1、數據泄露成本報告202422024 年數據泄露成本報告目錄執行摘要2024 年報告新增內容重要結論完整的結論全球關注重點初始攻擊媒介和根本原因數據泄露生命周期識別泄露事件安全 AI 和自動化發生泄露后提高價格業務中斷恢復時間增大或減少泄露成本的因素勒索攻擊的成本報告泄露事件和監管罰款數據安全大規模泄露安全性投資3457 81314151720202123252829323334373839404142434445有助于降低數據泄露成本的幾項建議組織統計數據地理統計數據行業統計數據行業定義研究方法我們如何計算數據泄露的成本數據泄露常見問題解答研究的局限性關于 IBM 和波耐蒙研究所(Ponemo

2、n Institute)32024 年數據泄露成本報告執行摘要IBM 的年度 數據泄露成本報告 可為 IT、風險管理與安全領導者提供及時、可量化的證據，以便指導他們制定戰略決策。此外，報告也有助于讀者更好地管理風險狀況和安全措施投資。本年度的報告為該系列的第 19 份報告，其中反映了技術變革帶來的各種變化，例如影子數據（即駐留在未管理的數據源中的數據）的興起，以及數據泄露所造成業務中斷的范圍和成本。該報告的相關研究由波耐蒙研究所(Ponemon Institute)獨立進行并由 IBM 發起、分析和發布，其中調研了 2023 年 3 月至 2024 年 2 月期間受數據泄露影響的 604 家組

3、織。研究人員調查了 16 個國家或地區的 17 個行業的各大組織，而泄露的記錄數量則從 2,100 條到 113,000 條不等。為了洞察分析實際狀況，波耐蒙研究所的研究人員訪談了 3,556 名安全負責人與高管層領導，他們對其組織中發生的數據泄露事件均有第一手了解。42024 年數據泄露成本報告此項研究的成果為一份基準報告，可供業務領導者與安全負責人參考，有助于加強其安全防御并推動創新，尤其是如何在安全領域采用 AI，以及針對生成式 AI 舉措如何實施安全保障。在本年度的報告中，我們將主要介紹兩大發展趨勢。首先，一場數據泄露的全球平均成本較去年增長了 10%，達到 488 萬美元，為新冠疫情

4、以來的最大增幅。業務中斷以及泄露后的客戶支持與修復，是導致此成本飆升的主要因素。當被問及如何應對這些成本時，半數以上的組織表示會轉嫁給客戶。由于通脹導致的定價壓力，市場競爭本已十分激烈，再讓客戶吸納這些成本，很可能會引發問題。其次，研究人員還發現，對于攻防雙方的防御一方而言，將 AI 和自動化運用于安全領域，已經產生回報，且在一些實例中將泄露成本平均降低了 220 萬美元。借助 AI 與自動化解決方案，可以縮短從識別到遏制泄露事件及其損害的整個過程所需時間。換言之，缺乏 AI 與自動化加持的防御方，可能需要更長時間來檢測和遏制泄露事件，成本也會隨之上升，且會高于已使用相關解決方案的組織。正如我

5、們在整個行業中所觀察到的，網絡安全團隊普遍人手不足。本年度的研究發現，半數以上發生泄露的組織面臨嚴重的安全專員短缺，且這一技能缺口相較去年的百分比增幅達到了兩位數。隨著威脅態勢的蔓延，安全專業人員的短缺問題也變得日益嚴重。當組織中幾乎所有職能領域不斷競相采用生成式 AI，可以預見隨之而來的將是前所未有的風險，網絡安全團隊勢必將要承受更大壓力。本報告將呈現源于此項研究的洞察和建議，旨在幫助讀者降低數據泄露可能引發的財務和聲譽損失。2024 年報告新增內容每年，我們都會不斷改進 數據泄露成本報告，以反映新的技術、新興策略和近期事件。今年的研究首次探討了：組織是否長期受運營中斷的困擾，例如無法處理銷

6、售訂單、生產設施完全關停、客戶服務無法有效開展 泄露事件是否涉及存儲在未管理的數據源中的數據（也稱為“影子數據”）組織在安全措施運作的四個領域（預防、檢測、調查和響應）中，使用了多少 AI 和自動化技術 敲詐攻擊的性質如何，例如是否為敲詐加勒索軟件攻擊，還是僅為敲詐加數據滲漏 將數據、系統或服務恢復到泄露前狀態所需的時間 有義務報告泄露事件的組織，實際用了多長時間來報告此類事件 遭受勒索軟件攻擊后，請執法部門介入的組織是否支付了贖金52024 年數據泄露成本報告重要結論本報告所述的主要結論，均基于 IBM 對波耐蒙研究所匯總的研究數據的分析。泄露的平均總成本一場數據泄露的平均成本從 2023

7、年的 445 萬美元上升至 488 萬美元，增幅達 10%，創下自新冠疫情以來的最高。造成此成本上升的原因包括：業務損失（其中包括運營停機和客戶流失）和泄露后響應成本（例如，配備客戶服務幫助臺人員和支付更高的監管罰款）。這些成本合計高達 280 萬美元，創下過去 6 年以來業務損失與泄露后活動合計金額的新高。預防環節廣泛運用 AI，實現成本節省三分之二的被調查組織表示，正在其安全運營中心全面部署安全 AI 和自動化技術，這一比例比去年提升了 10%。在攻擊面管理(ASM)、紅隊測試和態勢管理等預防工作流中廣泛部署 AI 的組織，泄露成本比未能運用 AI 的組織平均減少了 220 萬美元。這是

8、2024 年報告中揭示的最大一項成本節省。網絡技能缺口擴大半數以上發生泄露的組織均面臨嚴重的網絡安全專員短缺問題。這一缺口比去年擴大了 26.2%，相當于泄露成本平均增加了 176 萬美元。雖然有五分之一的組織表示已使用某種形式的生成式 AI 安全工具（有望提高產出和效率從而縮小缺口），但此技能缺口仍是一項不小的挑戰。488 萬美元220 萬美元26.2%62024 年數據泄露成本報告292識別和遏制涉及憑據被盜泄露事件的所用天數在所有攻擊媒介中，憑據被盜或泄露事件的識別和遏制用時最長（292 天）。利用員工和員工訪問權限的類似攻擊，也需要很長時間才能解決。例如，網絡釣魚攻擊的平均持續天數為

9、261 天，社交工程攻擊的平均持續天數則為 257 天。46%涉及客戶個人數據的泄露事件的占比接近半數的泄露事件涉及客戶個人身份信息(PII)，其中包括稅務識別(ID)號、電子郵件地址、電話號碼和家庭住址。知識產權(IP)記錄則緊隨其后（43%的泄露事件涉及）。與去年相比，知識產權記錄的成本大幅增加，從去年報告中的每條記錄 156 美元上升到今年的 173 美元。1/3涉及影子數據的泄露事件占比35%的泄露事件涉及影子數據，這表明數據的激增使跟蹤和保護數據變得更加困難。影子數據被竊取，相應地導致了泄露成本增加 16%。研究人員發現，跨多種環境存儲數據是一種常見的策略，并占到泄露事件的 40%。

