2023年数据泄露成本报告

露成本报告 2IBM0Secu2rity3年数据泄 目录 0执1行→摘要 0完2整→的结论 0有3助→于 0研5究→方法 –2重0要23结年论报告新增内容 –全初球始关攻注击重媒点介 降的低几数项据建泄议露成本 –我数们据如泄何露计常算见数问据题泄解露答的成本 –发数现据攻泄击露生命周期 –关勒键索成软本件因和素破坏性攻击 –业软务件合供作应伙链伴攻供击应链攻击 –法云规泄环露境 –大安规全模性泄投露资 –安事全件响AI应和自动化 –威漏胁洞情和报风险管理 (MSSP) –攻托击管面安管全理服务提供商 0组4织→统计数据 统计数据 –地理统计数据 –行业定义 –研究的局限性 06耐→蒙研究所(Ponemon I–n采st取it下ut一e步)和行动IBMSecurity简介 2 01 执行摘要 《供数了据可泄量露化成的本论报据告和》佐为证IT，、以风帮险助管各理方和更安好全地主管理提安全告投连资续、第风1险8情年况发和布战的略版决本策。流程。2023年版是该报 今立年进的行研并究由由IB波M耐Se蒙cu研rit究y®所发(P起o、n分em析o和n发Ins布ti，tu调te研)独了2505232家年组3织月。至2023年3月期间受数据泄露影响的 下一节 本是而报指不告报一中告定提发是及布泄的露年事份件，发生的年份。 所16调个研国的家泄和露地事区件，涉发及生在17个不同行业。 在以本及报短告期中和，长我期们后将果研。我究们数还据将泄探露讨的能根让本公原司因 减些少会损导失致的成各本类增因加素的和因技素术和，技同术时。避免采取那 3 01执行摘要 2023年报告新增内容 和近期事件。今年的研究首次探讨了： 每覆年盖，新我出们现都的会内不容断，以改匹进配数新据技泄术露、成新本兴报策告略， –如全何团识队、别其泄他露第行三为方：无还论是源攻于击组者织自身的安 –执影法响部门参与抵御勒索软件攻击而产生的 随重着要泄洞露察成果，不可断帮增助加安，本全报和告IT可团为队各更方好提地供 管部理分风：险并限制潜在损失。报告分为五个主要 –勒与索监软管件罚运款行相手关册的和特工定作成流本程的影响 –介绍重要结论和2023年新增内容的 –公加司安是全否投以资及如何计划因泄露而增 –执对行完摘整要调查结论的深入分析，包括按地 –•以威下胁缓情解报策略产生的影响： •漏攻洞击和面风管险理管(A理SM) –理IBM区S域e和cu行rit业y划专分家的根数据据本泄报露告成的本结 –果组提织出统的计安数全据建与议行业定义 •托管安全服务提供商(MSSP)–研究方法，包括如何计算成本 上一节下一节4 01 重要结论 本耐报蒙告研所究述所主(P要on结em论o基n于InsIBtiMtuStee)c所ur汇ity编对的波研计究量数单据位的为分美析元而(U得SD出)。本报告中成本金额的 445万美元 51% 176万美元 泄20露23的年平，数均据总泄成露本的平均成本达到445万美元，创下历史新高。相较于2020年报告43中5的万美38元6，万该美成元本增增加加了了125.3%。拉长时间线来看，平均成本较 因数据泄露而计划增加安全投资的组织所占比例 件响应(IR)规划和测试、员工培训以及威胁检测和响应技术。 虽加然安数全据投泄资露的的问成题本上持几续乎上各升持，己但见报。确告定参需与要者额在外是投否资因的数首据要泄领露域而包计括划事增 针AI对和数自据动泄化露可造获成得的良财好务的影效响果，广泛采用安全 在本识以别及并缩遏短制时安间全的泄重露要事投件资方。广面泛，安采全用这AI些和功自能动的化组被织证在明识是别能并够遏降制低泄成露 方化面功耗能费的的组时织间相平比，均数缩据短泄了露1成08本天降。低报了告还17指6万出，美与元不。使用安全AI和自动 上一节下一节5 01执行摘要 1/3 组仅织有自三身分的之安一全的团公队司或通工过具自发己现的的安漏全洞团数队量发现检了测数手据段泄。