数据泄露造成创纪录的430万美元损失，企业将责任推给客户

IBM公司2022年的研究报告显示，数据安全漏洞的平均成本已再创历史新高，达到435万美元，60%的企业选择提高产品和服务的价格来缓冲所造成的损失。

数据安全漏洞的平均成本再次创下历史新高，达到每起事件435万美元，在过去两年里增长了12.7%。一些企业正在把责任推给客户，甚至在通货膨胀和供应链限制下，产品和服务的成本也在攀升。

根据IBM的《2022年数据泄露成本报告》，今年的数字比去年的每起数据泄露事件损失的424万美元增长了2.6%，该报告进一步显示，83%的受访公司经历了不止一次数据泄露。该报告由Ponemon研究所进行，分析了2021年3月至2022年3月期间全球17个市场中受到数据泄露影响的550家机构。

只有17%的人说这是他们的第一次数据泄露。此外，60%的人表示，由于数据泄露造成的损失，他们提高了产品和服务的价格标签。他们还在数据泄露事件发生后的很长一段时间内继续计算损失，其中几乎有一半的此类费用是在事件发生一年多后发生的。

美国的组织看到了最高的平均违规成本，攀升了4.3%，达到944万美元，其次是中东地区，今年的平均成本为746万美元，高于2021年的693万美元。加拿大、英国和德国位列前五名，每起违规事件的平均损失分别为564万美元、505万美元和485万美元。

在分析的17个市场中，有6个市场，这些市场包括日本、韩国和法国，其各自的平均违规成本有所下降。

供应链、用户凭证助长攻击

从整体上看，企业平均需要207天来识别漏洞，70天来控制漏洞，与去年平均212天来识别漏洞和75天来控制漏洞相比，总体有所下降。

大约19%的违规事件是由供应链攻击造成的，平均花费446万美元，其生命周期比全球平均的277天要长26天，后者衡量的是识别和控制数据泄露的综合时间。供应链破坏是由于商业伙伴成为最初的破坏点。

包括雇员或外部承包商的疏忽行为的人为错误占事件的21%，而IT故障–公司IT系统的中断或故障导致数据丢失–是24%的违规事件的背后原因。后者包括源代码中的错误或程序故障，如自动通信错误。

约有11%的违规事件是勒索软件攻击，比去年的7.8%有所增加，增长率为41%，但此类攻击的平均成本从2021年的462万美元略微下降至454万美元。

报告发现，由被盗或泄露的凭证引起的攻击仍然是数据泄露的最常见原因，占今年所有事件的19%。由被盗或泄露的凭证引起的数据泄露事件平均每起事件花费450万美元，其生命周期最长，需要243天来识别，84天来控制漏洞。

网络钓鱼是数据泄露的第二大原因，占整个攻击的16%，但成本最高，平均损失为491万美元。

在各行业中，医疗保健行业的平均违规成本达到创纪录的1010万美元，比2021年增加了近100万美元，并巩固了其作为最昂贵行业的地位。事实上，自2020年以来，该行业的违规成本已经攀升了41.6%。

金融服务行业的平均违规成本为597万美元，位居第二，其次是制药、技术和能源，分别为501万美元、497万美元和472万美元。

经营关键基础设施的组织的平均违规成本为482万美元，比其他行业的组织的平均成本高100万美元。关键基础设施公司的行业包括金融服务、能源、运输、医疗和政府。

在这些组织中，28%经历了破坏性或勒索软件的攻击，17%指出是供应链伙伴受到了损害。

用吹捧的安全策略减轻损失

IBM的研究还研究了已采用和未采用安全策略和技术的公司之间数据泄露的影响差异，如零信任、扩展检测和响应(XDR)以及人工智能(AI)。

报告指出，近80%没有零信任战略的关键基础设施组织的平均违规成本为540万美元，或比采用零信任框架的组织多117万美元。从整体上看，41%的组织表示他们已经部署了零信任安全框架，比去年的35%有所上升，其余59%的组织没有采取同样的做法。

此外，那些部署了安全人工智能和自动化工具的企业，其违规成本比没有实施任何此类工具的同行低305万美元。他们还比那些采用安全人工智能和自动化技术的企业多花了74天时间来识别和控制漏洞。

今年，使用此类工具的机构数量达到70%，高于2020年的59%。

此外，43%的公司处于早期阶段或尚未在其云平台上部署安全实践，与那些拥有成熟的云安全环境的公司相比，其平均损失至少为660,000美元。

研究中约有44%的违规事件发生在云中，其中发生在混合云环境中的违规事件平均损失为380万美元，而发生在私有云中的违规事件为424万美元，发生在公共云中的违规事件为502万美元。

每起事件的损失为499万美元，与远程工作有关的违规事件也比不涉及远程工作的违规事件平均多出近100万美元。

此外，62%的公司表示他们没有足够的人员来支持他们的网络安全需求，与那些有足够人员的公司相比，他们的违规成本平均高出55万美元。

约44%的公司已经实施了XDR技术，与没有部署此类工具的同行相比，他们的漏洞生命周期平均缩短了约一个月，后者需要304天来识别和控制漏洞。

在遭受勒索软件攻击的组织中，与那些选择不支付赎金的组织相比，那些支付赎金的组织降低了61万美元的漏洞成本(不包括赎金成本)。