10、這些泄露事件也需要更長的時間來識別和遏制。相比之下，僅存儲在一種環境中的數據發生泄露的頻率較低，且無論該環境是公有云(25%)、本地部署(20%)還是私有云(15%)。830,000 美元所有行業中最高的平均成本漲幅在所有行業中，工業部門的成本漲幅最高。與去年相比，每次泄露事件的成本平均增加了 83 萬美元。這一成本飆升的情況，或許表明工業組織需要準備好加快響應速度，因為這一行業對運營停機極為敏感。盡管如此，工業組織識別數據泄露所用時間為 199 天，遏制用時則為 73 天，仍高于所有行業的平均水平。499 萬美元惡意內部人員攻擊的平均成本較之其他攻擊媒介，惡意內部人員攻擊造成的損失最高，平均

11、達 499 萬美元。其他代價高昂的攻擊媒介則包括：商業電子郵件詐騙、網絡釣魚、社交工程，以及憑據被盜或泄露。生成式 AI 在制造某些網絡釣魚攻擊中可能起到了一定作用。例如，不會英語的人利用生成式 AI，能比以往更輕松地炮制出語法正確、令人信服的網絡釣魚消息。100 萬美元遭受勒索軟件攻擊時，請執法部門介入可節省成本涉及執法部門的勒索軟件受害者最終將泄露成本平均降低了近 100 萬美元，而這還不包括所支付贖金的成本。此外，借助執法部門的介入，識別和遏制泄露事件所用時間也從 297 天縮短到了 281 天。72024 年數據泄露成本報告在這部分中，我們將整體內容劃分為 14 個主題，詳細介紹得出的

12、主要結論。主題安排順序如下：全球關注重點 初始攻擊媒介和根本原因 數據泄露生命周期 識別泄露事件 安全 AI 和自動化 發生泄露后提高價格 業務中斷 恢復時間 增大或減少泄露成本的因素 勒索攻擊的成本 報告泄露事件和監管罰款 數據安全 大規模泄露 安全性投資完整的結論82024 年數據泄露成本報告全球關注重點 放眼全球，雖然技能短缺問題仍為一項頑疾，但安全團隊在檢測和遏制泄露事件方面卻做得很好。遭遇泄露的組織有半數以上正面臨安全人員短缺問題，而安全領導者則正在利用 AI 與自動化解決方案來彌補技能差距。盡管他們頗為努力，但泄露成本仍在上升，而這主要因為在業務中斷和發生泄露事件后，組織采取各種應

13、對措施而產生的各種費用。在下一節中，我們將跨越行業、國家和地區來研究這些問題和其他問題，從而讓安全領導者了解外部風險，以便您從中吸取教訓。全球數據泄露平均成本飆升全球數據泄露的全球平均成本較去年增長了 10%，達到 488 萬美元，為新冠疫情以來的最大增幅。業務中斷以及泄露后的響應措施，是導致此年度成本上升的主要因素。請參閱圖 1。圖 1：以百萬美元為單位數據泄露的全球平均總成本488 萬美元數據泄露的全球平均成本激增92024 年數據泄露成本報告美國的平均泄露成本位居世界首位在所研究的 16 個國家或地區中，美國第 14 年平均數據泄露成本最高，達到 936 萬美元。前五名則依次為中東、德國

14、、意大利和比荷盧。比荷盧是指比利時、荷蘭和盧森堡所組成的經濟聯盟，同時它也是今年新上榜的成員。值得注意的是，加拿大和日本的平均成本 有所下降，而意大利和中東的平均成本則出現大幅上升。請參閱圖 2A 和 2B。按國家或地區劃分的數據泄露成本圖 2A.以百萬美元為單位#國家或地區20242023 年1美國$9.36$9.482中東$8.75$8.073比荷盧$5.904德國$5.31$4.675意大利$4.73$3.866加拿大$4.66$5.137英國$4.53$4.218日本$4.19$4.529法國$4.17$4.0810拉丁美洲$4.16$3.6911韓國$3.62$3.4812東盟$3.

15、23$3.0513澳大利亞$2.78$2.7014南非$2.78$2.7915印度$2.35$2.1816巴西$1.36$1.22圖 2B.以百萬美元為單位#成本變化20242023 年1美國$9.36美國$9.482中東$8.75中東$8.073比荷盧$5.90加拿大$5.134德國$5.31德國$4.675意大利$4.73日本$4.522024 年與 2023 年排名前 5 的國家和地區102024 年數據泄露成本報告醫療保健行業的平均泄露成本再次超越行業平均成本醫療保健行業的平均泄露成本下降了 10.6%，降至 977 萬美元。但這一因素尚不足以讓其擺脫泄露成本最高行業的名聲；因為自 2

16、011 年以來，該行業便一直位居此列榜單。醫療保健行業仍是攻擊者的一大攻擊目標，因為該行業經常受到現有技術的影響，且極易發生中斷問題，從而可能會危及患者的安危。請參閱圖 3。識別和遏制泄露事件的平均時間縮短較之去年的 277 天，防御者識別和遏制泄露事件所用的平均時間降至 258 天，為 7 年來新低。注：平均識別時間(MTTI)和平均遏制時間(MTTC)的全球平均值不含比荷盧；這是因為，作為參與此研究的新地區，其影響力大于平均水平，且結果偏差較大。請參閱圖 4。圖 4.以天為單位識別和遏制數據泄露的時間按行業劃分的數據泄露成本圖 3：以百萬美元為單位112024 年數據泄露成本報告業務損失成

17、本和泄露后響應成本飆升業務損失和泄露后響應產生的兩類成本比去年增加了近 11%，而這也是泄露總成本大幅上升的原因之一。業務損失成本包括因系統停機造成的收入損失，以及客戶流失和聲譽受損的成本。泄露后成本可能包括為受影響的客戶設立客戶服務中心和信用監控服務的相關費用，以及繳納的監管罰款。請參閱圖 5。以四種損失類別劃分的數據泄露平均成本圖 5.以百萬美元為單位122024 年數據泄露成本報告大多數泄露事件均涉及客戶 PII最常見的數據竊取或泄露類型為客戶 PII，占到 46%。PII 可能包括稅號、電子郵件地址和家庭住址，并可用于身份竊取和信用卡欺詐。所有被盜記錄類型的全球平均成本飆升至高達 16

18、9 美元，其中員工 PII 的成本最高。請參閱圖 6A 和 6B。按泄露記錄類型劃分的數據泄露對應的每條記錄成本按百分比劃分的遭泄露數據類型圖 6A.允許多個響應客戶 PII183179156173知識產權其他公司數據168171匿名客戶數據（非 PII）132138圖 6B.以百萬美元為單位客戶 PII48%52%員工 PII37%40%匿名客戶數據（非 PII）24%26%知識產權43%34%其他公司數據31%21%員工 PII181189010305020420242023202420232024202320242023132024 年數據泄露成本報告初始攻擊媒介和根本原因網絡釣魚和憑據