6露7%事的件漏，这洞凸是显由了良亟性需第更三好方的或威攻胁击于者内自部己检报测，告组的织。当会攻损击失者近披10露0漏万洞美时元，。相较 47万美元 未组让织执所法承部受门的参额与外抵成御本勒索软件攻击的 今事年件的之研外究会表导明致，更将高执的法成部本门。虽排然除在63勒%索的软回件 应入，者但表3示7%他的们回的应数者据表泄示露没事有件执有法执部法门部介门入介，却周还期是延多长支了付33了天9。.6%的费用，并且泄露生命 53.3% 自成本20增20加年了以5来3.3，医%疗数据泄露 自业的20数20据年泄以露来成，本受大到幅严上格升监。管根的据医报疗告保，医健疗行 保居健榜行首，业耗数费据的泄平露均造成成本的高损达失1已,0连93续万1美3元年。位 82% 涉类及数存据储泄在露云所端占（比公例共、私有或多个环境）中各2攻0击23者年通，云常环会境入成侵为多网个络环攻境，击3者9%的的常漏见洞目跨标。越47多5万个美环元境。，造成的损失高于平均水平，达到 上一节下一节6 01执行摘要 168万美元149万美元 144万美元 102万美元 通署过来采节用省高成水本平的DevSecOps部 软测件试开在发20流23程年(D显e示vS出ec可O观ps的)中投的资集回成报安率全。与性 D采e用vS率ec高O的ps组采织用节率省低了或1未68采万用美的元组。织与相其比他，降大低的成本的节因省素效相果比。，DevSecOps展示了最 具所备节高省水的平成的本IR规划和测试的组织 除试了还成可为成组为织控的制优数先据投泄资露之成外本，的IR高规效划策和略测。具 有织高节水省平了I1R49规万划美和元测。试的组织比低水平的组 安高全的系数统据复泄杂露性成较本高的组织会产生更 2或0不23复年杂，依的据组报织告产统生计的，平安均全数系据统泄复露杂成性本较为低 3成8本4万为美52元8。万安美全元系，统增复大杂了性3较1.6高%的。组织平均 发20现0天并的解漏决洞漏之洞间用的时平超均过成20本0差天异与用时不到识周别期）并仍遏然制会泄对露整所体耗财费务的情时况间造（称成为不泄可露忽生视命的影到响20。0对天于的那事些件识，别给并组遏织制造泄成露了所39耗3费万时美间元不的本损为失49。5那万些美耗元费，时相间差超23过%2。00天的事件，成 上一节下一节7 02 完整的结论 在介这绍部本分报中告，得我出们的将主整要体结内论容。主划题分安为排18顺个序主如题下，：详细 –全初球始关攻注击重媒点介 –识数别据攻泄击露生命周期 –关勒键索成软本件因和素破坏性攻击 –业软务件合供作应伙链伴攻供击应链攻击 –监云管泄环露境 –大安规全模性泄投露资 –安事全件响AI应和自动化 –威脆胁弱情性报和风险管理 –攻托击管面安管全理服务提供商 上一节下一节8 全球关注重点 《家数/地据区泄、露超成过本5报53告起》使数用据来泄自露的16数个据不，并同考国虑全了球数概百况个。本成节本将因阐素述，提全供球了平数均据水泄平露的成关本键的指标记录。我的们平还均会比探较讨成国本家。/地区和行业之间每笔 4数据4泄露的5全球平万均总成本美元 增加了15.3%。 图数据1：泄数露据的泄全露球的平成均本成攀本升已至上新升高至。445万美于元20，2比2年20的224年35增万加美了元1，0平万均美成元本。相增较加了成本2.为3%3。8自6万20美20元年，平以均来总，数成据本泄露的平均总 图20223：数年据，数泄据露泄的露每相条关记的录每成笔本记也录达的到平新均高成。本元为略有16增5加美。元这，与比20212年至的平20均22成年本相1对64较美小过的去增七长年相中，吻每合笔，其记中录成的本平仅均增成长本最3美大元增幅。在发生美在元上20升20到年1至612美02元1，年涨期幅间为，平10均.3%成。本这从项1研46究的调泄查露了情况2,。