2022年IBM数据泄露成本报告

写在前面：《Verizon Business 数据泄露调查报告》和《IBM数据泄露成本报告》是数据安全领域比较重要的两个调查报告，很多机构重要的数据参考源。整体内容看执行摘要就足够了，从事不同技术的人员，如果想看看本技术对防止数据泄露的效果，可以看后面相应的技术部分。

数据泄露成本创历史新高

    IBM的数据显示，目前全球数据泄露的平均成本为435万美元，较2020年增长了近13%，创历史新高。

    这家科技巨头的年度数据泄露成本报告(Cost of a Data Breach Report)已进入第17个年头，是根据2021年3月至2022年3月期间，17个国家中发生数据泄露的550家机构的采访编制的。

    报告中除了比去年增加2.6%的头条消息，该公司还声称，消费者在这些事件中遭受到不成比例的痛苦。

    报告中说，60%被破坏的组织在被破坏后提高了价格，加剧了失控的全球通货膨胀。

    网络钓鱼是入侵事件的最昂贵因素，受害组织的平均成本为490万美元，而泄露凭证是最常见的原因(19%)。

    医疗保健仍然是成本最高的行业。连续第12年位居榜首，2022年的泄露成本增加了近100万美元，达到逾1000万美元。美国仍然是最昂贵的国家，平均花费940万美元。

    对于在关键基础设施中，可能正在考虑零信任策略组织的CISO，也有一些有趣的见解。

    该行业约80%的受访者表示，他们尚未采取此类措施。这使得他们的泄露成本比那些已经实施增加了近120万美元，达到540万美元。

    对于那些如果受到勒索软件威胁就会付钱给勒索者的组织，也有一句警告。受访者发现比平均泄露成本只减少了61万美元。

    如果算上赎金本身，泄露成本可能要高得多。在没有支付赎金的情况下，一次勒索袭击的平均成本为450万美元。

    近一半(45%)有记录的泄露发生在云端，那些尚未制定安全策略或处于早期阶段的人比那些拥有成熟的云安全策略的人平均要多支付66万美元。

    数据泄露似乎是不可避免的：83%的被调查机构表示，他们遭受的数据泄露次数不止一次。然而，检测和响应越来越好。

    识别和遏制数据泄露的平均时间从2021年的287天下降到2022年的277天，下降了3.5%。运行XDR工具的组织能多节省了29天。

    报告指出，最大的成本节省是安全人工智能和自动化技术的使用——运行这些技术的组织平均减少了300万美元的泄露成本。

    “企业需要把他们的安全防御放在进攻上，并先发制人。现在是时候阻止对手实现他们的目标，并开始将攻击的影响降到最低了，”IBM安全X-Force全球负责人查尔斯·亨德森(Charles Henderson)表示。

    “越来越多的企业试图完善自己的防护范围，而不是投资于检测和反应，越多的泄露就会导致整个成本增加。”

2022年，IBM数据泄露成本报告

执行摘要

    数据泄露成本报告为IT、风险管理和安全主管提供了一个视角，让他们详细了解可以增加或帮助缓解数据泄露成本上升的因素。

    这项研究由Ponemon Institute独立进行，IBM Security®赞助、分析和发布，目前已进入第17个年头。该研究涉及了2021年3月至2022年3月期间受数据泄露影响的550家组织。这些泄露事件发生在17个国家和地区，涉及17个不同的行业。

    我们对受数据泄露影响的组织中的个人进行了3600多次访谈。在访谈中，我们提出了一些问题，确定数据泄露即时响应和延时响应两种不同行为的成本。

    与往年的报告一样，今年的数据显示了在数据泄露发生后，数十个因素是如何影响成本不断增加的。此外，该报告还研究了数据泄露的根本原因、短期和长期后果，以及让公司减少损失的缓解因素和技术。

    值得注意的是，该研究首次表明了以下观点：

• 在被研究的组织中，83%有不止一次的数据泄露
• 60％企业的泄露行为导致了转嫁给消费者的价格上涨
• 79％组织关键基础设施没有部署零信任架构
• 19%泄露与商业伙伴的入侵有关
• 45%泄露基于云