19、失竊或泄露連續第二年成為最常見的兩種攻擊媒介。而這兩類事件也是成本最高的前四類事件。除確定泄露事件的最常見根本原因之外，該研究還比較了每個類別的平均成本，以及識別和遏制這些泄露事件的平均時間。憑據泄露位居初始攻擊媒介之首在 16%的泄露事件中，攻擊者均因使用了泄露的憑據而得逞受益。此外，憑據泄露攻擊也會給組織帶來高昂的成本，其中每次泄露平均會造成 481 萬美元的損失。網絡釣魚則緊隨其后，占到攻擊媒介的 15%，但它最終造成的損失則更高，達到 488 萬美元。惡意內部人員攻擊造成的損失則最大，達到 499 萬美元，但此類攻擊僅占所有泄露途徑的 7%。請參閱圖 7。圖 7.以百萬美元為單位；在所

20、有泄露事件中的占比按初始攻擊媒介劃分的數據泄露成本和頻率 481 萬美元攻擊者使用遭入侵的憑據所造成泄露事件的平均成本，而此類泄露事件在所研究的泄露案例中占 16%。142024 年數據泄露成本報告基于憑據的攻擊需要更長時間來來識別和遏制無論是惡意內部人員竊取憑據還是使用憑據，攻擊識別和遏制時間均呈上升趨勢，其平均總時間分別達到 292 天和 287 天。由于防御者需對網絡上的合法用戶活動和惡意用戶活動加以區分，因而更難識別相關威脅。另一方面，對利用零日漏洞的攻擊加以遏制則最為耗時。請參閱圖 8。近半數的泄露事件源自各種 IT 故障或人為失誤惡意攻擊（由外部攻擊者或惡意內部人員發起的攻擊）占到

21、所有泄露事件的 55%。雖然這些泄露事件令人擔憂，但更為重要的是要記?。浩溆?23%的事件均源于 IT 故障，另有 22%則源于人為失誤。請參閱圖 9。數據泄露生命周期根據我們 2024 與 2023 年的研究，在數據泄露中，時間就是金錢；而泄露事件的生命周期越長，其成本便越高。完整的泄露生命周期是指識別和遏制泄露事件的平均天數的組合。在這兩份報告中，我們比較了完整生命周期不超過 200 天的數據泄露的平均成本與完整生命周期超過 200 天的數據泄露的平均成本。更長的泄露生命周期會導致更高的成本在本年度的報告中，研究人員發現：較之生命周期不超過 200 天的數據泄露，生命周期超過 200 天的

22、數據泄露的平均成本最高，達到 546 萬美元。這些研究結果與去年的結果一致。而值得注意的是，雖然今年較長數據泄露生命周期的對應成本比去年增加了 10.3%，但較短生命周期的對應成本也有所上升，但增幅較小(3.6%)。請參閱圖 10。圖 8.以天為單位響應時間排名前 5 的類別圖 9.三個類別之間的數據泄露的根本原因圖 10：以百萬美元為單位基于數據泄露生命周期的成本152024 年數據泄露成本報告識別泄露事件為了遏制數據泄露，首先需對其進行識別。誰負責對其進行識別以及識別速度有多快，會對最終的數據泄露成本產生影響。本年度，我們發現安全團隊使用自己的工具提高了此方面的表現。在其他情況下，泄露事件

23、則是由安全研究人員、執法機關和顧問等良性第三方或攻擊者自己識別確認的。安全團隊識別出大多數泄露事件較之良性第三方(34%)和攻擊者自身(24%)，安全團隊及其工具檢測到泄露事件的頻率要高得多(42%)。這一數字比 2023 年的報告有所提高，當時安全團隊發現泄露事件的比例僅為三分之一。此變化表明安全團隊能夠加快檢測速度。請參閱圖 11。圖 11.只允許單個響應如何識別數據泄露？組織的安全團隊和工具 來自攻擊者的披露良性第三方42%33%34%40%24%27%0103022024202320242023162024 年數據泄露成本報告攻擊者所披露泄露事件造成的損失更大當攻擊者披露某一泄露事件時

24、，他們很可能已達到自身目的并已造成重大損失，從而會提高此泄露事件的總體成本。當攻擊者披露某一泄露事件時，其平均成本為 553 萬美元。另一方面，當安全團隊發現某一泄露事件時，其平均成本為 455 萬美元。請參閱圖 12。更快地識別和遏制泄露本報告發現，無論如何發現泄露事件，各大組織在 2024 年識別和遏制此類事件時的平均速度均比去年更快。正如本報告下一節所示，AI 和自動化的使用可能促進了這類加速應用的進程。請參閱圖 13。圖 12：以百萬美元為單位圖 13：以天為單位通過數據泄露識別方式來識別和遏制泄露所需的時間553 萬美元攻擊者披露泄露事件時的平均泄露成本。數據泄露的成本取決于數據泄露

25、的識別方式172024 年數據泄露成本報告安全 AI 和自動化AI 和自動化正在改變網絡安全世界。借助它們，惡意行為者可比以往更輕松地大舉創建和發起攻擊；但同時，它們還為防御者提供了新工具來快速識別威脅并自動響應。本年度的報告發現，這些技術可加快識別和遏制泄露事件并降低成本的相關工作。AI 和自動化的使用率呈現增長本年度的研究發現，廣泛使用安全 AI 和自動化的組織數量已從去年的 28%增長為 31%。雖然組織數量僅相差 3 個百分點，但使用率卻上升了 10.7%。與此同時，有限使用 AI 和自動化的人數占比也從 33%增長到 36%，增幅為 9.1%。請參閱圖 14。更多 AI 和自動化意味

26、著泄露成本更低組織使用的 AI 和自動化越多，其平均泄露成本就越低。此相關性非常突出，同時也是本年度報告的主要調查結果之一。未使用 AI 和自動化的組織的平均泄露成本為 572 萬美元，而大量使用 AI 和自動化的組織的平均成本則為 384 萬美元，節省了 188 萬美元。請參閱圖 15。圖 14：每個使用級別的組織所占比例比較三個使用水平的安全 AI 與自動化狀態圖 15：以百萬美元為單位按 AI 與自動化使用水平劃分的數據泄露成本182024 年數據泄露成本報告更多 AI 等于更快地識別和遏制廣泛使用安全 AI 和自動化的組織在識別和遏制數據泄露時的速度比完全不使用這些技術的組織平均快了近

27、 100 天。請參閱圖 16。安全團隊已在各個職能部門均衡地部署 AI 和自動化技術在表示已廣泛使用 AI 和自動化的組織中，約有 27 的組織在預防、檢測、調查和響應等類別中廣泛使用 AI。約有 40%的組織已至少在一定程度上使用 AI 技術。請參閱圖 17。圖 16：以天為單位按 AI 和自動化使用水平來劃分的識別和遏制數據泄露所需的時間圖 17.源自報告廣泛使用 AI 和自動化的受訪者；參考圖 14您在四個安全類別中使用 AI 和自動化的程度有多高？27%在四個安全類別中使用 AI 和自動化的組織的占比。192024 年數據泄露成本報告廣泛使用 AI 和自動化可降低成本當 AI 和自動化

