1、2023 年数据泄露成本报告IBM Security目录01 执行摘要 2023 年报告新增内容 重要结论02 完整的结论 全球关注重点 初始攻击媒介 发现攻击 数据泄露生命周期 关键成本因素 勒索软件和破坏性攻击 业务合作伙伴供应链攻击 软件供应链攻击 法规环境 云泄露 大规模泄露 安全性投资 安全 AI 和自动化 事件响应 威胁情报 漏洞和风险管理 攻击面管理 托管安全服务提供商(MSSP)03 有助于 降低数据泄露成本 的几项建议04 组织统计数据 地理统计数据 行业统计数据 行业定义05 研究方法 我们如何计算数据泄露的成本 数据泄露常见问题解答 研究的局限性06 波耐蒙研究所(Pon

2、emon Institute)和 IBM Security 简介 采取下一步行动2013下一节执行摘要数据泄露成本报告 为 IT、风险管理和安全主管提供了可量化的论据和佐证，以帮助各方更好地管理安全投资、风险情况和战略决策流程。2023 年版是该报告连续第 18 年发布的版本。今年的研究由波耐蒙研究所(Ponemon Institute)独立进行并由 IBM Security 发起、分析和发布，调研了 2022 年 3 月至 2023 年 3 月期间受数据泄露影响的 553 家组织。本报告中提及的年份 是指报告发布的年份，而不一定是泄露事件发生的年份。所调研的泄露事件发生在 16 个国家和地区

3、，涉及 17 个不同行业。在本报告中，我们将研究数据泄露的根本原因以及短期和长期后果。我们还将探讨能让公司减少损失的各类因素和技术，同时避免采取那些会导致成本增加的因素和技术。4每年，我们都会不断改进数据泄露成本报告，覆盖新出现的内容，以匹配新技术、新兴策略 和近期事件。今年的研究首次探讨了：下一节上一节01执行摘要 如何识别泄露行为：无论源于组织自身的安全团队、其他第三方还是攻击者 执法部门参与抵御勒索软件攻击而产生的影响 勒索软件运行手册和工作流程的影响 与监管罚款相关的特定成本 公司是否以及如何计划因泄露而增 加安全投资 以下缓解策略产生的影响：威胁情报 漏洞和风险管理 攻击面管理(AS

4、M)托管安全服务提供商(MSSP)2023 年报告新增内容随着泄露成本不断增加，本报告可为各方提供重要洞察成果，可帮助安全和 IT 团队更好地管理风险并限制潜在损失。报告分为五个主要部分：介绍重要结论和 2023 年新增内容的 执行摘要 对完整调查结论的深入分析，包括按地 理区域和行业划分的数据泄露成本 IBM Security 专家根据本报告的结 果提出的安全建议 组织统计数据与行业定义 研究方法，包括如何计算成本本报告所述主要结论基于 IBM Security 对波耐蒙研究所(Ponemon Institute)所汇编的研究数据的分析而得出。本报告中成本金额的计量单位为美元(USD)。01

5、5下一节上一节重要结论泄露的平均总成本2023 年，数据泄露的平均成本达到 445 万美元，创下历史新高。相较于 2022 年的 435 万美元，该成本增加了 2.3%。拉长时间线来看，平均成本较 2020 年报告中的 386 万美元增加了 15.3%。因数据泄露而计划增加安全投资的组织所占比例 虽然数据泄露的成本持续上升，但报告参与者在是否因数据泄露而计划增加安全投资的问题上几乎各持己见。确定需要额外投资的首要领域包括事件响应(IR)规划和测试、员工培训以及威胁检测和响应技术。针对数据泄露造成的财务影响，广泛采用安全 AI 和自动化可获得良好的效果在识别并遏制安全泄露事件方面，安全 AI 和

6、自动化被证明是能够降低成本以及缩短时间的重要投资。广泛采用这些功能的组织在识别并遏制泄露方面耗费的时间平均缩短了 108 天。报告还指出，与不使用安全 AI 和自动化功能的组织相比，数据泄露成本降低了 176 万美元。445 万美元51%176 万美元016下一节上一节1/3组织自身的安全团队或工具发现的漏洞数量仅有三分之一的公司通过自己的安全团队发现了数据泄露事件，这凸显了亟需更好的威胁检测手段。67%的漏洞是由良性第三方或攻击者自己报告的。当攻击者披露漏洞时，相较于内部检测，组织会损失近 100 万美元。82%涉及存储在云端（公共、私有或多个环境）中各类数据泄露所占比例2023 年，云环境

7、成为网络攻击者的常见目标。攻击者通常会入侵多个环境，39%的漏洞跨越多个环境，造成的损失高于平均水平，达到 475 万美元。53.3%自 2020 年以来，医疗数据泄露 成本增加了 53.3%自 2020 年以来，受到严格监管的医疗保健行业的数据泄露成本大幅上升。根据报告，医疗保健行业数据泄露造成的损失已连续 13 年位居榜首，耗费的平均成本高达 1,093 万美元。47 万美元未让执法部门参与抵御勒索软件攻击的 组织所承受的额外成本今年的研究表明，将执法部门排除在勒索软件事件之外会导致更高的成本。虽然 63%的回应者表示他们的数据泄露事件有执法部门介入，但 37%的回应者表示没有执法部门介入

8、，却还是多支付了 9.6%的费用，并且泄露生命周期延长了 33 天。执行摘要017下一节上一节102 万美元发现并解决漏洞用时超过 200 天与用时不到 200 天的漏洞之间的平均成本差异识别并遏制泄露所耗费的时间（称为泄露生命周期）仍然会对整体财务情况造成不可忽视的影响。对于那些识别并遏制泄露所耗费时间不到 200 天的事件，给组织造成了 393 万美元的损失。那些耗费时间超过 200 天的事件，成本为 495 万美元，相差 23%。144 万美元安全系统复杂性较高的组织会产生更 高的数据泄露成本2023 年，依据报告统计，安全系统复杂性较低或不复杂的组织产生的平均数据泄露成本为 384 万

9、美元。安全系统复杂性较高的组织平均成本为 528 万美元，增大了 31.6%。168 万美元149 万美元通过采用高水平的 DevSecOps 部 署来节省成本软件开发流程(DevSecOps)中的集成安全性测试在 2023 年显示出可观的投资回报率。与 DevSecOps 采用率低或未采用的组织相比，采用率高的组织节省了 168 万美元。与其他降低成本的因素相比，DevSecOps 展示了最大的成本节省效果。具备高水平的 IR 规划和测试的组织 所节省的成本除了成为组织的优先投资之外，IR 规划和测试还可成为控制数据泄露成本的高效策略。具有高水平 IR 规划和测试的组织比低水平的组织节省了

10、149 万美元。执行摘要028下一节上一节完整的结论在这部分中，我们将整体内容划分为 18 个主题，详细介绍本报告得出的主要结论。主题安排顺序如下：全球关注重点 初始攻击媒介 识别攻击 数据泄露生命周期 关键成本因素 勒索软件和破坏性攻击 业务合作伙伴供应链攻击 软件供应链攻击 监管环境 云泄露 大规模泄露 安全性投资 安全 AI 和自动化 事件响应 威胁情报 脆弱性和风险管理 攻击面管理 托管安全服务提供商全球关注重点数据泄露成本报告 使用来自 16 个不同国家/地区、超过 553 起数据泄露的数据，并考虑了数百个成本因素，提供了数据泄露成本的全球概况。本节将阐述全球平均水平的关键指标。我们

11、还会探讨国家/地区和行业之间每笔记录的平均比较成本。完整的结论02445 万美元数据泄露的全球平均总成本图 1：数据泄露的成本攀升至新高。数据泄露的全球平均成本已上升至 445 万美元，比 2022 年增加了 10 万美元。相较于 2022 年的 435 万美元，平均成本增加了 2.3%。自 2020 年以来，数据泄露的平均总成本为 386 万美元，平均总成本 增加了 15.3%。图 2：数据泄露的每条记录成本也达到新高。2023 年，数据泄露相关的每笔记录的平均成本为 165 美元，比 2022 年的平均成本 164 美元略有增加。这与 2021 年至 2022 年相对较小的增长相吻合，其中

12、成本仅增长 3 美元。在过去七年中，每笔记录的平均成本最大增幅发生在 2020 年至 2021 年期间，平均成本从 146 美元上升到 161 美元，涨幅为 10.3%。这项研究调查了 2,200 至 102,000 笔记录规模不等的泄露情况。110下一节上一节完整的结论0220020202120222023$141$148$150$146$161$164$165$135$140$145$150$155$160$165$170数据泄露的总成本图 1：以百万美元为单位数据泄露的每条记录成本图 2：以美元为单位$3.62$3.86$3.92$3.86$4.24$4.35$4.