2022报告中的新内容

    为了跟上不断变化的技术和事件，我们的目标是每年的版本都建立在过去研究的基础上。我们还尝试形成一个风险和策略更相关的画面，从人工智能(AI)到零信任，保护数据和应对泄露。涵盖了过去一年大多数公司关注的一些技术，该报告2022年版对以下价值进行了新的分析：

• 扩展检测和响应(XDR)
• 风险量化技术的使用
• 有助于零信任安全框架的单独技术的影响，如身份和访问管理(IAM)及多因素认证(MFA)

    此外，该报告还对导致数据泄露成本上升的一些主要因素进行了更广泛的研究。该报告首次审视了供应链入侵和安全技能差距的影响。

    报告分析了从云到关键基础设施的安全漏洞。与过去几年相比，我们对勒索软件和破坏性攻击的影响进行了更深入的研究。还研究了远程工作的现象，在新冠疫情高峰过后，远程工作仍然是许多组织的现实。

    随着企业遭遇更多泄露，成本持续攀升，这份报告可以作为一种工具，帮助您的团队更好地管理风险，限制潜在损失。

    本报告分为以下五个主要部分:

• 执行摘要，包含关键发现和2022年版新内容
• 深入分析全部调查结果，包括按地理区域和行业划分的泄露成本
• IBM安全专家根据这份报告的结果提出的安全建议
• 组织的地理分布和行业定义
• 研究的方法，包括如何计算成本

    IBMSecurity和Ponemon Institute很高兴为您展示2022年数据泄露成本报告的结果。

关键发现

    这里描述的主要发现是基于IBM Security对Ponemon institute编制的研究数据的分析。

435万美元-数据泄露平均总成本

    2022年，数据泄露的平均成本达到435万美元，创历史新高。这一数字比去年增加了2.6%，去年的平均泄露成本为424万美元。平均成本比2020年报告中的386万美元上升了12.7%。

83%的组织遭遇过一次以上泄露

    83%的受访企业经历过不止一次的数据泄露，只有17%的企业表示这是他们的第一次数据泄露。60%的被调查机构表示，由于数据泄露，他们提高了服务或产品的价格。

关键基础设施的平均泄露成本482万美元

    被研究组织的关键基础设施的数据泄露平均成本为482万美元，比其他行业组织的平均成本高出100万美元。关键的基础设施组织包括金融服务、工业、技术、能源、运输、通信、医疗保健、教育和公共部门等行业的组织。28%的人经历过破坏性或勒索软件的攻击，而17%的人经历过由于商业伙伴受到威胁而造成的入侵。

完全部署安全人工智能和自动化的组织入侵平均成本节省305万美元

    与没有部署安全人工智能和自动化的组织相比，部署后入侵成本要低305万美元。65.2%的平均泄露成本差异——全面部署后泄露的成本为315万美元，未部署的泄露成本为620万美元——是该研究中最大成本节省。与没有部署安全人工智能和自动化的公司相比，完全部署安全人工智能和自动化的公司识别和遏制漏洞的时间(即漏洞生命周期)平均缩短了74天，为249天，而没有部署安全人工智能和自动化的公司为323天。安全人工智能和自动化的使用在两年内跃升近五分之一，从2020年的59%增至2022年的70%。

勒索攻击的平均成本454万美元，不包括勒索本身的费用

    研究中11%的泄露行为是勒索软件攻击，2021年时7.8%的泄露行为是勒索软件攻击，增长率为41%。勒索软件攻击的平均成本略有下降，从2021年的462万美元下降到2022年的454万美元。这一成本略高于数据泄露的总体平均总成本435万美元。

19%的泄露来自于凭证偷取或凭证泄露

    使用凭证偷取或凭证泄露仍然是导致数据泄露的最常见原因。在2022年的研究中，这种攻击方式占19%。而在2021年的研究中，占20%。由被盗或泄露的凭证造成的破坏平均成本为450万美元。这些漏洞的生命周期最长，243天发现入侵，还有84天来遏制入侵。网络钓鱼是第二大最常见的入侵原因，占16%，也是最昂贵的，平均入侵成本为491万美元。