28、在安全性的四個領域中得到廣泛應用時，較之尚未在這些領域使用此類技術的組織，它可顯著降低平均泄露成本。例如，當組織廣泛使用 AI 和自動化進行預防時，其平均泄露成本為 376 萬美元。與此同時，未使用這些工具進行預防的組織的成本則為 598 萬美元，二者相差 45.6%。請參閱圖 18。AI 和自動化可加快識別和遏制泄露事件的時間無論在何處應用 AI 和自動化，它們都會加快識別和遏制泄露事件的工作。在任意安全職能（預防、檢測、調查或響應）領域廣泛使用 AI 和自動化均可將數據泄露的平均 MTTI 和 MTTC 降低 33%（針對響應）和 43%（針對預防）。請參閱圖 19。圖 18.源自報告廣泛

29、使用 AI 和自動化的組織，以百萬美元為單位；參考圖 14圖 19.源自報告廣泛使用 AI 和自動化的組織，以天為單位；參考圖 14基于 AI 和自動化在安全運營中的部署位置來識別和遏制數據泄露所需的時間基于 AI 和自動化在安全運營中的部署位置的數據泄露成本202024 年數據泄露成本報告發生泄露后提高價格就事件本身的性質而言，數據泄露的代價十分高昂。當組織發現自己背負著百萬美元的成本時，它們可能會從其他方面來尋求彌補這些成本。其中一個選項是以漲價的形式將其轉嫁給自己的客戶，而這一趨勢正變得日益顯著。在已面臨定價壓力的市場中，提高價格可能會引發風險。組織會將泄露成本轉嫁給客戶大多數組織表示，

30、它們計劃在發生數據泄露后提高商品與服務的價格，從而將相關成本轉嫁給客戶。表示自身今年也有此計劃的組織占比由去年的 57%增至 63%，增幅達 10.5%。請參閱圖 20。業務中斷業務的開展離不開數據。數據一旦泄露，業務便會中斷。此類破壞可能為僅影響少數系統的小規模泄露，也可能是波及整個組織的長期運營中斷后果。我們的研究深入了解了這些中斷事件的嚴重程度，以及中斷的嚴重程度與數據泄露成本之間的關聯深度。業務中斷的態勢十分嚴重本年度的研究發現，70%的組織會因泄露事件而遭受嚴重或非常嚴重的業務中斷。其中，僅有 1%的組織將其中斷程度描述為較低。請參閱圖 21。圖 20：所有組織的占比數據泄露是否造成

31、貴組織增加產品和服務成本？圖 21.只允許單個響應由于數據泄露，您遭遇了何種程度的業務中斷？70%因泄露而遭受嚴重或非常嚴重的業務中斷的組織的占比。212024 年數據泄露成本報告泄露事件的平均成本會隨中斷的加劇而上升業務中斷的程度越深，平均泄露成本便越高。即使是報告其中斷程度較低的組織，其平均數據泄露成本也高達 463 萬美元。對于報告遭遇嚴重中斷的組織，其平均成本則高出 7.9%，達到 501 萬美元。請參閱圖 22?；謴蜁r間即使在遏制泄露事件后，恢復工作也仍在繼續。在本研究中，恢復的含義為：受泄露影響的地區的業務運營已恢復正常。組織已履行合規義務，例如繳納罰款?？蛻舻男判暮蛦T工的信任已得

32、到恢復。組織已采取或應用控制措施、技術和專業知識來避免未來的數據泄露。此類工作的大部分內容（例如，重建客戶信心）均涉及技術以外的多個因素。對于大多數組織，艱苦的恢復工作可能還需數月之久。泄露恢復率較低本年度的報告顯示，受訪組織中僅有 12%表示其已從數據泄露中完全恢復。大多數組織表示其仍在努力解決這些問題。請參閱圖 23。圖 22：以百萬美元為單位基于業務中斷程度的數據泄露成本圖 23.所有遭泄露組織的占比貴組織是否已從數據泄露中恢復？222024 年數據泄露成本報告完全恢復需用時超過 100 天在已完全恢復的組織中，超過四分之三表示其為此花費的時間超過了 100 天?；謴褪且粋€漫長的過程。在

33、已完全恢復的組織中，約有三分之一表示它們花費了超過 150 天才得以恢復。僅有一小部分(3%)已完全恢復的組織得以在 50 天內實現此目標。請參閱圖 24。從數據泄露中恢復的平均時間圖 24.源自報告稱已從事故中完全恢復的組織，以天為單位（參考圖 23）35%24%19%14%5%3%150 天126 至 150 天101 至 125 天76 至 100 天51 至 75 天 50 天232024 年數據泄露成本報告減少或增大平均泄露成本的因素分析成本時，了解哪些技術或事件會傾向于減少或增大成本會很有幫助。我們發現一個不變的事實：AI 和自動化可降低成本，而較為嚴重的網絡技能短缺則會拉高成本。

34、在此分析中，我們研究了 28 個促成因素。我們對照全球平均水平，單獨研究了其中每個因素所造成的影響。然后，我們研究了經發現會導致平均數據泄露成本增大或減少的三大因素。降低成本的關鍵因素在此分析中，員工培訓以及對 AI 與機器學習洞察信息的使用是降低平均數據泄露成本的首要因素。員工培訓仍是網絡防御戰略中的一大要素，尤其是針對檢測和阻止網絡釣魚攻擊。AI 與機器學習洞察信息則緊隨其后，位居第二。請參閱圖 25。增大成本的關鍵因素在此分析中我們發現，導致泄露成本上升的三大因素分別為：安全 系統復雜性、安全技能短缺和第三方泄露（其中可能包括供應鏈泄露）。請參閱圖 26。圖 25.與 488 萬美元平均

35、泄露成本的差異；以美元為單位降低平均泄露成本的因素圖 26.與 488 萬美元平均泄露成本的差異；以美元為單位增大平均泄露成本的因素242024 年數據泄露成本報告關鍵成本放大因素的高低程度對比當組織遭遇較為嚴重的安全技能短缺時，其平均泄露成本為 574 萬美元，而技能短缺程度較低的組織則為 398 萬美元。而其他兩項關鍵成本因素領域也存在類似的差異。請參閱圖 27。關鍵成本下降因素的高低程度對比當員工培訓水平較低時，組織的平均泄露成本為 510 萬美元，而員工培訓水平較高的組織產生的平均泄露成本則降至 415 萬美元。而其他兩項關鍵成本因素領域也存在類似的差異。請參閱圖 28。574 萬美元

36、遭遇較嚴重安全技能短缺的組織的平均泄露成本。圖 27：以百萬美元為單位數據泄露成本對比：三個成本增加因素程度較高的組織與三個成本增加因素程度較低的組織圖 28：以百萬美元為單位數據泄露成本對比：三個成本緩解因素程度高的組織與三個成本緩解因素程度低的組織252024 年數據泄露成本報告安全技能短缺面臨熟練安全人員嚴重短缺的組織數量呈急劇上升趨勢，從去年的 42%上升至 2024 年的 53%。本年度的研究發現，技能短缺的加劇與數據泄露成本的上升之間存在密切聯系。技能短缺會導致泄露成本上升2024 年，與較嚴重技能短缺相關的平均泄露成本將從去年的 536 百萬美元躍升至 574 百萬美元，增幅達

