IBM報告|全球數據外洩成本為444萬美元 5年來首下降
IBM 發布第 20 份《數據外洩成本報告》,顯示美國企業因數據外洩產生的平均損失再創新高,達到 1,022 萬美元,較去年上升 9%。相較之下,全球平均成本則下降了 9%,僅為 444 萬美元,屬 5 年來首次下降。外洩成因仍然以惡意行為佔比最高,其次為人為失誤。
速度就是金錢
IBM 安全專家 Troy Bettencourt 表示,美國成本升高的主要原因在於越來越高的監管罰款,以及用於偵測與升級應對的支出增加,突顯美國組織在數據外洩事件中,承擔了遠高於全球其他地區的財務壓力。
統計又指出,檢測及遏制一宗數據外洩事件,平均需時 241 天,創下九年來最短紀錄。IBM 強調「速度就是金錢」,偵測時間縮短可減輕企業損失,「縮短外洩事件持續時間意味著更少的業務中斷、更快的圍堵,以及攻擊者取得敏感資料的機會更低」。
檢測與升級成最大支出項目
報告分析了全球 600 間企業於 2024 年 3 月至 2025 年 2 月間的數據外洩經歷,發現檢測與升級支出雖然下降約一成來到 147 萬美元,卻仍連續四年成為最大支出項目。此外,平均業務損失為 138 萬美元,事後應對費用約為 120 萬美元,通知受影響者的成本則近 39 萬美元。
值得注意的是,醫療產業連續第 14 年,成為數據外洩影響最嚴重的行業,每案平均損失高達 742 萬美元,其次為金融、工業、能源及科技行業。儘管多數行業今年數據外洩成本呈下降,但娛樂、媒體、旅遊、教育、科研、零售及公共部門則逆勢上升。
拒絕支付贖金機構增加
關於數據外洩的起因,惡意行為(包括網絡攻擊)佔比最高,達到 51%;人為失誤佔 26%;IT 系統故障則佔 23%。最常見的攻擊手法是釣魚郵件(16%),其次為供應鏈攻擊(15%)與阻斷服務攻擊(13%)。此外,近三分之二的受訪企業表示,在外洩事件發生後的 100 多天內仍在努力復原,約四分之一需時 101 至 125 天才能完全恢復,另有四分之一則需 126 至 150 天。
在應對勒索軟件方面,拒絕支付贖金的機構數量逐年上升,從 2024 年的 59% 增至 2025 年的 63%,反映企業對犯罪集團的妥協度降低。然而,AI 相關的網安事件也逐步增多,全球有 13% 受訪企業曾遇到 AI 模型或應用遭攻擊,其中 31% 個案導致敏感數據外洩及營運中斷。
總括而言,報告揭示了偵測效率提升,帶來成本下降的曙光,但在高額監管壓力以及新興如 AI 等技術風險下,企業對數據保護與應變能力仍須大幅加強,企業員工防範意識與 IT 資源管理同樣是不可忽視的重點。