13、45$2.50$3.00$3.50$4.00$4.50$5.0020020202120222023在今年的前五国家/地区名单中，日本是唯一不在 2022 年前五名单中的国家，去年排名第六。去年排名前 5 名的国家还包括英国(UK)，其平均数据泄露成本为 505 万美元。今年，英国的平均成本大幅下降，为 421 万美元，比去年下降 16.6%，因此排在前五名之外。美国再次成为数据泄露平均总成本最高的国家，为 948 万美元，比去年的 944 万美元增加了 0.4%。与去年相似，中东地区的数据泄露平均总成本位居第二，从 746 万美元增加到 807 万美元，增幅为 8.2%。

14、在加拿大，数据泄露的平均总成本从 564 万美元下降到 513 万美元，降幅为 9%。德国的平均成本也有所下降，从 485 万美元下降到 467 万美元，降幅为 3.7%。日本的平均成本略有下降，从 457 万美元下降到 452 万美元，降幅为 1.1%。11下一节上一节2023 年2022 年1美国948 万美元美国944 万美元2中东807 万美元中东746 万美元3加拿大513 万美元加拿大564 万美元4德国467 万美元英国505 万美元5日本452 万美元德国485 万美元图 3：美国连续 13 年成为数据泄露成 本最高的国家。数据泄露平均成本最高的前五个国家或地区与 2022 年

15、相比发生了显著变化。完整的结论02#1United States2022$9.442023$9.48#2Middle East2022$7.462023$8.07#3Canada2022$5.642023$5.13#4Germany2022$4.852023$4.67#5Japan2022$4.572023$4.52#6UnitedKingdom2022$5.052023$4.21#7France2022$4.342023$4.08#8Italy2022$3.742023$3.86#9Latin America2022$2.802023$3.69#10South Korea2022$3.572

16、023$3.48#11ASEAN2022$2.872023$3.05#12South Africa2022$3.362023$2.79#13Australia2022$2.922023$2.70#14India2022$2.322023$2.18#15Scandinavia2022$2.082023$1.91#16Brazil2022$1.382023$1.22 按国家或地区划分的数据泄露成本图 3：以百万美元为单位完整的结论022图 4：在各个行业中，医疗保健行业连 续 13 年录得损失最高的数据泄露成本。医疗保健行业的数据泄露成本仍为所有行业中最高，从 2022 年的 1,010 万美元增

17、加到 2023 年的 1,093 万美元，增幅为 8.2%。在过去三年中，医疗保健领域数据泄露的平均成本增长 53.3，与 2020 年的平均成本 713 万美元相比，增加 300 多万美元。医疗保健行业受监管程度很高，美国政府始终将之视为关键基础设施行业。自新冠疫情开始以来，该行业的平均数据泄露成本显著上升。与去年的排名相比，成本最高的五大行业发生了一些变化。科技行业跌出前五名，而工业部门则递补上来，从第七位上升到第五位，增幅为 5.8%。根据 IBM 威胁情报分析，制造业成为网络犯罪分子最常攻击的行业。13下一节上一节2023 年2022 年1医疗行业 1,093 万美元医疗行业 1,01

18、0 万美元2金融590 万美元金融597 万美元3制药482 万美元制药501 万美元4能源478 万美元科技 497 万美元5工业 473 万美元能源 472 万美元完整的结论02按行业划分的数据泄露成本图 4：以百万美元为单位$2.07$3.28$2.94$3.15$3.83$3.88$3.86$3.86$3.62$3.59$4.70$4.97$4.47$4.72$5.01$5.97$10.10$2.60$2.96$3.36$3.58$3.62$3.63$3.65$3.80$3.90$4.18$4.47$4.66$4.73$4.78$4.82$5.90$10.93$0.00$1.00$2.

19、00$3.00$4.00$5.00$6.00$7.00$8.00$9.00$10.00$11.00Public sectorRetailHospitalityMediaEntertainmentResearchEducationConsumerCommunicationsTransportationProfessional servicesTechnologyIndustrialEnergyPharmaceuticalsFinancialHealthcare20232022729737375707325726627928028727727705010

20、0020020202120222023MTTIMTTC图 5：识别和遏制泄露事件的 平均时间大致相同。与 2022 年相比，泄露事件的平均识别时间(MTTI)和平均遏制时间(MTTC)的变化微乎其微。平均识别时间是指组织识别安全泄露事件所需的时间。平均遏制时间是指识别安全泄露事件后解决所需的时间。14下一节上一节2022 年，各类组织需要 207 天才能识别泄露事件，而在 2023 年仅需 204 天。另一方面，组织在 2023 年平均需要 73 天来遏制泄露事件，而在 2022 年平均仅需 70 天。遏制和识别泄露事件的最长平均时间均发生在 202

21、1 年，分别为 212 天和 75 天。完整的结论02识别和遏制泄露事件的时间图 5：以天为单位数据泄露的成本分为四个成本部分图 6：以百万美元为单位图 6：损失的业务成本达到 五年来最低水平。去年的报告显示，检测和上报成本上升为数据泄露费用中最昂贵的类别，这表明数据泄露调查正在转向用时更长、更为复杂的局面。今年这一趋势仍在继续，检测和上报成本仍然位居榜首，从 144 万美元上升到 158 万美元，差额 14 万美元，增幅为 9.7%。检测和上报成本包括支持公司合理检测漏洞的活动，并且可能包括取证和调查活动、评估和审计服务、危机管理以及高管和董事会沟通等。数据泄露的其他关键成本部分（业务成本损

22、失、泄露后响应和通知）与 2022 年相比也发生了变化。业务成本损失下降 8.5%，从 2022 年的 142 万美元下降到 2023 年的 130 万美元。业务成本损失包括系统停机造成的业务中断和收入损失、客户流失成本和获取新客户的成本以及声誉损失和商誉减少等活动。值得注意的是，通知成本部分从 2022 年的 31 万美元上升到 2023 年的 37 万美元，增长 19.4%。泄露后响应成本仅增加了 20,000 美元。通知成本包括支持公司通知数据主体、数据保护监管机构和其他第三方的活动。15下一节上一节2002120222023NotificationPost-bre

23、ach responseDetection and escalationLost business cost$1.45$1.42$1.52$1.59$1.42$1.30$1.23$1.22$1.11$1.24$1.44$1.58$1.02$1.07$0.99$1.14$1.18$1.20$0.16$0.21$0.24$0.27$0.31$0.37$0.00$0.50$1.00$1.50$2.00$2.50$3.00$3.50$4.00$4.50完整的结论02图 7：与去年相比，规模较小的组织 面临的数据泄露成本要高得多。2023 年，拥有 5,000 名以上员工的组织的数据泄露平均成本较 20

24、22 年有所下降。另一方面，员工人数不超过 5,000 名的公司的数据泄露平均成本显著增加。员工人数少于 500 名的组织报告称，数据泄露事件的平均影响从 292 万美元增加到 331 万美元，增幅为 13.4%。员工人数为 5001,000 名的组织从 271 万美元增加到 329 万美元，增幅为 21.4%。至于员工人数为 1,0015,000 名的组织，数据泄露的平均成本从 406 万美元增加到 487 万美元，增幅近 20%。在员工人数为 10,00125,000 名的组织中，受访组织报告的平均成本为 546 万美元，比 2022 年的 556 万美元下降了 1.8%。员工人数超过 2