37、7.1%。這一漲幅比全球平均泄露成本高出了 860,000 美元。請參閱圖 29。勒索攻擊的成本組織在應對勒索攻擊上花費的金額可能會根據攻擊類型（勒索軟件、數據滲漏和破壞性）以及組織的響應方式而各有不同。本年度的研究表明，如有尋求執法機構的幫助（當執法調查人員介入時，成本會大幅下降），此因素則尤其明顯。我們對所有 3 種類型的攻擊均進行了檢查，其中包括勒索軟件攻擊（數據被加密且被要求支付贖金）、數據滲漏攻擊（數據遭竊取且組織有時會遭到勒索）和破壞性攻擊（攻擊者出于自身目的而刪除數據并破壞系統）。破壞性攻擊的成本高于其他勒索攻擊破壞性攻擊（即，旨在造成持久且高昂損失的攻擊）平均會造成 568 萬

38、美元的損失，因而它比勒索軟件攻擊或數據滲漏攻擊的成本更高。請參閱圖 30。圖 29：以百萬美元為單位基于安全技能短缺程度的數據泄露成本圖 30.以百萬美元為單位三種勒索攻擊的數據泄露成本262024 年數據泄露成本報告識別和遏制 3 種勒索攻擊的時間所有這三種類型的攻擊均需 284 到 294 天的時間來加以識別和遏制。請參閱圖 31。支付贖金當組織成為勒索軟件的受害者時，52%的組織會尋求執法部門的幫助。而其中大多數組織(63%)最終并未支付贖金。請參閱圖 32。圖 31：以天為單位根據三種勒索攻擊的發生情況來識別和遏制數據泄露所需的時間圖 32：涉及執法部門但支付了贖金的勒索軟件受害者占比

39、63%涉及執法部門且免于支付贖金的勒索軟件受害者占比。272024 年數據泄露成本報告執法部門的參與可降低泄露成本從有執法部門參與的 438 萬美元到沒有執法部門參與的 537 萬美元，平均泄露成本各有不同，其成本差異超過了 20%（即，近 100 萬美元）。注：這些成本數字并不包括贖金。請參閱圖 33。執法部門的參與也加快了識別和遏制泄露事件所用的時間。請參閱圖 34。圖 33：以百萬美元為單位執法部門參與的勒索軟件攻擊成本圖 34：以天為單位通過執法部門參與來識別和遏制勒索軟件攻擊所需的時間282024 年數據泄露成本報告報告泄露事件和監管罰款本年度的報告發現，大多數組織均向監管機構或其他

40、政府機構報告了其泄露事件。其中約三分之一還繳納了罰款。于是，報告和繳納罰款已成為泄露后響應的常見組成部分。該研究調查了罰款金額，以及組織向監管機構披露泄露事件所花費的時間。大多數組織在幾天內便報告了泄露事件。平均泄露報告時間超過一半的組織在 72 小時內便報告了其數據泄露，而 34%的組織則在超過 72 小時后才報告。僅有 11%的組織根本無需報告泄露事件。請參閱圖 35。監管罰款金額不斷上升繳納較高監管罰款的組織增多；其中，繳納 5 萬美元以上罰款的較去年同期增長 22.7，而繳納 10 萬美元以上罰款的則增長了 19.5。請參閱圖 36。圖 35.在所有泄露事件中的占比，只允許單個響應您是

41、否因監管規定而必須報告泄露事件？如果是的，您在發現泄露后花了多長時間才進行報告？圖 36.在遭受罰款的組織中，以美元為單位數據泄露所產生的罰款成本分布22.7%繳納 5 萬美元以上罰款的組織的占比漲幅。292024 年數據泄露成本報告數據安全無論將數據存儲在何處，均有可能遭遇泄露事件。本年度的研究表明，有些地方比其他地方更易受到攻擊，而每次泄露的成本也更高。大多數泄露事件均涉及分布在多個環境或公有云中的數據。這兩個存儲選項均與較長的泄露生命周期和較高的泄露成本相關。即使組織擴大并完善其數據管理戰略，它們也常會忽視影子數據，即未受管理且可能對 IT 部門不可見的數據。這可能源于工作人員通過未經授

42、權的應用程序來共享數據，或將數據上傳到非官方云存儲桶中。本報告發現，當泄露事件涉及影子數據時，其持續時間更長，導致的成本也更高。云泄露按數據位置劃分的泄露事件在所有泄露事件中，約有 40%涉及分布在多個環境（例如，公有云、私有云和本地部署）中的數據。在此研究中，涉及僅存儲在公有云、私有云或本地部署中的數據的泄露事件較少。隨著數據在不同環境下變得更為多變和活躍，數據的發現、分類、跟蹤和保護也變得更加困難。請參閱圖 37。按位置和成本劃分的泄露事件僅涉及公有云的數據泄露是成本最高一種數據泄露，其平均成本為 517 萬美元，比去年上漲 13.1%。涉及多個環境的泄露事件更為常見，但其成本卻比公有云泄

43、露事件略低。本地泄露事件造成的損失最低。請參閱圖 38。圖 37.在所有組織中的占比；允許單個響應遭受泄露的數據通常存儲在哪里？圖 38：以百萬美元為單位按存儲位置劃分的數據泄露成本302024 年數據泄露成本報告與更快修復相關的集中控制組織對數據的控制越是集中，它們就能越快地識別和遏制泄露事件。僅涉及本地所存儲數據的泄露事件平均需 224 天才能加以識別和遏制，它比跨不同環境分布的數據泄露（需要 283 天）少了 23.3%。在私有云架構與公有云架構的比較中，也出現了同樣模式的本地控制和泄露生命周期縮短。請參閱圖 39。影子數據影子數據的泄露成本涉及影子數據的數據泄露的平均成本為 527 萬

44、美元，比沒有影子數據的平均成本高出 16.2%。請參閱圖 40。圖 39：以天為單位圖 40：以百萬美元為單位數據泄露（包括影子數據）的成本按存儲位置來識別和遏制數據泄露所需的時間527 萬美元涉及影子數據的數據泄露的平均成本。312024 年數據泄露成本報告影子數據的泄露生命周期較之不涉及影子數據的泄露事件，識別影子數據泄露平均需多用 26.2%的時間，而遏制影子數據泄露平均需多用 20.2%的時間。這些上漲的數據會造成平均生命周期達 291 天的數據泄露，而它比沒有影子數據的數據泄露多出了 24.7%。請參閱圖 41?？绛h境的影子數據雖然影子數據存在于各種類型的環境中（公有云和私有云、本地

