- 盡管全球數(shù)據(jù)泄露的平均成本降至 444 萬美元���,美國(guó)企業(yè)的相關(guān)損失卻攀升至 1022 萬美元��;
- 在遭遇數(shù)據(jù)泄露的企業(yè)中����,僅有 49% 的企業(yè)計(jì)劃加強(qiáng)安全投入����。
北京2025年8月4日 /美通社/ -- IBM 近日發(fā)布的《2025年數(shù)據(jù)泄露成本報(bào)告》顯示,當(dāng)前 AI 應(yīng)用的推進(jìn)速度遠(yuǎn)快于其安全治理體系的建設(shè)����。該報(bào)告首次針對(duì) AI 系統(tǒng)的安全防護(hù)、治理機(jī)制及訪問控制展開研究�,盡管遭遇 AI 相關(guān)安全漏洞的機(jī)構(gòu)在調(diào)研樣本中占比不高,一個(gè)既定事實(shí)是:AI 已成為高價(jià)值���、低門檻的網(wǎng)絡(luò)攻擊目標(biāo)�。
IBM發(fā)布《2025年數(shù)據(jù)泄露成本報(bào)告》
- 13% 的受訪企業(yè)報(bào)告了 AI 模型或應(yīng)用的安全漏洞,另有 8% 表示不確定是否遭遇過此類事件����;
- 在遭遇AI安全漏洞的企業(yè)中,絕大部分(97%)尚未部署 AI 訪問控制機(jī)制���;
- 由此導(dǎo)致 60% 的 AI 安全事件造成數(shù)據(jù)泄露,31% 引發(fā)業(yè)務(wù)中斷�。
本年度的調(diào)研結(jié)果揭示,許多企業(yè)為了加速AI 應(yīng)用而繞過安全治理���。缺乏監(jiān)管的AI系統(tǒng)更易遭受攻擊���,且造成的損失更為慘重。
IBM 安全和運(yùn)行時(shí)產(chǎn)品副總裁 Suja Viswesan 指出:"數(shù)據(jù)表明 AI 應(yīng)用與監(jiān)管之間已存在斷層���,網(wǎng)絡(luò)攻擊者正伺機(jī)而動(dòng)����。上述報(bào)告顯示�,企業(yè)的AI 系統(tǒng)普遍缺乏基本的訪問控制�,導(dǎo)致敏感數(shù)據(jù)暴露���、模型易被篡改���。隨著 AI 深度融入業(yè)務(wù)運(yùn)營(yíng),其安全防護(hù)必須成為重中之重���。不作為的代價(jià)不僅是經(jīng)濟(jì)損失�����,更將損害用戶信任��、透明度和控制力����。"
報(bào)告同時(shí)揭示:在安全運(yùn)營(yíng)中廣泛采用 AI 與自動(dòng)化技術(shù)的企業(yè)�����,其數(shù)據(jù)泄露損失平均減少 190 萬美元��,且處理周期平均減少 80 天。
該報(bào)告由 Ponemon Institute 執(zhí)行�、IBM 贊助分析,數(shù)據(jù)來源于 2024 年 3 月至 2025年 2 月全球 600 家機(jī)構(gòu)遭遇的數(shù)據(jù)泄露事件���。該報(bào)告中關(guān)于 AI 安全漏洞����、經(jīng)濟(jì)損失及業(yè)務(wù)中斷的關(guān)鍵發(fā)現(xiàn)如下:
AI 時(shí)代的安全漏洞
- AI 治理政策:在遭遇數(shù)據(jù)泄露的機(jī)構(gòu)中�,63% 尚未建立 AI 治理政策或仍在制定中。在已制定AI 治理政策的機(jī)構(gòu)中���,僅有 34% 會(huì)對(duì)非授權(quán) AI 工具進(jìn)行定期審計(jì)。
- 影子 AI 的代價(jià):五分之一的企業(yè)報(bào)告稱曾因影子 AI(非監(jiān)管狀態(tài)下的 AI 工具使用)導(dǎo)致數(shù)據(jù)泄露����,僅 37% 的企業(yè)制定了管理或檢測(cè)影子 AI 的政策。與較少使用影子AI的企業(yè)相比����,使用率高的企業(yè)平均數(shù)據(jù)泄露成本多出 67 萬美元。涉及影子 AI 的安全事件導(dǎo)致個(gè)人身份信息 (65%) 和知識(shí)產(chǎn)權(quán) (40%) 泄露比例遠(yuǎn)超全球均值(分別為 53% 和 33%)���。