25、5,000 名的组织的平均成本从 2022 年的 556 万美元下降到 2023 年的 542 万美元，下降 14 万美元，降幅为 2.5%。16下一节上一节完整的结论02按人数计算的数据泄露成本图 7：以百万美元为单位$2.95$2.61$4.05$5.10$5.47$5.28$2.92$2.71$4.06$5.18$5.56$5.69$3.31$3.29$4.87$4.33$5.46$5.42$0.00$1.00$2.00$3.00$4.00$5.00$6.00Fewer than 500employees5001,000employees1,0015,000employees5,0011

26、0,000employees10,00125,000employeesMore than 25,000employees202120222023图 8：大多数组织会因数据泄露而继续 提高服务和产品的价格。大多数(57%)受访组织表示，数据泄露导致其业务产品定价上涨，将成本转移至消费者。这一发现与我们 2022 年的报告类似，其中 60%的受访组织表示其提高了价格。数据泄露是否造成贵组织增加服务和产品成本？图 8：在已遭泄露组织总样本中所占份额Yes57%No43%17下一节上一节完整的结论02$0$40$80$120$160$200$183Customer PII$181Employee PI

27、I$168Other corporate data$138Anonymized customer data(non-PII)$156Intellectual property图 9a 和 9b：客户个人识别信息(PII)是成本最高、最常见的记录泄露事件。在所有记录类型中，客户和员工个人识别信息(PII)的泄露成本最高。2023 年，客户 PII（如姓名和社会保障编号）每笔记录的成本为 183 美元，员工 PII 每笔记录的成本为 181 美元，紧随其后。泄露成本最低的记录类型是匿名客户数据，到 2023 年，组织每笔记录的成本为 138 美元。与 2022 年和 2021 年的情况一样，客户

28、PII 是 2023 年最常遭受泄露的记录类型。52%的泄露事件涉及某种形式的客户 PII。这比 2022 年增加了 5 个百分点，当时客户 PII 占所有泄露数据的 47%。第二最常见泄露的数据类型是员工 PII，占比为 40。2021 年遭泄露的员工 PII 占所有泄露记录的 26%，自 2021 年以来，这一数值大幅增长。自 2022 年以来，遭泄露的知识产权增长了三个百分点，而匿名（非 PII）数据比 2022 年下降了 7 个百分点，从 33%下降到 26%。其他企业数据，如财务信息和客户名单，在遭泄露的数据中所占比例从 2022 年的 15%上升到 2023 年的 21%。18下一

29、节上一节完整的结论02遭泄露的数据类型图 9a.允许多个响应按泄露记录类型划分的数据泄露对应的每条记录成本图 9b：以美元为单位12%15%21%Other corporate data28%33%26%27%31%34%Intellectual property26%34%40%Employee PII44%47%52%Customer PII0%10%20%30%40%50%60%20232022202119下一节上一节490 万美元使用恶意内部初始攻击媒介进行数据泄 露的平均成本16%以网络钓鱼为初始攻击媒介的泄露百分比初始攻击媒介本节探讨了研究中的数据泄露所采用的初始攻击媒介及其对泄露

30、成本和时间线的影响。报告中确定了数据泄露的最常见根本原因，并比较了每个类别的平均泄露成本以及识别并遏制这些泄露的平均时间。网络钓鱼以及被盗或泄露的凭证是今年报告中最常见的两种攻击媒介，两者也都位居成本最高的四大事件类型之列。完整的结论02图 10：网络钓鱼与凭证被盗或泄露是两种最常见的初始攻击媒介。网络钓鱼与凭证失窃或泄露分别造成了 16%和 15%的数据外泄，网络钓鱼比凭证失窃略微靠前，成为 2022 年度报告中最常见的媒介。11%的攻击所采用的初始媒介都属于云配置错误范畴，其次是企业电子邮件泄露，占 9%。今年，该报告首次审查了零日（未知）漏洞以及未修补的已知漏洞作为数据泄露的来源，并发现

31、了所调研的数据泄露中有 5%以上源于尚未修补的已知漏洞。尽管由恶意内部人员发起攻击的概率相对较低（仅占 6%），但这类攻击造成的损失却是最高的，平均为 490 万美元，比每次数据泄露的全球平均成本 445 万美元高出 9.6%。网络钓鱼是最常见的攻击媒介，所造成的损失金额高居第二位，达 476 万美元。因系统错误造成的数据外泄所导致的损失最低，平均为 396 万美元，也是最不常见的，发生概率仅为 5%。20下一节上一节图 10：以百万美元为单位Business email compromise$4.67Cloud misconfiguration$4.00Phishing$4.76Physic

32、al security compromise$4.10Social engineering$4.55Stolen or compromised credentials$4.62Unknown(zero-day)vulnerability$4.45$3.50$3.80$4.10$4.40$4.70$5.004%6%8%10%12%14%16%18%Accidental data loss or lost or stolen device$4.46Known unpatched vulnerability$4.17Malicious insider$4.90System error$3.96完整的

33、结论02按初始攻击媒介划分的数据泄露成本和频率0500300350MTTIMTTC24088328Stolen or compromised credentials22880308Malicious insider21880298Social engineering21776293Phishing20578283Accidental data loss or lost or stolen device19577272Unknown(zero-day)vulnerability19869267Physical security compromise19472266Busin

34、ess email compromise19068258Cloud misconfiguration18370253Known unpatched vulnerability18056236System error图 11：因凭证失窃或泄露以及恶意内部人员 引发的数据泄露解决起来最为耗时。今年，识别和遏制因凭证失窃或泄露而导致的数据泄露事件平均耗费近 11 个月（328 天），而解决由恶意内部人员引发的数据泄露则耗费约 10 个月（308 天）。这两种媒介，以及网络钓鱼和商业电子邮件泄露，造成的损失最高。相比之下，识别和遏制数据泄露的总体平均时间为 277 天或刚超过九个月。过去几年中，报告的

35、这一数字一直保持相对稳定。21下一节上一节完整的结论02通过初始攻击媒介识别和遏制数据泄露的时间图 11：以天为单位22下一节上一节33%只有三分之一的数据泄露是由组织的内部安全团队和工具识别的标识攻击本节讨论了如何识别数据泄露以及不同的识别方法下成本和遏制时间的差异，这些分析都属于今年首次报告的内容。识别数据泄露的方式分为三类：由组织的内部安全团队和工具识别，包括托管安全服务提供商(MSSP)；由善意友好的第三方（如安全研究人员或执法人员）识别；以及由攻击者披露（如勒索软件）。完整的结论02图 12：数据泄露通常由良好的第三方确定。40%的数据泄露是由善意友好的第三方或外部人员识别的，而 3

36、3%的数据泄露是由内部团队和工具识别的。超过四分之一(27%)的数据泄露是攻击者在勒索软件攻击中披露的。图 13：由攻击者披露的数据泄露（例如勒索软件）所造成的损失要高得多。由攻击者披露的攻击造成的平均成本为 523 万美元，比通过内部安全团队或工具识别的数据泄露平均成本 430 万美元高出 19.5%（即 93 万美元）。此外，由攻击者披露的数据泄露造成的损失比 2023 年的平均数据泄露成本 445 万美元高出 16.1%（即 78 万美元）。由组织自己的安全团队和工具所识别的数据泄露的损失要低得多，比由攻击者披露的事件少了近 100 万美元。23下一节上一节如何识别数据泄露？图 12：只

37、允许单个响应数据泄露的成本取决于数据泄露的识别方式图 13：以百万美元为单位完整的结论020%5%10%15%20%25%30%35%40%45%27%By disclosure from the attacker33%By the organizationssecurity teams and tools40%By a benign third party$4.68By a benign third party$0.00$1.00$2.00$3.00$4.00$5.00$6.00$5.23By disclosure from the attacker$4.30图 14：识别和遏制由攻击者披露

38、的数据泄露耗费的时间最长。响应者平均需要耗费 320 天来识别和遏制由攻击者披露的数据泄露。与内部识别的数据泄露相比，这一时间又长了 80 天（即增加 28.2%），后者平均需要耗费 241 天才能进行识别和遏制。与善意友好的第三方识别的数据泄露相比，识别和遏制由攻击者披露的数据泄露的平均时间长了 47 天（即增加 15.9%）。24下一节上一节通过数据泄露识别方式来识别和遏制数据泄露图 14：以天为单位完整的结论020500300350MTTIMTTC23387320By disclosure from the attacker20370273By a benign t