45、部署以及跨多個環境），但涉及影子數據的泄露事件中有 25%僅發生在本地。此調查結果表明，影子數據嚴格來說并非一個與云存儲相關的問題。請參閱圖 42。圖 41：以天為單位圖 42.涉及影子數據的泄露事件的占比；允許單個響應泄露事件中所含的影子數據被存儲在何處？識別和遏制數據泄露（包括影子數據）所需的時間322024 年數據泄露成本報告大規模泄露以超百萬條受損記錄為特征的大規模泄露事件相對罕見。因此，該研究會將它們與大多數其他泄露事件分開處理，而其中的部分原因在于：此舉不會扭曲對更典型數據泄露的分析。大規模泄露事件的成本上升今年，所有超大泄露規模類別的平均成本均高于去年。在影響 5,000 萬至

46、6,000 萬條記錄的最大泄露事件中，此漲幅最為明顯。平均成本增加了 13%，且這些泄露事件的成本遠高于一般的泄露事件。即使是規模最小的大規模泄露（涉及 100 萬到 1,000 萬條記錄），其平均成本也達到全球平均成本 488 萬美元的近 9 倍。請參閱圖 43。圖 43：以百萬美元為單位332387375328379304316225241166180364934631122917342按丟失記錄數量計算的大規模泄露成本50M60M40M50M記錄數量30M40M20M30M10M20M1M10M332024 年數據泄露成本報告安全性投資當某一組織遭遇泄露事件時，其業務與 IT 領導者通常

47、會加大安全投資。本年度的研究詢問了各組織關于未來安全支出的計劃。與此同時，我們允許組織確定多個投資領域。進行安全投資的組織占比上升近三分之二的組織計劃在發生泄露事件后加大安全投資，其金額則比去年增加了 23.5%。此增長可能反映出人們已意識到與業務損失和監管罰款相關的違約成本會繼續增長，同時還可能會出現聲譽損害現象。請參閱圖 44。安全投資的熱門領域今年報告的兩個最熱門的安全投資領域分別為：IR 規劃和測試（占 55%）以及威脅檢測與響應技術（占 51%）。前兩大投資領域側重于檢測可疑事件和威脅，并更快地對其做出響應。很多組織還計劃投資數據安全與保護工具（占 34%）和 IAM（占 42%）。

48、請參閱圖 45。圖 44：占所有組織的百分比數據泄露事件發生后，貴組織是否會增加安全投資？圖 45.在增加安全投資的組織中的占比；允許多個響應數據泄露后增加安全投資的最常見的投資類型23.5%計劃在發生泄露事件后增加安全投資的組織的占比漲幅。342024 年數據泄露成本報告有助于降低數據泄露成本的幾項建議我們的建議包括成功的安全方法，這些方法可以幫助以更低的成本、更短的時間識別并遏制泄露事件。了解自身的信息環境大多數組織會將數據分布在多個環境中，其中包括本地數據存儲庫、私有云和公有云。然而，很多組織的數據存儲庫是不完整或過時的，這會使判斷哪些數據遭泄露及其敏感或機密級別的過程被延誤。此類延誤可

49、能會導致應對措施復雜化，并拉高泄露事件的成本。安全團隊應確保全面透視所有此類環境，以便在無論數據位于何處的情況下均可持續監控和保護數據。組織可在所有這些環境中應用數據安全狀況管理(DSPM)和其他解決方案（如身份和訪問管理 以及 ASM），以便提供一致且全面的保護。352024 年數據泄露成本報告采用生成式 AI，勿忘安全第一雖然各大組織正在快速推進生成式 AI，但眼下卻只有 24%的生成式 AI 計劃擁有相應的安全保障。安全措施不足，數據和數據模型暴露于泄露的風險之下，進而可能破壞生成式 AI 項目意在創造的優勢。隨著生成式 AI 采用范圍的不斷擴大，組織需要一個框架來保護生成式 AI 數據

50、、模型及其使用，并制定 AI 治理控制措施。為此，組織需防止其訓練數據被竊取和操縱，從而確保這些數據的安全。組織可使用數據發現和分類方法，檢測用于訓練或微調的敏感數據。此外，組織還可在加密、訪問權限管理和合規性監控的過程中，落實數據安全控制措施。對于生成式 AI，組織面臨的不僅是影子數據的增長及其風險，更涉及到影子模型。組織必須將態勢管理擴展到 AI 模型本身，保護敏感的 AI 訓練數據，同時洞悉未經批準的影子 AI 模型的使用情況，以及 AI 濫用或數據泄露的情況。為了確保生成式 AI 模型開發過程的安全，需掃描開發管道中的漏洞、加固集成，并嚴格實施策略和訪問權限。為了保證生成式 AI 模型

51、的使用安全，安全團隊需監控是否存在惡意輸入（如提示注入）以及包含敏感數據的輸出。此外，安全團隊還必須部署 AI 安全解決方案，以檢測和應對特定于 AI 的攻擊，例如數據投毒、模型規避和模型竊取。制定響應策略，以實現拒絕訪問，并隔離和斷開遭泄露的模型，也是至關重要的。安全團隊必須特別關注混合環境和公有云。40%的數據泄露涉及跨多個環境存儲的數據，而當泄露的數據存儲在公有云中時，導致的平均泄露成本最高（517 萬美元）。安全團隊必須更為深入地了解其所用每個云服務的具體風險和控制措施。由于未管理的數據造成的影響，跨環境管理數據變得更為復雜。超過三分之一的數據泄露事件涉及影子數據。如今，安全團隊必須假

52、設其組織存在未管理的數據源。而非加密數據（包括 AI 工作負載中的數據）則會進一步加劇此風險。數據加密策略必須考慮數據的類型、用途和存儲位置，以便在發生泄露事件時降低風險。運用 AI 和自動化，增強預防策略在整個組織中采用生成式 AI 模型和第三方應用程序，以及持續使用物聯網(IoT)設備和“軟件即服務”(SaaS)應用程序，均會擴大攻擊面，給安全團隊帶來壓力。將 AI 和自動化技術運用于支持安全預防策略（包括在 ASM、紅隊測試和態勢管理中），往往可以通過托管安全服務來實現。在本年度的研究中，將 AI 和自動化技術運用于安全預防領域的組織，相比其他三個安全領域（檢測、調查、響應），從其 AI

53、 投資中受益最大。相較于未在預防技術中部署 AI 的組織，有部署的組織平均節省了 222 萬美元。362024 年數據泄露成本報告進一步加強網絡安全響應培訓組織在泄露事件期間和之后如何應對，以及如何與企業領導、監管機構和客戶進行溝通比以往任何時候都更為重要。為增強處理高影響力攻擊的能力，組織可參加網絡靶場危機模擬演習，形成針對泄露處置的肌肉記憶。此類演習可涵蓋安全團隊和業務領導者，讓整個組織均可提高檢測、遏制和應對泄露事件的能力。安全負責人應提前與組織的各個業務職能部門和溝通團隊開展合作，起草響應計劃并加以測試。在生成式 AI 和其他 IT 計劃導致威脅態勢不斷蔓延的情況下，有必要為非安全從業