59%的组织没有部署零信任

    在这项研究中，只有41%的组织表示他们部署了零信任安全架构。其他59%没有部署零信任的组织比那些部署零信任的组织平均要多付出100万美元的泄露成本。在关键的基础设施组织中，79%没有部署零信任。这些组织平均遭受了540万美元的入侵成本，比全球平均水平高出100多万美元。

远程办公导致增加1百万美元成本

    当远程工作是造成漏洞的一个因素时，平均成本比没有远程工作高出近100万美元，499万美元比402万美元。与全球平均水平相比，与远程工作相关的远程泄露平均成本高出约60万美元。

45%的入侵发生在云中

    研究中45%的漏洞发生在云端。然而，在混合云环境中发生的入侵平均成本为380万美元，而在私有云中发生的入侵为424万美元，在公共云中发生的入侵为502万美元。混合云入侵和公共云入侵的成本差异为27.6%。组织混合云模型也比单纯采用公共或私有云模型的组织具有更短的入侵生命周期。

具有事件响应团队和定期测试事件响应计划会节省266万美元

    在这项研究中，近四分之三的组织说他们有一个事件响应计划，其中63%的组织说他们会定期测试该计划。拥有一个定期测试的事件团队和事件计划可以节省大量的成本。与没有事件团队且不测试事件计划的组织相比，拥有事件团队的企业测试其事件响应计划的平均违约成本要低266万美元。326万美元与592万美元的差异意味着节省了58%的成本。

部署XDR技术节省29天响应时间

    44%的组织实施了XDR技术。那些使用XDR技术的组织在响应时间方面看到了相当大的优势。那些部署了XDR的组织将漏洞的生命周期缩短了约一个月，平均而言，与没有实现XDR的组织相比。具体来说，部署了XDR组织需要275天来识别和遏制的漏洞，而没有部署XDR的则需要304天。这个数字代表了10%的响应时间差异。

医疗健康行业连续12年保持最高平均泄露成本

    医疗健康泄露成本再创新高。平均入侵成本增加了近100万美元，达到1010万美元。自2020年报告发布以来，医疗已连续12年成为最昂贵的行业，增长了41.6%。金融机构的成本排名第二，平均为597万美元，其次是制药501万美元、技术497万美元和能源472万美元。

美国的平均入侵成本最高，944万美元

    数据泄露平均成本最高的5个国家和地区分别是：美国944万美元、中东746万美元、加拿大564万美元、英国505万美元和德国485万美元。美国已经连续12年高居榜首。与此同时，与去年相比增长最快的国家是巴西，从108万美元增长了27.8%，到138万美元。

完整内容

    在这个部分，我们根据16个主题，提供报告的详细内容。按照如下顺序：

• 全球重点
• 数据泄露生命周期
• 初始攻击方式
• 主要成本因素
• 安全人工智能和自动化
• XDR技术
• 事件响应
• 风险量化
• 零信任
• 勒索软件和破坏性攻击
• 供应链攻击
• 关键基础设施
• 云泄露和云模型
• 远程工作
• 技能差距
• 超级泄露

全球重点

    数据泄露成本报告是一个全球性的报告，包括来自17个国家和地区、17个行业的数据。在这部分，我们将在全球水平上查看几个关键指标平均成本，以及国家之间和行业之间的成本对比关系。 

    六年来，检测和升级成本首次超过了业务损失成本，成为构成数据泄露成本的四类成本中最大的。将成本分为四类——业务损失、检测和升级、通知和泄露后响应——2022年数据泄露成本中占比最大的是检测和升级。从2021年的124万美元增长到2022年的144万美元，增长20万美元，增长16.1%。检测和升级成本包括使公司能够合理地检测到漏洞的活动。这些费用包括取证和调查活动、评估和审计服务、危机管理，以及与高管和董事会的沟通。

