用户买单？2022年数据泄露平均成本达440万美元

7月27日发布的年度报告显示，60%的数据泄露导致公司通过提高价格来补偿罚款、清理和技术改进的成本，实质上就是让消费者为数据泄露和公司缺乏准备买单。

《2022年数据泄露成本报告》基于对550家公司的高管和安全专业人员的调查访问，报告显示，数据泄露的成本在2022年延续上升趋势，全球平均成本高达440万美元（比2020年增加13%) ，美国的数据泄露平均成本甚至达到940万美元之巨。公司平均需要277天来识别和遏制数据泄露，比2021年的287天略有改善，但83%的公司在2022年遭遇不止一次数据泄露。

“很明显，网络攻击正在演变为市场压力源，可引发连锁反应；而且我们可以看到，这些数据泄露还在为通胀压力添砖加瓦。”IBM Security X-Force研究团队战略主管John Hendley表示，“我们不得不将网络事件视为能够收紧经济的因素，类似新冠疫情、俄乌冲突、燃气价格等等。”

商业电邮欺诈和网络钓鱼攻击引发高成本数据泄露事件（数百万美元级别）

这份年度报告基于波耐蒙研究所进行的调查，而且并非首次尝试评估数据泄露对企业资产负债表的影响。去年，安全运营公司IronNet 一项调查发现，大多数公司都受到网络管理公司SolarWinds供应链攻击的影响，处理该事件的开销令公司平均损失11%的营收。 

总体而言，专家估计该事件将致SolarWinds损失约1800万美元，但会令1.8万家受影响的企业和政府机构损失多达1000亿美元的清理费用。

落在消费者头上的“网络税”

Hendley指出，虽然网络安全专家不断敦促公司做好系统被黑的准备，但他们仍然在制止攻击者方面问题重重，而且公司会将网络安全成本转嫁给消费者。他认为，这表明数据泄露和网络攻击实质上就是在产生网络税，增加了下游消费者和客户的成本。

“只要想到83%的企业在其存在期间至少会遭遇一次数据泄露，就很难说我们需要应用惩罚性赔偿来帮助防止数据泄露。”Hendley称，“恶意黑客总有办法入侵，所以我认为，我们可以拥有的最佳安全投资，是尝试从保护边界转变为像攻击者一样思考。”

除了给数据泄露和罚款贴上网络税的标签，这份报告还强调了网络安全行业中的各种趋势。例如，如果能将数据泄露检测与响应时间减少到不到200天，公司就可以节省110万美元，即节省数据泄露平均成本的23%。

医疗保健行业的数据泄露成本最高 

取决于受影响行业的类型，单起数据泄露事件的成本差异很大。监管严格的医疗保健行业仍是数据泄露成本最高的行业，2022年每起数据泄露事件的平均成本高达1000万美元，而金融公司每起泄露事件平均支出600万美元，是数据泄露成本第二高的行业。制药公司和科技公司并列第三，每起数据泄露事件支出500万美元。

尽管有迹象表明勒索软件攻击有所下降（今年到目前为止），勒索软件仍旧对业务产生重大影响。调查发现，支付赎金的公司在清理成本方面花费较少，但高额赎金抵消了省下来的大部分清理开支。此外，安全公司CyberReason去年发布的《勒索软件：真实的业务成本》报告显示，支付赎金的公司中80%都再次遭到了攻击。

网络钓鱼攻击的成本更胜一筹

其他研究凸显出了勒索软件对尚未准备好应对破坏性攻击的公司所造成的影响。遭遇勒索软件攻击的全球公司中有三分之二遭受了重大营收损失，受访美国公司中则是58%遭受了重大损失。总体而言，这些攻击导致31%的全球公司停止了部分业务。

数字风险保护公司Digital Shadows高级网络威胁情报分析师Nicole Hoffman表示：“选择支付赎金的勒索软件受害者与拒绝支付赎金的受害者之间的成本差异很有意思。支付赎金的受害者通常会在遭遇初次攻击后的几个月内再次成为攻击目标，这会大大增加经济损失。在做是否支付赎金的艰难商业决策时，这些都是需要考虑的重要因素。”

即便如此，最初的攻击渠道也对成本具有重大影响。商务电邮入侵（BEC）和网络钓鱼攻击导致的数据泄露平均成本最高：每起事件约为490万美元；第三方漏洞和被盗凭证造成的平均损失约为每起事件450万美元。

这份IBM和波耐蒙研究所的报告还明确指出了可能对数据泄露成本形成巨大影响的几种技术。使用人工智能和机器学习（AI/ML）技术、设置DevSecOps流程，以及组建事件响应团队，平均每起事件分别可为公司节省约30万美元、27.6万美元和25.3万美元。 

相较之下，安全系统过于复杂、正在将业务迁移到云端，以及存在不合规现象的话，每起事件的平均成本就会增加很多。

该报告基于对来自550家不同规模公司的员工的3600多份访谈，重点关注泄露规模在2200到10.2万条记录的数据泄露事件，规模超出此范围的数据泄露事件不包括在内。