54、人員提供安全培訓。此類人員包括在機器學習與 AI 團隊中工作的數據科學家和數據工程師，以及負責在本地資產和云資產中維護 AI 工作負載連續性的人員。組織通過投資于響應能力，可降低數據泄露所造成的成本高昂且極具破壞性的影響，為運營連續性提供支持，并幫助維護與客戶、合作伙伴和其他關鍵利益相關者的關系。此外，在攻擊的緊急階段，由胸有成竹的領導團隊開展處置、控制和溝通，實施經過演練的應對措施，可讓員工感到安心，同時減少組織內部的壓力、痛苦和摩擦。在生成式 AI 和其他 IT 計劃導致威脅態勢不斷蔓延的情況下，有必要為非安全從業人員提供安全培訓，其中包括在 AI 團隊中工作的數據科學家和數據工程師。37

55、2024 年數據泄露成本報告組織統計數據今年的研究調查了來自 16 個國家和地區以及 17 個行業的 604 個不同規模的組織。本節深入了解了本研究中按地理和行業劃分的組織細分，并定義了行業分類。382024 年數據泄露成本報告地理統計數據2024 年的研究已在 16 個國家和地理區域開展。比荷盧是今年新加入此研究的一個新地區，它是由比利時、荷蘭和盧森堡組成的一個經濟聯盟。斯堪的納維亞已從此研究中排除?！皷|盟”是位于新加坡、印度尼西亞、菲律賓、馬來西亞、泰國和越南的諸多組織的集群樣本?！袄∶乐蕖笔俏挥谀鞲?、阿根廷、智利和哥倫比亞的諸多組織的集群樣本?！爸袞|”是位于沙特阿拉伯和阿拉伯聯合酋長

56、國的諸多組織的集群樣本。國家和地區2024 年樣本樣本總數占比研究年限貨幣東盟254%8新加坡元(SGD)澳大利亞274%15澳元(AUD)比荷盧325%1歐元(EUR)巴西457%12巴西雷亞爾(BRL)加拿大285%10加元(CAD)法國366%15歐元(EUR)德國478%16歐元(EUR)印度539%13印度盧比(INR)意大利295%13歐元(EUR)日本427%13日元(JPY)拉丁美洲285%5墨西哥比索(MXN)中東396%11沙特阿拉伯里亞爾(SAR)南非244%9南非蘭特(ZAR)韓國285%7韓元(KRW)英國508%17英鎊(GBP)美國7112%19美元(USD)總計

57、604100%圖 46.本研究中所有組織的占比全球研究速覽392024 年數據泄露成本報告行業統計數據本研究多年來始終會選擇 17 個行業。今年，金融、工業、專業服務和科技這四大行業占到所研究 604 家組織的 47%。樣本的行業分布圖 47.本研究中所有組織的占比402024 年數據泄露成本報告行業定義醫療行業醫院和診所金融銀行、保險、投資公司能源石油和天然氣公司、公用事業、替代能源生產商和供應商制藥制藥公司，包括生物醫學生命科學公司工業化學加工、工程和制造公司科技軟件和硬件公司教育公立與私立大學和學院、培訓與發展公司專業服務法律、會計和咨詢公司等專業服務娛樂電影制作、體育、博彩和賭場運輸航

58、空、鐵路、貨運與快遞公司通信報紙、圖書出版商、公共關系與廣告公司消費消費品制造商和分銷商媒體電視、衛星、社交媒體和互聯網酒店酒店、餐飲連鎖店、郵輪公司零售業實體店和電子商務研究市場調研、智庫和研發公共部門聯邦、州與地方政府機構和非政府組織412024 年數據泄露成本報告研究方法出于保密目的，研究所使用的基準工具沒有捕獲任何公司的特定信息。數據收集方法排除了實際發生的會計信息，而是依靠參與者通過在數軸上標記一個范圍變量來估計直接成本。參與者被要求在每個成本類別范圍的下限和上限之間的某個位置標記數軸。數值是通過數軸而不是對每個成本類別估計的點得出的，保留了機密性，并且確保了更高的響應率?；鶞使ぞ哌€

59、要求受訪組織分別提供間接成本和機會成本的二次估計。為順利進行基準測試，需做好可管理數據集的維護工作，因此本報告僅包括那些對數據泄露成本有重要影響的成本活動中心。根據與專家的討論，我們選擇了一組固定的成本活動。在收集基準信息后，我們對每項基準工具都進行了仔細的重新審查，以確保其一致性和完整性。數據泄露成本因素的范圍僅限于應用于涉及個人信息的廣泛業務運營的已知類別。我們選擇關注業務流程，而不是數據保護或隱私合規活動，因為我們相信流程研究會產生更高質量的結果。422024 年數據泄露成本報告我們如何計算數據泄露的成本在計算數據泄露的平均成本時，我們排除了非常小和非常大的數據泄露事件。2024 年的報

60、告中，納入調研的數據泄露事件規模均在 2,100 至 113,000 條受損記錄之間。我們使用了單獨的分析來研究大規模泄露的成本，報告中的“數據泄露常見問題解答”部分對該方法有深入的闡述。我們采用了基于活動的成本計算，即確定活動并根據實際使用情況分配成本。有四種與流程相關的活動導致了與組織數據泄露相關的一系列支出：檢測和升級、通知、泄露后響應和已丟失業務。檢測和上報可幫助組織檢測泄露事件的活動包括：取證和調查活動 評估和審計服務 危機管理 與高管和董事會的溝通通知可幫助組織通知數據主體、數據保護監管機構和其他第三方的活動包括：給數據主體的電子郵件、信件、出站呼叫通信或一般通知 確定監管要求 與

61、監管機構的溝通 聘請外部專家泄露后響應幫助數據泄露事件的受害者與組織溝通的活動，以及對受害者和監管機構的補救活動，包括：服務臺和入站通信 信用監察和身份保護服務 簽發新賬戶或信用卡 法律支出 產品折扣 監管罰款業務損失試圖將客戶流失、業務中斷和收入損失降至最低的活動，包括：因系統宕機而造成的業務中斷和收入損失 失去客戶和獲得新客戶的成本 聲譽損失和商譽降低432024 年數據泄露成本報告數據泄露常見問題解答什么是數據泄露？數據泄露定義為包含 PII、財務或醫療帳戶詳細信息等；或者其他秘密、機密或專有數據的記錄可能面臨風險的事件。這些記錄可以是電子或紙質格式。本研究中包括的數據泄露規模范圍為 2

62、,100 到 113,000 條受損記錄。什么是受損記錄？記錄是指泄露機密或專有的公司、政府或財務數據，或識別在數據泄露事件中丟失或被盜的個人的信息。例如，包含個人姓名、信用卡信息和其他 PII 的數據庫，或包含保單持有人姓名和付款信息的健康記錄等。如何收集數據？我們的研究人員對 2023 年 3 月至 2024 年 2 月期間遭遇數據泄露的 604 家組織的個人進行了 3,556 次單獨訪談，以此收集具有一定深度的定性數據。受訪者熟悉所在組織的數據泄露事件，以及與解決泄露事件相關的成本。這些受訪者包括首席執行官或高管、運營負責人、財務控制人或負責人、IT 從業者、業務部門領導和總經理，以及風