39、hird party18259241By the organizations security teams and tools下一节上一节数据泄露生命周期数据泄露生命周期定义为从最初发现漏洞直至遏制数据泄露所经过的时间。“识别时间”描述了其发现一个事件所需的天数。“遏制时间”是指组织解决这个情况并在检测到数据漏洞之后恢复服务所需的天数。这两个指标有助于确定组织事件响应(IR)和遏制过程的效率。完整的结论02277 天识别和遏制数据泄露的时间图 15：数据泄露生命周期越短，数据泄露成本越低。生命周期少于 200 天的数据泄露造成的平均成本为 393 万美元，而生命周期超过 200 天的数据泄露造

40、成的平均成本为 495 万美元。两者之间存在着 23%的差异，相对较短的生命周期减少了 102 万美元的成本。回顾前几年，基于生命周期为 200 天的数据泄露造成的平均成本虽然有所变化，但相对稳定。对于生命周期少于 200 天的数据泄露，其 2023 年所造成的损失为 393 万美元，比上一年的平均成本 374 万美元增长了 5.1%。对于生命周期超过 200 天的数据泄露，其 2023 年所造成的损失为 495 万美元，比上一年的平均成本 486 万美元增长了 1.9%。2023 年 报告的平均成本节约为 102 万美元，与 2022 年的成本节约金额 112 万美元相比，下降了 8.9%。

41、26下一节上一节基于数据泄露生命周期的成本图 15：以百万美元为单位完整的结论02$3.93$4.95$0.00$1.00$2.00$3.00$4.00$5.00$6.00Lifecycle2 years2023 averageLow regulationHigh regulation$5.04Other industries$3.78关键基础架构行业与其他行业的数据泄露平均成本对比图 31：关键基础架构行业的数据 泄露成本超过 500 万美元。关键基础设施组织包括金融服务、工业、科技、能源、运输、通信、医疗保健、教育以及公共部门等行业的企业和机构。这些组织的数据泄露成本比其他行业组织的平均成

42、本（378 万美元）高出 126 万美元，相差 28.6%。这 504 万美元的成本还反映出，与 2022 年报告的关键基础设施行业的数据泄露平均成本 482 万美元相比费用增加了 4.6%。41下一节上一节完整的结论02图 31：以百万美元为单位图 32 和图 33：三分之一偏弱的组织因数据泄露而遭受罚款，其中 80%的罚款金额为 25 万美元或以下。在所研究的组织中，31%的组织因数据泄露而遭受罚款，其中只有 20%的罚款超过 25 万美元。在 2023 年的报告中，金额为 25 万美元的罚款占数据泄露平均总成本的 5.6%。42下一节上一节您的组织是否因数据泄露而遭受任何罚款？图 32：

43、所有组织的占比31%69%Incurred finesNo fines数据泄露所产生的罚款成本分布图 33：在遭受罚款的组织中（以美元为单位）完整的结论020%5%10%15%20%25%30%15%Less than$25,00019%$25,000$50,00025%$50,001$100,00021%$101,001$250,00020%More than$250,00043下一节上一节82%与云环境（公共云、私有云或跨多个环境）中所存储数据相关的泄露事件占比云泄露数据泄露的成本和持续时间因数据存储位置而异。最常见的是，所研究的泄露事件包括跨越多个环境（包括云环境和本地环境）的数据，而此

44、类泄露事件还导致了更高的成本以及需要更长的时间来识别和遏制数据泄露。完整的结论02图 34：泄露事件对跨多个环境存储 的数据造成影响最多。其中与跨多个环境所存储数据相关的泄露事件比例最大，为 39%，其次是公共云中所存储数据相关的泄露事件，占比为 27%。跨多个环境发生的泄露数量超过了仅在私有云或本地环境中发生的泄露总数的 34%。44下一节上一节遭受泄露的数据通常存储在哪里？图 34：所有泄露事件的占比完整的结论02图 35：公共云和多个环境中的数 据泄露成本更高。在 2023 年的报告中，跨多个环境的数据泄露成本达到 475 万美元，在所分析环境中成本最高，比私有云环境中数据泄露成本（所分

45、析环境中泄露成本最低，为 398 万美元）高出 17.6%。跨多个环境的数据泄露成本也比数据泄露的平均成本（445 万美元）高出 6.5%。按已泄露数据的存储位置划分的数据泄露成本图 35：以百万美元为单位$3.98$4.57$3.99$4.75$0.00$0.50$1.00$1.50$2.00$2.50$3.00$3.50$4.00$4.50$5.00On premisesPublic cloudPrivate cloud16%27%18%39%0%5%10%15%20%25%30%35%40%Across multiple typesof environmentsOn premisesPu

46、blic cloudPrivate cloud图 36：使用公共云和多个环境也是导致数据泄露生命周期延长的因素。与跨多个环境数据存储相关的识别和遏制泄露事件所需时间最长，为 291 天。此时间间隔比识别和遏制泄露事件的最短时间（在私有云环境中为 235 天）多了 56 天（即增加 21.3%）。另外值得注意的是，使用多个环境是唯一超过 2023 年报告的识别和遏制数据泄露平均时间（277 天）的模式，二者之间差值为 14 天（即相差 4.9%）。45下一节上一节通过泄露数据的存储位置识别和遏制数据泄露所需的时间图 36：以天为单位完整的结论0217854232On premises050100

47、0MTTIMTTC17856235Private cloud20769276Public cloud21676291Across multiple typesof environments46下一节上一节3.32 亿美元泄露规模达到 5,000 万到 6,000 万条 记录的数据泄露平均总成本大规模泄露以超过百万条受损记录为特征的大规模泄露事件相对罕见。但是，由于其规模庞大，此类事件可能会产生深远的影响。今年的研究包括 20 个组织，这些组织因数据泄露而遭受了 100 万至 6,000 万条记录的丢失或被盗。该研究采用一种独特的方法来检查这些大规模泄露，将其与该研究的其他

48、 553 起泄露事件分开考虑，每起泄露事件包括不超过 101,200 条丢失或受损的记录。有关研究方法的完整说明，请参阅本报告末尾的数据泄露常见问题解答。完整的结论02图 37：在 2023 年的报告中，大规模泄露的成本有所下降。在所有数据泄露规模群组中，大规模数据泄露的平均成本都有不同程度的下降。降幅最高的是 100 万至 1,000 万条记录群组，从 2022 年报告中的 4,900 万美元下降到 2023 年报告中的 3,600 万美元，降幅达 26.5%。降幅最小的是 3,000 万至 4,000 万条记录群组，从 2022 年报告中的 3.16 亿美元下降到 2023 年报告中的 3

49、.04 亿美元，降幅达 3.8%。在 5,000 万至 6,000 万条记录群组中，2022 年报告的成本为 3.87 亿美元，减少了 5,500 万美元（即 14.2%），与 2023 年报告的 3.32 亿美元相当。47下一节上一节按丢失记录数量计算的大规模泄露成本图 37：以百万美元为单位完整的结论02$0$50$100$150$200$250$300$350$40020222023$332$38750M60M$328$37940M50M30M40M$304$316$225$24120M30M$166$18010M20M 1M10M$36$4948下一节上一节安全性投资本节将探讨各组织在

50、遭受数据泄露后采取的安全投资策略。我们将探讨组织在泄露事件后增加支出的频率以及他们如何选择分配资金。完整的结论0251%发生泄露事件后增加安全投资的组织所占比例图 38：泄露事件发生后，受访者在增 加安全投资方面存在分歧。尽管数据泄露的全球成本不断增加，但研究参与者对事件发生后增加安全投资的看法存在分歧。51%的受访者表示，他们计划在泄露发生后增加安全支出。49下一节上一节数据泄露事件发生后，贵组织是否会增加安全投资？图 38：占所有组织的百分比完整的结论0251%49%Will increase security investmentWont increase security invest

