IBM近日发布《2022年企业资料外泄成本报告》（以下简称报告），调查指出约80%的关键基础设施未采行「零信任」安全原则，60%遭遇资料外泄的企业事後提高产品价格，转嫁成本；资安人员配额不足，垫高企业应对资料外泄的成本；显示资料外泄事件为全球企业和组织造成的经济损失和负面影响，金额与广度皆达到历史新高

/news/2022/08/04/0942053670S.jpg

单起资料外泄事件为受访企业增加的平均成本高达435万美元，创下此年度报告制作发表以来的最高金额。报告分析，全球企业资料外泄成本在过去两年间上升近13%。企业资料外泄可能是导致商品和服务成本上涨的原因之一；在全球通货膨胀和供应链「断链」导致商品成本??升的背景之下，60% 的受访企业表示他们在资料外泄事件发生後，提高了产品或服务价格。

83% 的受访企业通过这份IBM报告表示，他们曾遭遇不止一次资料外泄事件；持续不断的网路攻击导致的资料外泄，成为企业「挥之不去的梦魇」。此外，资料外泄对企业造成的「後遗症」随着时间推移而加剧，近50% 的企业成本是在事件发生超过一年之後才反映出来。

这项由IBM Security主持与分析、美国Ponemon 研究中心执笔的《2022 年资料外泄成本报告》，深入分析了全球550家企业与组织在2021年3月至2022年3月间遭遇的真实资料外泄事件。本报告的几项重要发现包括：

冘 关键基础设采用零信任安全原则 (Zero Trust) 的进度缓慢，近80% 受访的关键基础设施型企业尚未采用零信任策略，而其资料外泄的平均成本高达540万美元，比已采用零信任策略的企业高出117万美元。在未采用零信任策略的企业所遭遇的资料外泄事件中，28% 是因勒索软件或破坏性攻击造成的。

冘 企业单纯地支付勒索软件「赎金」并非有效的策略，发生资料外泄事件时，选择向威胁者支付勒索软件赎金的企业仅比拒付赎金者的成本平均少61万美元，这还不包括赎金本身。如果将高昂的赎金（根据Sophos资料显示，2021年平均勒索赎金为81.2 万美元）纳入成本考量，交付赎金的受害企业遭受的经济损失可能更大。因此，单纯地支付赎金并非有效的企业策略。

冘 多云安全尚不成熟，43% 的受访企业表示尚未开始在其多云环境中部署安全解决方案、或是尚处於早期部署阶段；他们支付的资料外泄成本比已经在多云环境中部署了成熟的安全措施的受访者，平均高出66万美元。

冘 采用具备AI与自动化能力的安全解决方案，可为企业节省数百万美元， 已经全面部署AI和自动化安全解决方案的受访企业，其资料外泄的平均成本要比未部署相关技术的企业少305万美元。这是此次研究发现最具成本效益的作法。

IBM Security X-Force 全球负责人 Charles Henderson 表示：「面对攻击，企业应采取『先发制人、主动出击』的安全防护策略，阻止攻击者达到不法目的，将攻击造成的影响降到最低。越是采取守势、而非提升侦测与应对攻击能力的企业，反倒有可能遭遇更多的资料外泄事件，并导致成本??升。从IBM这份报告可以看出，当企业遭遇攻击时，采用正确的策略和科技技术可以创造截然不同的结果。」

过去一年，全球各国政府的网路安全机构纷纷敦促关键型基础设施企业，加强警戒破坏式的网路攻击。IBM报告显示，受访的关键基础设施企业的资料外泄事件，有28%由勒索软件和破坏式攻击造成；黑客正在透过攻击基础设施型企业，如金融服务、制造工业、交通运输和医疗照护等，破坏与之紧密依存的全球供应链。

尽管各国政府持续呼吁相关企业与组织加强警惕，但只有21%的受访关键型基础设施企业采用了零信任安全原则。此外，关键基础设施企业所遭遇的资料外泄事件中，有17% 是受其合作夥伴遭受的攻击波及，凸显了其过度信任的环境所存在的安全风险。

报告显示，选择向威胁者支付勒索软件赎金的企业，仅比拒付赎金企业的平均资料外泄成本少61万美元，这还不包括已经支付的赎金。如果计入平均赎金金额（Sophos资料显示，2021年赎金高达81.2万美元），选择支付赎金的企业遭受经济损失可能会更高。这些妥协行为可能在无意间为未来的勒索攻击??注了资金。

尽管全球各国付出极大心力对抗勒索软件攻击，但是网路犯罪「产业化」不断推进勒索软件的发展。IBM Security X-Force发现过去三年间，受访企业遭遇勒索软件攻击的持续时间从原来的两个多月缩短至四天以内，大幅下降94%。网路攻击生命周期「指数级」的缩短，造成的影响可能更为严重；因为网路安全事件回应人员进行检测和遏制攻击的「跑道」变得非常短。随着发动勒索的时间骤减到几个小时，企业必须将预先严谨测试事件回应（IR）列为优先工作项目。但从本次调查结果来看，虽然高达37% 的受访组织已经制定了 IR 计画，却并没有定期演练。

混合云是本次近半数受访企业采用的IT环境，采用率45%。采用混合云架构的企业资料外泄平均成本为380万美元，低於单纯采用公有云（502 万美元）或私有云（424 万美元）模式的企业。550家受访企业从发现到阻止资料外泄平均耗费277天，而采用混合云架构的受访企业可以少15天。

这份报告研究的全数企业资料外泄事件中，45% 发生在云端，可见云端安全的重要性。然而，43% 的受访企业表示他们尚未着手为云运算环境部署安全解决方案，或者才刚起步，因此这些企业花费在应对资料外泄的平均成本也较高；与在所有领域持续部署安全解决方案的受访企业相比，他们发现与阻止资料外泄平均耗时需要增加108天。

IBM《2022 年企业资料外泄成本报告》还有以下三项发现：

冘 网路钓鱼为企业资料外泄造成了最大的成本负担，凭证遭窃是导致资料外泄最常见的原因，占19%；网路钓鱼虽然位居第二 (16%)，却是让受访企业因资料外泄付出最高成本的原因，平均成本达491万美元。

冘 医疗照护行业的资料外泄成本达两位数成长，突破千万美元，创历史新高  医疗照护行业已经连续12年成为资料外泄平均成本最高的行业；其资料外泄成本在2022年增加将近100 万美元，来到史上最高的1,010万美元。

冘 安全人员配置不足，62% 的受访企业表示现有编制无法满足其资安需求，他们的资料外泄平均成本比人员配置充足的企业高出55万美元。