63、險管理與網絡安全從業者。出于隱私考慮，我們沒有收集組織特定的信息。數據泄露成本包括哪些項目？我們收集了組織產生的直接與間接費用。直接費用包括聘請取證專家、外包熱線支持，以及為未來的產品和服務提供免費信用監察訂閱和折扣等費用。間接成本包括內部調查和溝通，以及因營業額或客戶獲取率下降而導致的客戶損失的推斷價值成本。本研究只代表與數據泄露經歷直接相關的事件。通用數據保護條例(GDPR)和 加州消費者隱私法案(CCPA)等法規可能會鼓勵組織增加對其網絡安全治理技術的投資。然而，這種活動并沒有直接影響本研究中的數據泄露成本。為了與往年保持一致，我們使用了相同的貨幣換算方法，而不是調整會計成本?；鶞恃芯颗c

64、調查研究有何不同？數據泄露成本報告 中的分析單位是企業或機構等組織。在調查研究中，分析的單位是個人。我們招募了 604 家組織參與這項研究。每條記錄的平均成本是否可以用來計算涉及數百萬條丟失或被盜記錄的數據泄露成本？采用每條記錄的總成本作為基準來計算總計數百萬條記錄的單起或多起數據泄露的成本，與本研究得出的結論并不一致。每條記錄的成本根據我們對數百起數據泄露事件的研究總結得出，其中每起事件都最多有 113,000 條受損記錄。為了衡量涉及 100 萬條或更多記錄的大規模泄露的影響，本研究采用模擬框架，以 17 起同等規模的事件為樣本。為什么要用模擬方法來估算大規模泄露的成本？17 家經歷過大規

65、模泄露的組織的樣本量不夠大，無法使用基于活動的成本方法支持具有統計學意義的分析。為了解決這個問題，我們采用了蒙特卡羅模擬方法，通過重復的試驗來估計一系列可能的、隨機的結果。我們總共進行了超過 269,000 次試驗。所有樣本均值的總平均值提供了每種數據泄露規模的最可能結果，范圍從 1 百萬到 53 百萬條受損記錄。此研究是否每年都跟蹤相同的組織？每年的研究均涉及不同的組織樣本。為了與之前的報告保持一致，我們每年都會招募和匹配具有相似特征的組織，例如組織的行業、員工人數、地理足跡和數據泄露的規模。自 2005 年開始這項研究以來，我們已經研究了 6,184 家組織的數據泄露經歷。442024 年

66、數據泄露成本報告研究的局限性我們的研究使用了一種機密且專有的基準方法，該方法已在早期研究中成功采用。然而，在從研究結果中得出結論之前，仍需要仔細考量這種基準研究所固有的局限性。非統計結果我們的研究利用了具有代表性的、非統計學的全球實體樣本。鑒于這種抽樣方法并不科學，統計推斷、誤差范圍和置信區間等理論都不適用于這些數據。無響應未測試無響應偏差，因此，未參與的組織可能在潛在數據泄露成本方面存在顯著差異。抽樣框誤差由于我們的抽樣框屬于判斷性的，所以研究結果的質量會受到抽樣框對被研究組織群體所代表程度的影響。我們認為，當前的抽樣框偏向于擁有更成熟的隱私或信息安全計劃的組織。特定于組織的信息研究中使用的

67、基準沒有捕獲組織的識別信息。個人可以使用分類響應變量來披露有關組織和行業類別的統計信息。未衡量因素我們在分析中省略了某些變量，如主導趨勢和組織特征。無法確定已省略的變量會在多大程度上解釋基準測試結果。推斷成本結果雖然可以將某些檢查和平衡納入基準流程，但受訪者仍有可能未提供準確或真實的回答。此外，使用成本推斷方法而非實際成本數據可能會無意中引入偏差和不準確因素。貨幣換算從當地貨幣換算成美元后，其他國家的平均總成本估計值會降低。為了與往年保持一致，我們決定繼續使用相同的會計方法而不是調整成本。值得注意的是，此問題可能僅影響全球層面的分析，因為所有國家/地區層面的結果均以本地貨幣顯示。本研究報告中使

68、用的當前實際匯率由美聯儲于 2024 年 3 月 4 日公布。452024 年數據泄露成本報告關于 IBM 和波耐蒙研究所(Ponemon Institute)IBMIBM 是全球領先的混合云、AI 與商業服務提供商，致力于幫助超過 175 個國家和地區的客戶利用數據洞察、精簡業務流程、降低成本，并在行業內獲得競爭優勢。所有這一切都離不開 IBM 在信任、透明、責任、包容和服務方面始終如一的努力付出。有關更多信息，請訪問 加入 IBM Security 社區中的對話波耐蒙研究所(Ponemon Institute)波耐蒙研究所(Ponemon Institute)成立于 2002 年，致力于通

69、過獨立的研究和教育活動，在企業和政府內部推進負責任的信息和隱私管理實踐。我們的宗旨是針對影響個人和組織相關敏感信息管理和安全的關鍵問題，開展高質量的實證研究。波耐蒙研究所堅持嚴格的數據保密、隱私與道德研究標準，而不會向個人收集個人身份信息(PII)，也不會在商業研究中收集公司身份信息。此外，我們堅持履行嚴格的質量標準，絕不會向研究對象提出非必要、不相關或不恰當的問題。如果您對本研究報告存有任何疑問或意見（包括獲得引用或復制本報告的許可請求），請通過信函、電話 或電子郵件與我們聯系：Ponemon Institute LLC 研究部 1-800-887-3118 researchponemon.

70、org Copyright IBM Corporation 2024國際商業機器（中國）有限公司 了解更多信息，歡迎訪問我們的中文官網：https:/ IBM Corporation New Orchard Road Armonk,NY 10504 美國出品 2024 年 7 月IBM 和 IBM 徽標是 International Business Machines Corporation 在美國和或其他國家或地區的商標或注冊商標。其他產品和服務名稱可能是 IBM 或其他公司的商標。IBM 商標的最新列表可參見 可能隨時對其進行更改。IBM 并不一定在開展業務的所有國家或地區提供所有產品或服務。本文檔內的信息“按現狀”提供，不附有任何種類的（無論是明示的還是默示的）保證，包括不附有關于適銷性、適用于某種特定用途的任何保證以及非侵權的任何保證或條件。IBM 產品根據其提供時所依據的協議條款和條件獲得保證。良好安全實踐聲明：任何 IT 系統或產品都不應被視為完全安全，任何單一產品、服務或安全措施都不能完全有效防止不當使用或訪問。IBM 不保證任何系統、產品或服務可免于或使您的企業免于受到任何一方惡意或非法行為的影響?？蛻糌撠煷_保遵守適用的法律和法規。IBM 不提供任何法律咨詢，也不聲明或保證其服務或產品能夠確?？蛻糇裱魏畏苫蚍ㄒ?。