讼索赔，还是支付法律费用，企业都必须在其规划中考虑潜在的监管和诉讼费用。值得记住的是，数据泄露的成本很可能会超出泄露本身的直接后果。

数据泄露是当今数字环境中的一个持续威胁，尽管人们试图阻止它们，但它们几乎不可能完全停止。

以下是降低数据泄露风险的十项最佳实践：

数据泄露的平均总成本在2022年达到435万美元的历史新高。这个数字可能会继续增加。虽然数据泄露可能会造成毁灭性的后果，但它们也可以成为增长和改进的催化剂。通过应对这些挑战，组织可以获得对其网络安全态势的宝贵见解，并确定需要改进的领域。此外，数据泄露提供了一个机会，可以通过展示对透明度和问责制的承诺来增强与客户和利益相关者的信任。