    在至少六年来，业务损失首次不是数据泄露成本的最大份额，在2022年为142万美元。业务损失成本从2021年的159万美元下降了10.7%。业务损失成本包括试图最大限度地减少客户损失、业务中断和收入损失的活动。这些成本包括业务中断和系统停机带来的收入损失、流失客户和获取新客户的成本、以及声誉损失和商誉下降。

    2021年至2022年，通知成本和泄露后响应成本相对保持不变。请参阅“研究方法”一节中的“我们如何计算数据泄露的成本”，了解这四种成本类别的定义。

    60%的组织在数据泄露后会提高产品及服务价格，83%的组织遭受到一次以上攻击。

数据泄露生命周期

    从检测到入侵到停止泄露所经过的时间被称为数据泄露生命周期。发现泄露所花费的时间描述了检测到发生事件所花费的时间；遏制漏洞所花费的时间是指组织在检测到漏洞后解决问题并最终恢复服务所花费的时间。这些指标可用于确定组织的事件响应和遏制流程的有效性。

    发现和遏制数据泄露的平均时间277天。

初始攻击方式

    本节将研究数据泄露初始攻击方式的流行程度和成本。本研究中泄露被分为10种初始攻击方式，包括意外数据丢失、云配置错误、网络钓鱼、内部威胁以及被盗或被泄露的凭证。本节还比较了根据初始攻击方式，发现和遏制泄露所需的平均时间。

    2022年，最常见的初始攻击方式是凭证被盗和泄露，占19%，平均成本450万美元。

   2022年，成本最高的初始攻击方式是钓鱼攻击，平均数据泄露成本491万美元。

主要成本因素

    这一节将探讨多种影响数据泄露因素的成本，包括各种类型的安全技术和实践。一项针对28个成本因素的特别分析研究了它们对数据泄露平均成本的影响。

    以下成本因素在今年的报告中是新的：IAM、XDR技术、MFA、以及危机管理团队。

    这些成本因素并不是累加的，因此将多个成本因素加在一起来计算泄露成本与本研究不一致。

    高合规要求的组织，一次泄露的平均成本557万美元

    下表中陈列了影响成本的因素，一部分是缓解因素，一部分是放大因素。人工智能平台、DevSecOps、事件响应团队是降低成本的前三名因素，相应的基准数值是平均泄露成本435万美元，例如，人工智能可以降低300075美元，降低后的平均成本为405万美元。

安全人工智能和自动化

    这是我们第5年研究数据泄露成本与安全人工智能和自动化之间的关系。在这种背景下，安全人工智能和自动化指的是使安全技术增强或取代人工干预发现和遏制事件及入侵企图。这些技术依赖于人工智能、机器学习、分析和自动化安全编排。

    与之相对的是由人工输入驱动的流程，通常要跨越几十个工具和复杂的、非集成的系统，它们之间没有数据共享。

    与没有安全人工智能和自动化相比，完全部署安全人工智能和自动化的平均节省成本305万美元。

    完全部署安全人工智能和自动化的组织，花费181天发现泄露、68天遏制，整个生命周期249天。没有部署的组织花费235发现泄露，88天遏制，整个生命周期323天。

XDR技术

    这项研究首次考察了XDR技术对数据泄露成本的影响。本节将介绍XDR在被研究组织中的流行情况，加上它对平均总成本和控制数据泄露的平均时间的影响。

    显著的是，XDR降低了9.2%的平均入侵成本。虽然乍一看这些节省似乎微不足道，但真正的影响在于当使用XDR时，组织在泄露持续时间方面节省了大量时间——将近一个月。多余的时间来发现和遏制漏洞会大大增加漏洞及其后果的总成本。

    具有XDR技术的组织识别和包含漏洞的时间比没有XDR技术的组织快29天。分别是275天和304天。

    XDR功能被广泛使用但大多数组织还没有。

    根据这项研究中550个组织的调查，44%的组织正在实施XDR技术，56%的组织没有实施XDR技术。

事件响应

    在前几年，这项研究表明，使用事件响应团队和测试事件响应计划可以显著降低数据泄露的平均成本。在今年的分析中，我们再次研究了事件响应团队、能力和流程如何影响泄露的成本。与那些没有事件响应团队且未测试事件响应计划的组织相比，拥有事件响应团队的组织平均节省的泄露成本266万美元。