2100至102,000笔记录规模不等 数据泄露的总成本 $5.00 $4.50 $4.24 $4.35 $4.45 $4.00 $3.50 $3.00 $2.50 $3.62 $3.86 $3.92 $3.86 2017201820192020202120222023 图1：以百万美元为单位 数据泄露的每条记录成本 $170 $165 $160 $155 $150 $164 $165 $161 $148 $150 $146 $145 $140 $135 $141 2017 2018 2019 2020 2021 2022 2023 图2：以美元为单位 10 上一节下一节 图本最3：高美的国国连家续。13年成为数据泄露成 数与据20泄22露年平相均比成发本生最了高显的著前变五化个。国家或地区 2023年2022年 1美94国8万美元美94国4万美元 2中80东7万美元中74东6万美元 在今年的前五国家/地区名单中，日本是唯一 其国平的均平数均据成泄本露大成本为505万美元。今元年，英 不在2022年前五名单中的国家，去年排名第 六。去年排名前5名的国家还包括英国(UK)，年下降16.6%，因幅此下排降在，为前五42名1之万外美。，比去 美家，国为再9次48成万为美数元据，泄比露去平年均的总94成4本万最美高元的增国加 3加51拿3万大美元加56拿4万大美元 4德46国7万美元英50国5万美元 5日45本2万美元德48国5万美元 了均总0.成4%本。位与居去第年二相，似从，中74东6地万区美的元数增据加泄到露80平7 万美元，增幅为8.2%。 467万美元也，有降幅下为降3，.7从%。日本万的美平元均下成降本到略有下降，从 在美加元拿下大降，到数5据13泄万露美的元平，均降总幅成为本9%从。5德6国4万的平均成本所485 幅为1.1%。457万美元下降到452万美元，降 上一节下一节11 02 #1 UnitedStates 2023$9.48↑ 2022$9.44 完整的结论 按国家或地区划分的数据泄露成本 图3：以百万美元为单位 #2 MiddleEast 2023$8.07↑ 2022$7.46 #3 Canada 2023$5.13↓ 2022$5.64 #4 Germany 2023$4.67↓ 2022$4.85 #5 Japan 2023$4.52↓ 2022$4.57 #6 UnitedKingdom2023$4.21↓ 2022$5.05 #7 France 2023$4.08↓ 2022$4.34 #8 Italy 2023$3.86↑ 2022$3.74 #9 LatinAmerica 2023$3.69↑ 2022$2.80 #10 SouthKorea 2023$3.48↓#11 2022$3.57 ASEAN2 2023$3.05↑ 2022$2.87 #12 SouthAfrica 2023$2.79↓ 2022$3.36 #13 Australia 2023$2.70↓ 2022$2.92#14 India 2023$2.18↓ 2022$2.32 #15 Scandinavia 2023$1.91↓ 2022$2.08 #16 Brazil 2023$1.22↓ 2022$1.38 图续41：3在年各录个得行损业失中最，高医的疗数保据健泄行露业成连本。医疗最保高，健从行2业02的2数年据的泄1,露01成0本万仍美为所增有加行到业2去0三23年年中的，医1,疗09保3万健美领元域，数增据幅泄为露的.2平%。均在成过本增元长相比53，.增3％加，与30020多20万年美的元平。医均疗成保本健7行13业万受美 监础管设程施度行很业高。自，美新国冠政疫府情始开终始将以之来，视该为行关业键的基 2023年2022年 平均数据泄露成本显著上升。 为网络犯罪分子最常攻击的行业。 与了去一年些的变排化名。科相技比行，成业本跌最出高前的五五名，大而行工业业发部生门则5.递8%补。上根来据，I从BM第威七