51、ment50下一节上一节图 39：泄露事件发生后，组织投入了大量资金开展 IR 规划和测试以及员工培训。在数据泄露后增加支出的 51%组织中，最常见的投资是 IR 计划和测试(50%)，紧随其后的是员工培训(46%)。威胁检测和响应技术位居第三（占 38），在本节讨论的技术或工具投资中排位靠前。值得注意的是，在本年度报告“关键成本因素”部分中，我们探讨了与降低数据泄露成本相关的多个首要因素，而这三项投资就与之关联甚为密切。仅 18%的受访者认为保险保障是数据泄露后最不常见的投资。泄露后增加安全投资的最常见投资类型图 39：在增加投资的组织中各项所占比例（可纳入多个响应策略）完整的结论020%1

52、0%20%30%40%50%18%Insurance protection25%Data security or protection tools31%Managed security services32%IAM35%Offensive security testing38%Threat detection and response technologies46%Employee training50%IR plan and testing51下一节上一节108 天广泛使用安全 AI 和自动化的组织识别并遏制数据泄露的速度比未使用的组织快 108 天。安全 AI 和自动化随着安全行业的安全

53、AI 和自动化用例的不断发展，本报告研究了这些技术对数据泄露成本和时间线的影响。示例包括使用 AI、机器学习、自动化和业务流程，来增强或取代在威胁检测和调查以及响应和遏制过程中的人为干预。与之相对的是基于人工输入而运行的流程，这种流程往往需要运用几十种工具和复杂的非集成式系统，并且这些工具和系统之间并没有设立数据共享的机制。尽管这是调查 AI 和自动化对网络安全影响的第六年，但今年我们引入了新标准，这些标准考虑了 AI 在整个组织安全流程中的渗透，而非前几年数据中的部署水平（从未部署到部分或完全部署）。“广泛使用”是指在整个运行过程中集成安全 AI 和自动化，包括多种不同的工具集和功能。“有限

54、使用”是指将 AI 仅应用于安全运营中的一个或两个用例。“未使用”是指仅通过手动输入执行实施的安全流程。完整的结论02比较三个使用级别的安全 AI 和自动化状态图 40：每个使用级别的组织所占比例28%33%39%0%5%10%15%20%25%30%35%40%45%Extensive useLimited useNo use图 40：61%的大多数组织采用一定程 度的安全 AI 和自动化。仅 28%的组织在其网络安全流程中广泛使用安全 AI 和自动化工具，而 33%的组织采取“有限使用”的方式。这导致近四成的人员在安全运营过程中完全依赖手动输入。52下一节上一节图 41：以百万美元为单位按

55、安全 AI 和自动化使用级别划分的数据泄露成本$3.60$4.04$5.36$0.00$1.00$2.00$3.00$4.00$5.00$6.00Extensive useLimited useNo use图 41：广泛使用安全 AI 和自动化，成功节省了近 180 万美元的成本。相对而言，广泛使用安全 AI 和自动化的组织所节省的成本最高，数据泄露的平均成本为 360 万美元，比不使用的组织减少了 176 万美元，相差 39.3%。即便是有限使用安全 AI 和自动化的组织，数据泄露的平均成本达到 404 万美元，但仍比“未使用”组织的成本减少了 132 万美元，相差 28.1%。未使用安全

56、AI 和自动化的组织的数据泄露平均成本为 536 万美元。这比 2023 年数据泄露的平均成本（445 万美元）高出 18.6%。完整的结论02图 42：广泛使用安全 AI 和自动化，可将识别和遏制泄露的时间大幅缩短，超过了 100 天。广泛运用安全 AI 和自动化的组织的受访者表示，他们能够在 214 天内识别并遏制泄露事件，比未使用安全 AI 和自动化的组织缩短 108 天。这意味着，在广泛运用安全 AI 和自动化的情况下，识别和遏制泄露事件所需的时间仅为没有应用 AI 和自动化的组织所需时间的 66%。即便有限的应用也产生了重大影响，识别和控制泄露的平均时间为 234 天，比未使用的组织

57、缩短 88 天。显然，即使是将安全 AI 和自动化集成至安全工作流程中的有限努力，也能显著加快识别和遏制泄露的时间，并大幅降低成本。53下一节上一节按安全 AI 和自动化应用级别识别和遏制数据泄露所需的时间图 42：以天为单位完整的结论02050030025755325MTTIMTTC16747214Extensive use17262234Limited use23785322No use54下一节上一节事件响应IR 战略和策略在减少数据泄露影响方面发挥了重要作用。缩短数据泄露持续时间的最有效 IR 策略是将组建 IR 团队与测试 IR 计划相结合

58、。不过，有些组织只采用这两种战略中的一种。单独的 IR 计划测试工作在减少识别和遏制泄露事件的总时间方面比仅组建 IR 团队更有效。完整的结论0254 天同时拥有 IR 团队和 IR 计划测试的组织，识别泄露事件的速度比二者皆无的组织要快 54 天。55下一节上一节图 43：合并的 IR 策略在识别和遏制 泄露方面节省了 54 天的时间。事实证明，采用组建 IR 团队和 IR 计划测试的双重策略，识别和遏制数据泄露的时间更短（252 天），而没有采用这两种方法则需要 306 天，相差 54 天（即 19.4%）。在不组建团队的情况下 IR 计划测试几乎同样有效，但二者相差 48 天（即 17%

59、）。通过 IR 团队的组建和测试来识别和遏制数据泄露所需的时间图 43：以天为单位完整的结论020500300MTTIMTTC2028858252Neither IR team nor IR plan testingFormation of an IR teamTesting of the IR planBoth IR team and IR plan testing下一节上一节28 天使用威胁情报的组织识别泄露的时间缩短了 28 天。威胁情报今年的报告新增了威胁情报服务对识别泄露事件所需平均时间的影响。威胁情报服务为安全领导者

60、提供有关网络威胁和泄露的信息和洞察分析，有助于其改善组织的安全状态。完整的结论02Doesnt use threat intelligence216Uses threat intelligence188采用威胁情报服务识别数据泄露所需的时间图 44：以天为单位的 MTTI图 44：采用威胁情报服务可缩 短泄露识别时间。今年的研究表明，威胁情报用户发现泄露的时间比没有实施威胁情报投资的用户少 13.9%，相差 28 天。与今年 204 天的全球 MTTI 相比，采用威胁情报服务的组织识别泄露事件所需时间缩短 16 天（即 8.2%）。未使用威胁情报的受访者识别泄露的时间比全球平均水平长 5.7%

61、（12 天）。下一节上一节完整的结论02398 万美元已部署基于风险的强力分析工具的组织 所产生的数据泄露成本漏洞和风险管理今年的新研究调查了组织如何对风险和漏洞进行优先排序，以及这如何影响数据泄露的成本。与仅依赖行业标准通用漏洞和暴露(CVE)术语表和通用漏洞评分系统(CVSS)的组织相比，采用更主动和基于风险的漏洞管理（例如漏洞测试、渗透测试或红队）的组织所承受的数据泄露成本低于平均水平。通常，主动风险管理工作包括组织的 IT 安全团队从潜在攻击者的角度来确定哪些漏洞可利用、哪些漏洞可能造成最大的危害。完整的结论02图 45 和图 46：将 CVE 评分以外的活动划分优先级的组织的泄露成本

62、较低。超过三分之一(36%)的组织仅依靠 CVE 评分来划分漏洞的优先级，而大多数组织(64%)更多地使用基于风险的分析方案。2023 年的研究表明，这两个群体之间的数据泄露成本 存在显著差异。部署更密集、进行基于风险分析的组织的数据泄露平均成本为 398 万美元，而仅依赖 CVE 评分的组织的数据泄露平均成本为 478 万美元，相差 18.3%。59下一节上一节完整的结论02您的组织如何管理漏洞优先级？图 45：占所有组织的百分比36%64%CVE score onlyOther risk-based analysis按漏洞管理优先级方法划分的数 据泄露成本图 46：以百万美元为单位$0.0