风险量化

    风险量化着眼于影响，包括财务影响、数据的可用性和数据的完整性。使用风险量化可以按影响强调财务损失类型，包括以下例子：生产力损失、响应及恢复成本、声誉的影响、罚款和判决。

    首席信息安全官(CISO)、风险经理和安全团队可以使用基准研究，比如数据泄露成本报告，来推断他们所在行业或地区的总体趋势和平均成本。然而，使用特定组织的数据，而不是行业平均数据，可以澄清潜在的安全差距，以及如何通过将安全风险量化为财务术语来降低总体风险。

    本节着眼于有多少组织正在使用风险量化技术来确定风险、威胁和影响的优先级，并审查风险量化技术的平均成本影响。

    使用风险量化技术的组织比不使用风险量化技术的组织节省的成本210万美元。

    大约47%的组织，他们根据风险量化技术确定风险、威胁和影响的优先级。

零信任

    这是第二年，本研究考察基于零信任安全框架的部署，在数据泄露中的普遍性和财务影响。零信任方法基于用户身份或网络本身可能已经被破坏的假设来运作，而且依赖人工智能和分析来持续验证用户、数据和资源之间的联系。正如本节中的数据所示，零信任对数据泄露成本有净正面影响。

    部署零信任的组织，比没有部署的组织，泄露成本节省100万美元。成熟的零信任比早期采用零信任，部署可节省的平均泄露成本151万美元。

    41%组织已经部署了零信任，而2021年，这一数值是35%。

勒索软件和破坏性攻击

    这是我们第二年研究勒索软件和泄露的成本。我们还在今年的研究中加入了破坏性恶意软件入侵。与去年相比，被勒索软件破坏的成本略有下降，从462万美元下降到454万美元。然而，勒索软件入侵的频率有所增加——从2021年报告中的7.8%增加到2022年研究中的11%。

    今年，我们研究了这些入侵的生命周期，以及支付赎金对剔除赎金成本的影响。注意：在计算勒索软件攻击的成本时，本研究不包括赎金本身的成本。

    识别和遏制勒索软件入侵的时间比平均时间长49天。

    勒索软件的平均成本，不包括赎金本身，为454万美元，比数据泄露的整体平均成本435万美元高一点。

    组织中各种入侵所占百分比，可以看到，勒索软件占11%，破坏性入侵占17%。

    勒索软件攻击花费237天发现，89天遏制，整个生命周期326天。破坏性攻击花费233天发现，91天遏制，整个生命周期324天。而整体平均生命周期277天。

    没有支付赎金的组织，平均泄露成本512万美元；支付赎金的组织，泄露成本449万美元。

供应链攻击

    近年来发生了多起重大的供应链攻击事件，今年的报告标志着我们第一次在供应链攻击的背景下研究数据泄露。供应链入侵是由于商业伙伴(如供应商)的入侵而造成的泄露。研究发现，近五分之一的泄露是由于供应链入侵，这些入侵使泄露更加昂贵，并导致更长的生命周期。平均而言，供应链泄露识别和遏制时间比全球平均水平多26天。

    大约20%的泄露是供应链入侵导致的，平均成本446万美元。

    供应链攻击的发现时间235天，68天遏制，整个生命周期303天。平均数据泄露生命周期277天。

关键基础设施

    这份报告标志着我们第一次在关键基础设施行业的背景下研究成本以及遏制数据泄露。根据美国网络安全和基础设施安全局(CISA)的分类，该研究中的关键基础设施行业包括金融服务、工业、技术、能源、交通、通信、医疗、教育和公共部门。

    这项分析的一个发现是，关键基础设施行业的零信任安全方法比全球平均水平低得多。没有部署零信任策略的关键基础设施行业的数据泄露成本明显高于平均水平。

    没有采取零信任安全措施的关键基础设施行业的占79%

    在关键基础设施行业中，勒索软件和破坏性攻击占25%，

    在关键基础设施中，平均数据泄露成本482万美元。实施零信任的组织平均成本是423万元。没有实施零信任的组织平均成本540万美元。

    关键基础设施中，发现攻击204天，遏制攻击69天，生命周期273天。

云泄露和云模型

    在这份报告中，我们已经连续两年仔细研究了云模型和云安全的成熟度对数据泄露成本的影响。研究发现，45%的泄露发生在云上，但公共云上的比混合云模型组织的泄露成本要高得多。然而，研究分析也表明不管云模型如何，组织仍然需要成熟的云安全态势。

    处于早期阶段或尚未开始应用安全实践来保护其云环境的组织的份额43%

    28%的受访者说他们的IT模型完全部署在本地，27%完全基于云，45%是混合模型。

    43%的组织没有开始，或处于应用时间保护云环境的早期阶段。

    泄露属于云服务商的责任，平均成本498万美元，组织自己IT或安全团队的责任，平均成本410万美元。

    公有云的平均泄露成本502万美元，私有云的平均泄露成本424万美元，混合云的平均泄露成本380万美元。

    发现和遏制泄露生命周期，混合云262天，私有云279天，公有云310天。

远程工作

    这是自新冠疫情以来，该报告第三次发布。从去年的报告开始，我们研究了在家工作对数据泄露成本的影响。当远程工作是造成泄露的一个因素时，远程工作已经对泄露的成本产生了相当大的影响，例如远程工作的员工的凭证被盗。该研究还发现，大多数员工远程工作的公司的泄露成本最高。

    远程工作是导致入侵的因素之一的入侵成本，比不包含这种因素入侵成本高出约100万美元。

    有81%-100%的员工远程工作，平均入侵成本510万美元，少于20%员工远程工作，平均入侵成本399万美元。

技能差距

    许多组织努力填补其安全团队的职位空缺。与那些没有足够员工的组织相比，那些自称人手充足的组织在数据泄露成本方面节省了相当多的成本。这是我们在这份报告中第一次更深入地研究安全技能差距。

    人员配备充足的组织比人员配备不足的组织节省的平均数据泄露成本55万美元。

    38%的组织认为他们的安全团队符合安全管理需要。62%组织没有足够的安全人员。

    足够安全人员的组织平均泄露成本401万美元，人员不足的组织平均泄露成本456万美元。

大规模泄露

    对于大多数企业来说，大规模泄露——即超过100万份记录被泄露——并不是常见的经历。但大规模的泄露行为会对消费者和行业产生巨大的影响。

    这项研究包括13家经历过数据泄露的公司，涉及100万到6000万份记录的丢失或被盗。对这些大型泄露事件的研究采用了一种不同于本研究中其他550起泄露事件的方法，其中每起事件丢失的记录都不超过10.2万份。有关研究方法的完整解释，请参阅本报告结尾的“数据泄露常见问题解答”。

    泄露五千万到六千万条记录的平均整体成本3.87亿美元

帮助将数据泄露的财务影响降到最低的建议

    在本节中，IBM Security概述了组织可以采取的步骤，以帮助降低数据泄露的财务成本和声誉后果。这些建议包括本研究中组织所采用的成功的安全方法。

采用零信任安全模型，以协助防止对敏感数据的未经授权访问。

    研究结果显示，虽然只有41%的组织实施了零信任安全方法，但通过成熟的部署，他们可以节省150万美元的潜在泄露成本。随着组织合并了远程工作和混合多云环境，零信任战略可以通过限制可访问性和要求上下文信息来帮助保护数据和资源。

    可以在不同的系统之间共享数据和集中数据安全操作的安全工具可以帮助安全团队在复杂的混合多云环境中检测事件。通过开放的安全平台，您可以获得更深刻的见解，转移风险，加快响应速度，推进您的零信任战略。与此同时，您可以在保留数据的同时使用现有的投资，帮助您的团队变得更加高效和协作。