63、0$1.00$2.00$3.00$4.00$5.00$4.78CVE score only$3.98Other risk-basedanalysis,for example,based on real-worldattacks60下一节上一节攻击面管理ASM 是一组有助于发现、分析、修复和监视组织潜在攻击面或漏洞的流程。与未部署 ASM 解决方案的组织相比，已部署 ASM 解决方案的组织仅需 75%的时间就能识别和遏制数据泄露。完整的结论02使用 ASM 解决方案识别和遏制数据泄露所需的时间图 47：以天为单位图 47：ASM 帮助将识别和遏制数据泄露的总时间缩短了近 12 周。如果没有 AS

64、M 解决方案，组织首先需耗费 260 天来识别数据泄露，然后又要投入 77 天来遏制数据泄露，总共需要 337 天（约 11 个月）。部署 ASM 解决方案的组织在 193 天内成功识别泄露事件，并在 61 天内完成遏制操作。识别和遏制泄露的总时间为 254 天，相对缩短了 83 天（约 12 周），因此识别和遏制数据泄露所需的时间仅为未部署 ASM 解决方案的组织所耗费时间的 75%。MTTIMTTC543370500300350Has ASM solutionDoesnt have ASM solution61下一节上一节托管安全服务提供商我们的

65、研究首次探讨了与 MSSP 合作对识别和遏制泄露事件的影响。MSSP 为组织提供外包安全监控和管理的能力，通常会投入具备高可用性的安全运营中心来提供全天候服务。MSSP 可以帮助组织增强安全保障状态，而无需增加员工数量或投资内部资源培训。完整的结论02使用 MSSP 时识别和遏制数据泄露所需的时间图 48：以天为单位图 48：拥有 MSSP 的组织的 数据泄露生命周期缩短了 21%。在 2023 年报告中，与没有 MSSP 的组织相比，拥有 MSSP 的组织识别和遏制泄露事件所需的时间仅为 80%。与 2023 年报告的全球平均 204 天相比，与 MSSP 合作的组织识别泄露的速度快了 16

66、 天，识别时间缩短了 8.2%。那些没有 MSSP 的组织则多需 28 天（即 12.8%）的时间。没有 MSSP 的遏制时间比 2023 年报告的全球平均时间（73 天）长 5 天（即 6.6%）。在 MSSP 的协助下，遏制时间缩短了 10 天（即 14.7%）。MTTIMTTC050030023278310No MSSP18863251Using MSSP在本部分中，IBM Security 概括介绍了组织可采取哪些措施来降低数据泄露事件造成的财务成本，以及减少给组织声誉带来的不良影响。我们的建议包括成功的安全方法，这些方法可以帮助以更低的成本、更短的时间识别并遏制

67、泄露事件。0362下一节上一节有助于降低数据泄露 成本的几项建议在软件开发和部署的每个阶段建立安全机制，并定期进行测试跨混合云实现数据保护现代化使用安全 AI 和自动化来提高速度和精度通过了解攻击面态势和实 践 IR 来增强恢复弹性1234将安全性融入到软件开发和部署的每个阶段，并定期进行测试 法规要求日益复杂，尤其当技术与日常活动交织在一起并且软件功能变得更加丰富和复杂时。DevSecOps 方法（2023 年报告中对 27 个因素进行的特别分析中，这是首要的成本缓解因素）对于将安全性构建到组织的工具或平台中至关重要，这些工具或平台是组织的员工投入工作流程或客户参与商业互动所不可或缺。所有类

68、型的组织都应该确保安全性处于正在开发的软件和正在部署的商业现货软件的最前沿。应用程序开发人员必须继续加速采用设计安全原则和默认安全原则，以确保安全性是数字化转型项目初始设计阶段考虑的核心要求，而不是简单地在事后解决。同样的原则也适用于云环境以支持云原生应用开发，认真努力保护用户隐私并最大程度地减少攻击面。163下一节上一节从攻击者的角度进行应用程序测试或渗透测试还可以让组织有机会在漏洞变成泄露之前标识和修补漏洞。没有任何技术或应用程序是完全安全的，添加更多功能会带来新的风险。持续的应用程序测试可以帮助组织标识新的漏洞。03有助于降低数据泄露成本的几项建议有助于降低数据泄露成本的几项建议64下一

69、节上一节03跨混合云实现数据保护现代化跨越各种多云环境，采取前所未有的规模创建、共享和访问数据。新云应用程序和服务的快速采用模式加剧了“影子数据”（敏感数据未被跟踪或管理）的风险，从而增加了安全和合规风险。本报告中的大多数(82%)数据泄露涉及云环境中存储的数据，而 39%的泄露涉及跨越多种环境类型的数据。不断演变的法规矩阵以及对不合规的严厉惩罚加剧了这些数据泄露的成本和风险。面对这些挑战，获得数据在混合云中传播的可见性和控制应该是所有类型组织的首要任务，并应将焦点放在强度加密、数据安全和数据访问政策上。公司应寻求数据安全以及适用于所有平台的合规技术，使其能够在混合云环境中部署的数据库、应用程

70、序和服务之间移动时保护数据。数据活动监控解决方案可以帮助确保在积极执行这些政策的同时实施适当的控制，例如尽早发现可疑活动以及阻止对关键数据存储的实时威胁。此外，数据安全状态管理等较新的技术可帮助在云中查找未知和敏感数据，包括云服务提供商、软件即服务(SaaS)属性和数据湖中的结构化和非结构化资产。这有助于识别和缓解底层数据存储配置、授权和数据流中的漏洞。随着组织继续深入混合多云运营，部署强大的身份和访问管理(IAM)策略至关重要，其中包括多因子认证(MFA)等技术，特别注重管理具有较高访问级别的特权用户帐户。2有助于降低数据泄露成本的几项建议65下一节上一节使用安全 AI 和自动化来提高速度和

71、准确性在 2023 年报告中，只有 28%的组织在运营中广泛使用安全 AI 和自动化，这意味着许多组织有很大机会提高速度、准确性和效率。与未使用安全 AI 和自动化的组织相比，广泛使用安全 AI 和自动化可节省近 180 万美元的数据泄露成本，并将识别和遏制泄露事件的时间缩短 100 天以上。03通过将安全 AI 和自动化嵌入工具集，安全团队可从中受益良多。例如，在威胁检测和响应工具中，使用安全 AI 和自动化可以帮助分析师更准确地检测新威胁，并更有效地对安全警告进行情境处理和分类。这些技术还可以自动处理部分威胁调查流程，或者建议执行有助于加快响应速度的操作。此外，由 AI 驱动的数据安全和身

72、份识别解决方案，可识别高风险交易、以最小的用户摩擦提供保障服务，并更有效地将可疑行为拼接起来，统筹管理，从而助力实现颇具前瞻性的主动安全状态。3将 AI 运用于安全运营时，应寻找能够提供值得信赖和成熟用例的技术，要具备经过验证的精度、效能和透明度，以消除潜在的偏差、盲点或漂移。随着威胁和技术能力的发展，组织应规划一种旨在推动 AI 采用的运营模式，支持持续学习。组织还可从各种核心安全技术的紧密集成部署中受益，实现更顺畅的工作流程，并在通用数据池中共享洞察成果。首席信息安全官(CISO)和安全运营(SecOps)负责人还可以借助威胁情报报告，针对新兴威胁展开模式识别，并实现威胁的可视化管理。有助

73、于降低数据泄露成本的几项建议66下一节上一节通过了解攻击面态势和实践 IR 来增 强恢复弹性了解您所在行业和组织最容易受到的攻击，并据此确定安全策略的优先级。ASM 等工具或对手模拟等技术可帮助组织从攻击者的角度了解其独特的风险情况和漏洞，其中包括那些易被利用的漏洞。此外，事实证明，如果一个团队已精通适当的协议和工具、可以响应事件，则该团队可显著降低成本，缩短识别和遏制泄露事件的时间。在 2023 年报告中，IR 规划和测试不仅是三大成本缓解因素，而且数据还显示，在实施这些对策水平较高的组织中，数据泄露成本降低了 149 万美元；与水平低或没有对策的组织相比，解决事件的速度快了 54 天。组建