使用策略和加密保护云环境中敏感数据。

    随着云环境中托管的数据的数量和价值的增加，组织应该采取措施保护云中的数据库。与没有云安全实践相比，成熟的云安全实践节省了72万美元的泄露成本。使用数据分类模式和保留程序来帮助增加可见性，并减少容易被破坏的敏感信息的数量。使用数据加密和完全同态加密保护敏感信息。使用内部框架进行审计、评估整个企业的风险并跟踪对治理需求的合规性，可以帮助您提高检测数据泄露和升级遏制措施的能力。

投资于安全编排、自动化和响应(SOAR)及XDR，以帮助提高检测和响应时间。

    除了安全人工智能和自动化，XDR功能也可以帮助显著降低平均数据泄露成本和泄漏生命周期。根据这项研究，与未实施XDR的组织相比，部署XDR的组织平均缩短了29天的泄露生命周期，节省了40万美元的成本。SOAR和安全信息和事件管理(SIEM)软件、托管检测和响应服务以及XDR可以帮助您的组织通过自动化、流程标准化和与现有安全工具的集成来加速事件响应。

使用工具帮助保护和监视端点和远程员工。

    在这项研究中，远程工作是导致泄露因素的泄露成本比远程工作不是原因的泄露高出近100万美元。统一端点管理(UEM)、端点检测和响应(EDR)身份和访问管理(IAM)产品和服务可以帮助安全团队更深入地了解可疑活动。这个监管涉及携带自己的设备(BYOD)和公司的笔记本电脑、台式机、平板电脑、移动设备和物联网，包括组织无法物理访问的端点。UEM、EDR和IAM加速调查和响应时间，以隔离和控制远程工作带的破坏。

创建和测试事件响应剧本以增加网络弹性。

    降低数据泄露成本最有效的两种方法是组建事件响应(IR)团队和对事件响应计划进行广泛测试。与没有事件响应团队或没有事件响应计划测试的组织相比，有事件响应团队的组织的泄露节省了266万美元。通过建立详细的网络事件手册，通过桌面演习或在模拟环境(如网络靶场)中进行常规测试，组织可以迅速做出反应，以控制泄露的后果。

    对抗模拟演习，也被称为红队演习，可以通过揭示攻击路径和他们可能缺失的技术，并确定他们的检测和响应能力的差距，提高事件响应团队的有效性。攻击面管理解决方案可以通过模拟真实的攻击来定位以前未知的暴露点，从而帮助组织改善其安全状况。

    安全实践的建议是出于教育目的，不能保证结果。

研究方法

    为了保持保密性，基准测试工具没有获取任何公司特定的信息。数据收集方法排除了实际的会计信息，而是依靠参与者通过在数轴上标记一个范围变量来估计直接成本。参与者被要求在数轴上每个类别的费用范围的上限和下限之间的一个点上标记。

    从数轴得到数值，而不是对每一项提出的成本类别的点估计，保留了机密性并确保较高的反应率。基准工具还要求受访者分别提供间接成本和机会成本的第二次估计。

    为了确保基准测试的可管理规模，我们仔细地将条目限制在我们认为对测量数据泄露成本至关重要的成本活动中心。根据与专家的讨论，最终的一套条目包括一套固定的成本的活动。在收集了基准信息后，我们重新仔细检查每个工具的一致性和完整性。

    我们将数据泄露成本条目的范围限制在已知的成本类别，这些成本类别适用于处理个人信息的广泛业务操作。我们相信，专注于业务流程(而不是数据保护或隐私合规活动)的研究将产生更高质量的结果。

我们如何计算数据泄露的成本

    为了计算一次数据泄露的平均成本，这项研究排除了非常小和非常大的泄露。在2022年的研究中，数据泄露的规模在2200至10.2万份被泄露的记录之间。我们使用了一个单独的分析，以检视大型数据泄露事件的成本，详情请参阅报告的“数据泄露常见问题”部分。

    本研究采用作业成本法，即根据实际使用情况确定作业并分配成本。四个与流程相关的活动驱动了与组织数据泄露相关的一系列支出：检测和升级、通知、泄漏后响应和业务损失。

检测和升级

    使公司能够合理地探测到入侵的活动，包括下列活动:

• 取证和调查活动
• 评估和审计服务
• 危机管理
• 与高管和董事会的沟通

通知

    使公司能够通知数据主体、数据保护监管机构和其他第三方的活动，包括:

• 给数据主体的电子邮件、信件、向外电话或一般通知
• 确定法规要求
• 与监管机构的沟通
• 外部专家的参与

泄露后响应

    帮助受害者与公司沟通的活动，并纠正受害者和监管机构的活动，包括：

• 帮助台和入站通信
• 提供信用监察及身份保护服务-签发新帐户或信用卡
• 法律支出
• 产品的折扣
• 监管机构罚款

业务损失

    尽量减少客户流失、业务中断和收入损失的活动，包括：

• 停机时间导致的系统业务中断和收入损失
• 失去客户和获得新客户的成本
• 声誉损失和商誉下降

数据泄露常见问题解答

什么是数据泄露?

    泄漏的定义是，个人的姓名和医疗记录、财务记录，或借记卡可能受到威胁的事件。这些记录可以是电子格式或纸质格式。该研究包括从2200至102,000份记录被泄露的事件。

什么是入侵记录?

    一种记录，确定在数据泄露中已丢失或被盗的自然人或个人的信息。例如，包含个人姓名、信用卡信息和其他个人身份信息(PII)的数据库或包含投保人姓名和支付信息的健康记录。

如何收集数据?

    我们的研究人员在2021年3月至2022年3月期间，通过对550家遭受数据泄露的组织的3600多名个人的单独采访，收集了深入的定性数据。受访者包括IT、合规和信息安全从业人员，他们熟悉组织的数据泄露事件以及解决这一问题的相关成本。出于隐私目的，我们没有收集组织特定的信息。

你如何计算一次数据泄露的平均成本?

    我们收集了组织发生的直接和间接费用。直接费用包括聘请取证专家、外包热线支持、为未来的产品和服务提供免费信用监测订阅和折扣。间接成本包括内部调查和沟通，以及因人员流动或客户获取率下降而导致的客户流失的推断值。

本研究仅代表与数据泄露经历直接相关的事件。《一般数据保护条例》(GDPR)和《加州消费者隐私法》(CCPA)等法规可能会鼓励组织增加对其网络安全治理技术的投资。然而，这些活动并没有直接影响这项研究的数据泄露成本。

    为了与往年保持一致，我们使用了相同的货币折算方法，而不是调整会计成本。

基准研究与调查研究有何不同?

    在数据泄露成本的报告中，分析单位是组织。在调查研究中，分析的单位是个体。我们招募了550家机构参与这项研究。

单个记录的平均成本可以用来计算数百万记录丢失或被盗凭证的泄露成本吗？

    在我们的研究中，数据泄露的平均成本并不适用于灾难性的或大规模的数据泄露，如Equifax、Capital One或Facebook。这些事件并不是许多组织所经历的典型泄露事件。为了得出对理解数据泄露成本行为有用的结论，我们针对的是没有超过102,000条记录的数据泄露事件。

    用每条记录的成本来计算一次或多次总计数百万条记录的入侵的成本与本研究不一致。然而，这项研究使用了一个模拟框架来衡量涉及100万或更多记录的大型泄露的成本影响，基于13个这种规模的非常大的破坏样本。

为什么要用模拟的方法来估计大规模数据泄露的成本?

    13家经历过重大漏洞的公司的样本量太小，无法使用基于活动的成本方法进行统计上显著的分析。为了解决这个问题，我们部署了蒙特卡洛模拟，通过反复试验来估计一系列可能的(即随机的)结果。

    我们总共进行了超过15万次试验。所有样本均值的总体均值提供了每个数据泄露规模(从100万到6000万记录被泄露)下最可能的结果。

你每年都跟踪同一家公司吗?

    每年的研究都涉及不同的公司样本。为了与之前的报告保持一致，我们每年都会招聘和匹配具有类似特征的公司，比如该公司的行业、员工数量、地理位置和数据泄露的规模。自2005年开始这项研究以来，我们已经研究了5027个组织的数据泄露经历。