74、专门的 IR 团队，起草 IR 运行手册，并定期在桌面练习或模拟环境（如网络靶场）中测试 IR 计划。确保获取 IR 供应商的长期服务保障，也有助于加快响应泄露事件的时间。034最后，组织应力求实施和落实网络分区段操作方案，以限制攻击的传播及其可能造成的损坏程度，从而增强整体网络弹性，并减少相关的恢复工作。安全措施建议仅供教学培训使用，不保证任何结果。04下一节上一节组织统计数据今年的研究调查了来自 16 个国家和地区以及 17 个行业的 553 个不同规模的组织。本节按照地理和行业对所研究的组织进行了划分，并针对行业分类予以定义。18 年美国已被列入 数据泄露成本报告 18 年，在该报告涉及

75、的所有国家或地区中时间最长。组织统计数据68下一节上一节042023 年的研究在 16 个不同的国家和地区之间进行。全球研究速览图 49：所研究的所有国家/地区一览表地理统计数据国家/地区2023 年样本百分比货币2023 美元汇率7研究年限东盟234%新加坡元1.32947澳大利亚244%澳元1.491614巴西438%巴西雷亚尔5.070211加拿大265%加元1.35259法国346%欧元0.919814德国458%欧元0.919815印度519%印度卢比82.1912意大利244%欧元0.919812日本428%日元132.7512拉丁美洲4234%墨西哥比索18.0254中东5367

76、%沙特里亚尔3.703710斯堪的纳维亚6224%挪威克朗10.44455南非214%南非兰特17.738韩国234%ZRW1303.86英国499%英镑0.808516美国6712%美元1.0018总计553100%组织统计数据69下一节上一节所选定的 17 个行业多年来一直被纳入本报告的调研范围。行业统计数据0414%12%11%10%8%7%7%6%5%5%4%4%2%2%2%1%1%样本的行业分布图 50：行业的百分比五个行业合计占今年研究样本组织的 55%。14%金融12%服务11%技术10%工业8%能源FinancialProfessional servicesTechnology

77、IndustrialEnergyPublic sectorConsumerRetailTransportationCommunicationsHospitalityPharmaceuticalsEntertainmentEducationMediaResearchHealthcare组织统计数据70下一节上一节行业定义医疗行业医院和诊所金融银行、保险、投资公司能源石油和天然气公司、公用事业、替代能源生产商和供应商制药制药，包括生物医学与生命科学工业化学加工、工程和制造公司科技软件和硬件公司教育公立和私立大学和学院、培训和发展公司服务法律、会计和咨询公司等专业服务娱乐电影制作、体育、博彩和赌场运

78、输航空、铁路、货运和快递公司通信报纸、图书出版商、公共关系和广告公司消费消费品制造商和分销商媒体电视、卫星、社交媒体、互联网酒店酒店、餐饮连锁店、邮轮公司零售业实体店和电子商务研究市场研究、智库和研发(R&D)公共部门联邦、州、地方政府机构和非政府组织(NGO)040571下一节上一节研究方法出于保密目的，研究所使用的基准工具没有捕获任何公司的特定信息。数据收集方法排除了实际发生的会计信息，而是依靠参与者通过在数轴上标记一个范围变量来估计直接成本。参与者被要求在每个成本类别范围的下限和上限之间的某个位置标记数轴。数值是通过数轴而不是对每个成本类别估计的点得出的，保留了机密性，并且确保了更高的响

79、应率。基准工具还要求受访组织分别提供间接成本和机会成本的二次估计。为了顺利进行基准测试，需要做好可管理数据集的维护工作，因此我们只包括那些对数据泄露成本有重要影响的成本活动中心。根据与专家的讨论，我们选择了一组项目固定的成本活动。在收集基准信息后，我们仔细地重新检查了每项基准工具的一致性和完整性。在涉及个人信息的广泛业务运营中，有一些已知的成本因素类别，我们将数据泄露成本因素限定在这些已知类别中。我们选择关注业务流程，而不是数据保护或隐私合规活动，因为我们相信流程研究会产生更高质量的结果。研究方法72下一节上一节05检测和上报确保公司能够检测泄露事件的活动，包括：取证和调查活动 评估和审计服务

80、 危机管理 与高管和董事会的沟通通知确保公司能够通知数据主体、数据保护监管机构和其他第三方的活动，包括：给数据主体的电子邮件、信件、出站呼叫通信或一般通知 确定监管要求 与监管机构的沟通 聘请外部专家在计算数据泄露的平均成本时，本研究排除了非常小和非常大的数据泄露事件。2023 年的报告中，纳入调研的数据泄露事件规模均在 2,160 至 101,200 条受损记录之间。我们使用了单独的分析来研究大规模泄露的成本，报告中的“数据泄露常见问题解答”部分对该方法有深入的阐述。本研究采用了基于活动的成本计算，即确定活动并根据实际使用情况分配成本。有四种与流程相关的活动导致了与组织数据泄露相关的一系列支

81、出：检测和升级、通知、泄露后响应和已丢失业务。我们如何计算数据泄露的成本泄露后响应帮助数据泄露事件的受害者与公司沟通的活动，以及对受害者和监管机构的补救活动，包括：服务台和入站通信 信用监察和身份保护服务 签发新账户或信用卡 法律支出 产品折扣 监管罚款业务损失试图将客户流失、业务中断和收入损失 降至最低的活动，包括：因系统宕机而造成的 业务中断和收入损失 失去客户和获得新客户的成本 声誉损失和商誉降低研究方法73下一节上一节05什么是数据泄露？泄露定义为包含个人身份信息(PII)、财务或医疗帐户详细信息等；或者其他秘密、机密或专有数据的记录可能面临风险的事件。这些记录可以是电子或纸质格式。本

82、研究中包括的数据泄露规模范围为 2,200 到 102,000 条受损记录。什么是受损记录？记录是指泄露机密或专有的公司、政府或财务数据，或识别在数据泄露事件中丢失或被盗的个人的信息。例如，包含个人姓名、信用卡信息和其他 PII 的数据库，或包含保单持有人姓名和付款信息的健康记录等。数据泄露常见问题解答如何收集数据？我们的研究人员通过对 2022 年 3 月至 2023 年 3 月期间遭遇数据泄露的 553 家组织中的个人进行 3,475 多次单独访谈，以此收集具有一定深度的定性数据。受访者包括 IT、合规和信息安全从业人员，他们熟悉所在组织的数据泄露事件，以及与解决泄露事件相关的成本。出于隐

83、私考虑，我们没有收集组织特定的信息。如何计算数据数据泄露的平均成本？我们收集了组织产生的直接和间接费用。直接费用包括聘请取证专家、外包热线支持，以及为未来的产品和服务提供免费信用监察订阅和折扣等费用。间接成本包括内部调查和沟通，以及因营业额或客户获取率下降而导致的客户损失的推断价值成本。本研究只代表与数据泄露经历直接相关的事件。通用数据保护条例(GDPR)和 加州消费者隐私法案 (CCPA)等法规可能会鼓励组织增加对其网络安全治理技术的投资。然而，这种活动并没有直接影响本研究中的数据泄露成本。为了与往年保持一致，我们使用了相同的货币换算方法，而不是调整会计成本。研究方法74下一节上一节基准研究

84、与调查研究有何不同？数据泄露成本报告 中的分析单位是企业或机构等组织。在调查研究中，分析的单位是个人。我们招募了 553 家组织参与这项研究。每条记录的平均成本是否可以用来计算涉及数百万条丢失或被盗记录的数据泄露成本？采用每条记录的总成本作为基准来计算总计数百万条记录的单起或多起数据泄露的成本，与本研究得出的结论并不一致。每条记录的成本根据我们对数百起数据泄露事件的研究总结得出，其中每起事件都有 101,200 条或更少的受损记录。为了衡量涉及 100 万条或更多记录的大规模泄露的影响，本研究采用模拟框架，以 20 起同等规模的事件为样本。为什么要用模拟方法来估算大规模泄露的成本？20 家经历

85、过大规模泄露的公司的样本量不够大，无法使用基于活动的成本方法支持具有统计学意义的分析。为了解决这个问题，我们采用了蒙特卡罗模拟方法，通过重复的试验来估计一系列可能的、随机的结果。我们总共进行了超过 250,000 次试验。所有样本均值的总平均值提供了每种数据泄露规模的最可能结果，范围从 100 万到 6,000 万条受损记录。此研究是否每年都跟踪相同的组织？每年的研究均涉及不同的公司样本。为了与之前的报告保持一致，我们每年都会招募和匹配具有相似特征的公司，例如公司的行业、员工人数、地理足迹和数据泄露的规模。自 2005 年开始这项研究以来，我们已经研究了 5,580 家组织的数据泄露经历。05

86、研究方法75下一节上一节研究的局限性我们的研究使用了一种机密且专有的基准方法，该方法已在早期研究中成功采用。然而，在从研究结果中得出结论之前，仍需要仔细考量这种基准研究所固有的局限性。非统计结果我们的研究利用了具有代表性的、非统计学的全球实体样本。鉴于这种抽样方法并不科学，统计推断、误差范围和置信区间等理论都不适用于这些数据。无响应未测试无响应偏差，因此，未参与的公司可能在潜在数据泄露成本方面存在显著差异。抽样框误差由于我们的抽样框属于判断性的，所以研究结果的质量会受到抽样框对被研究公司群体所代表程度的影响。我们认为，当前的抽样框偏向于拥有更成熟的隐私或信息安全计划的公司。公司特定信息研究中使

87、用的基准没有捕获公司的识别信息。个人可以使用分类响应变量来披露有关公司和行业类别的统计信息。未衡量因素我们在分析中省略了一些变量，如主导趋势和组织特征。无法确定已省略的变量可在多大程度上解释基准测试结果。推断成本结果虽然可以将某些检查和平衡纳入基准流程，但受访者仍有可能未提供准确或真实的回答。此外，使用成本推断方法而非实际成本数据可能会无意中引入偏差和不准确因素。货币换算从当地货币换算成美元后，其他国家的平均总成本估计值会降低。为了与往年保持一致，我们决定继续使用相同的会计方法而不是调整成本。值得注意的是，此问题可能仅影响全球层面的分析，因为所有国家/地区层面的结果均以本地货币显示。本研究报告

88、中使用的当前实际汇率由美联储于 2023 年 3 月 31 日公布。050676下一节上一节波耐蒙研究所(Ponemon Institute)和 IBM Security 简介波耐蒙研究所(Ponemon Institute)波耐蒙研究所(Ponemon Institute)成立于 2002 年，致力于通过独立的研究和教育活动，在企业和政府内部推进负责任的信息和隐私管理实践。我们的宗旨是针对影响个人和组织相关敏感信息管理和安全的关键问题，开展高质量的实证研究。波耐蒙研究所(Ponemon Institute)坚持严格的数据保密、隐私和道德研究标准，不会向个人收集个人可识别信息，也不会在商业研究

89、中收集公司可识别信息。此外，我们坚持履行严格的质量标准，绝不会向研究对象提出非必要、不相关或不恰当的问题。IBM SecurityIBM Security 通过融入动态安全 AI 和自动化功能的集成安全性产品服务组合，帮助全球规模最大的企业和政府强化安全措施。该产品组合得到了世界知名的 IBM Security X-Force 研究的支持，使组织能够预测威胁、保护移动中的数据，并快速准确地应对威胁，同时不会阻碍业务创新。IBM 受到数千家组织的信赖，成为其评估、制定策略、实施和管理安全转型的合作伙伴。IBM 管理和运营全球覆盖面最为广泛的安全研发与交付组织，每天在 130 多个国家/地区监测超

90、过 1,500 亿次安全事件，已在全球范围内获得了超过 1 万项安全专利。如果您对本研究报告有任何疑问或意见（包括获得引用或复制本报告的许可请求），请通过信函、电话或电子邮件与我们联系：Ponemon Institute LLC收件人：研究部门2308 US 31 NorthTraverse CityMichigan 49686 USA1.800.887.3118researchponemon.org请访问 IBM Security 社区的对话。了解有关提升企业安全状态的更多信息波耐蒙研究所(Ponemon Institute)和 IBM Security 简介77上一节06采取下一步行动AI

91、 网络安全解决方案加快安全响应时间，提高工作效率。了解更多威胁检测和响应解决方案为安全团队赋能，确保团队能够快速、准确、高效地战胜威胁。了解更多信息云安全解决方案在企业转型至混合多云的旅程中，实现安全集成化运营。了解更多信息勒索软件解决方案管理网络安全风险和漏洞，以最大程度降低勒索软件的影响。了解更多信息身份和访问管理解决方案安全连接每位用户、每个 API 和每台 设备至每个应用程序。了解更多信息事件响应和威胁检测服务主动管理和应对安全威胁。了解更多数据安全和保护解决方案跨混合云保护数据并简化合规性。了解更多攻击面管理管理数字足迹的扩展范围，快速提高组织的网络弹性。了解更多信息统一端点管理解决

92、方案通过保护和管理任何设备来壮大您的 移动员工队伍。了解更多信息治理、风险与合规服务通过集成的治理、风险和合规方法 提高网络安全成熟度。了解更多信息安排一对一咨询与 IBM Security X-Force 专家会面以讨论您的需求。了解更多信息申请参加 IBM 安全与框架发现研讨会获得有关实现安全计划现代化的帮助。了解更多信息 Copyright IBM Corporation 2023 国际商业机器（中国）有限公司了解更多信息，欢迎访问我们的中文官网：https:/ CorporationNew Orchard RoadArmonk,NY 10504 美国出品2023 年 7 月 IBM、I

93、BM 徽标、IBM Security 和 X-Force 是 International Business Machines Corporation 在美国和/或其他国家/地区的注册商标。其他产品和服务名称可能是 IBM 或其他公司的商标。IBM 商标的最新列表可在 上找到。本文档为自最初公布日期起的最新版本，IBM 可能随时对其进行更改。IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。以上所有引用或描述的客户实例的展示取决于部分客户使用 IBM 产品的方式以及他们可能取得的结果。实际的环境成本和性能特征会因具体客户配置和情况而有所不同。无法提供通用的预期结果，因为每个客户的结果

94、将完全取决于客户的系统和订购的服务。本文档内的信息“按现状”提供，不附有任何种类的（无论是明示的还是默示的）保证，包括不附有关于适销性、适用于某种特定用途的任何保证以及非侵权的任何保证或条件。IBM 产品根据其提供时所依据的协议条款和条件获得保证。良好安全实践声明：IT 系统安全涉及通过预防、检测和响应企业内部和外部的不当访问来保护系统和信息。不正当访问可导致信息被更改、破坏、盗用或滥用，也可能导致系统被损坏或滥用，包括用于攻击他人。任何 IT 系统或产品都不应被视为完全安全，任何单一产品、服务或安全措施都不能完全有效防止不正当使用或访问。IBM 系统、产品和服务旨在成为合法、全面的安全措施的

95、一部分，这必然涉及其他操作程序，且可能需要借助其他系统、产品或服务才能发挥最大作用。IBM 不保证任何系统、产品或服务可免于或使您的企业免于受到任何一方恶意或非法行为的影响。客户负责确保遵守适用的法律和法规。IBM 不提供任何法律咨询，也不声明或保证其服务或产品经确保客户遵循任何法律或法规。关于 IBM 未来方向、意向的声明仅仅表示了目标和意愿而已，可能会随时更改或撤销，恕不另行通知。1.采用每条记录的成本来计算规模超过 102,000 条记录的单起或多起数据泄露的成本与本研究得出的结论并不一致。更多信息请参见“研究方法”部分。2.“东盟”是位于新加坡、印度尼西亚、菲律宾、马来西亚、泰国和越南的公司构成的集群样本。3.破坏性攻击定义为导致系统无法运行并难以复原的攻击。不一定涉及赎金。4.“拉丁美洲”是位于墨西哥、阿根廷、智利和哥伦比亚的公司构成的集群样本。5.“中东”是位于沙特阿拉伯和阿拉伯联合酋长国 的公司构成的集群样本。6.“斯堪的纳维亚”是位于丹麦、瑞典、挪威和芬兰的公司构成的集群样本。7.外汇汇率-H.10，2023 年 3 月 31 日。