- AI 驅(qū)動(dòng)的智能攻擊:研究顯示����,16% 的數(shù)據(jù)泄露事件都涉及AI 工具的使用,主要用于網(wǎng)絡(luò)釣魚或借助深度偽造的網(wǎng)絡(luò)攻擊����。
數(shù)據(jù)泄露的經(jīng)濟(jì)損失
- 數(shù)據(jù)泄露的成本:全球數(shù)據(jù)泄露平均成本降至 444 萬美元,為五年來首次下降�,而美國(guó)企業(yè)的平均泄露成本卻創(chuàng)下 1022 萬美元的新高。
- 全球泄露處理周期創(chuàng)新低:隨著更多企業(yè)實(shí)現(xiàn)內(nèi)部漏洞自檢���,全球平均泄露處理周期(含服務(wù)恢復(fù)的漏洞識(shí)別與控制時(shí)間)縮短至 241 天��,較上年減少 17 天���。相比被外部攻擊揭露的漏洞,通過內(nèi)部檢測(cè)發(fā)現(xiàn)漏洞的機(jī)構(gòu)平均減少90 萬美元損失�����。
- 醫(yī)療行業(yè)泄露成本仍居首位���。盡管醫(yī)療行業(yè)的數(shù)據(jù)泄露成本較 2024 年下降 235 萬美元��,其 742 萬美元的平均損失仍在調(diào)研的所有行業(yè)中居首��。該行業(yè)的漏洞識(shí)別與控制周期長(zhǎng)達(dá) 279 天����,比全球均值(241 天)多出 5 周以上。
- 勒索支付被更多企業(yè)抵制���。去年企業(yè)拒絕支付贖金的比例上升���,63% 的機(jī)構(gòu)選擇拒付(2024 年為 59%)。盡管更多企業(yè)抵制勒索����,敲詐及勒索軟件事件的平均成本仍居高不下——尤其當(dāng)漏洞由攻擊者披露時(shí),損失高達(dá) 508 萬美元��。
- AI 風(fēng)險(xiǎn)攀升下的安全投入增長(zhǎng)乏力����。2025 年計(jì)劃在數(shù)據(jù)泄露后增加安全投入的企業(yè)比例顯著下降�����,從 2024 年的 63% 降至 49%�。而在計(jì)劃追加投入的企業(yè)中,關(guān)注 AI 驅(qū)動(dòng)的安全方案或服務(wù)的機(jī)構(gòu)不足半數(shù)。
數(shù)據(jù)泄露的長(zhǎng)尾效應(yīng):運(yùn)營(yíng)中斷
根據(jù) 2025 年《數(shù)據(jù)泄露成本報(bào)告》���,幾乎所有受訪企業(yè)在數(shù)據(jù)泄露后都遭遇了運(yùn)營(yíng)中斷�����。這種中斷嚴(yán)重拖累了恢復(fù)進(jìn)度����,在報(bào)告恢復(fù)情況的企業(yè)中���,大多數(shù)平均耗時(shí)超 100 天����。
然而����,數(shù)據(jù)泄露的影響遠(yuǎn)不止于漏洞控制階段:盡管比例同比有所下降,但近半數(shù)企業(yè)計(jì)劃因泄露事件提高商品或服務(wù)價(jià)格�,其中近三分之一的企業(yè)漲價(jià)幅度達(dá) 15% 及以上。
關(guān)于《數(shù)據(jù)泄露成本報(bào)告》
《數(shù)據(jù)泄露成本報(bào)告》在過去 20 年里累計(jì)調(diào)研了近 6500 起數(shù)據(jù)泄露事件��。自 2005 年首次發(fā)布以來�,數(shù)據(jù)泄露事件的本質(zhì)已發(fā)生巨變:早期風(fēng)險(xiǎn)主要來自實(shí)體層面����,如今����,網(wǎng)絡(luò)攻擊已全面數(shù)字化且針對(duì)性更強(qiáng),泄露事件的背后是一系列更復(fù)雜的惡意活動(dòng)���。
隨著企業(yè)AI 應(yīng)用的加速����,本年度《數(shù)據(jù)泄露成本報(bào)告》首次聚焦以下領(lǐng)域:AI 安全防護(hù)與治理機(jī)制現(xiàn)狀���、AI 安全事件中的目標(biāo)數(shù)據(jù)類型�����、AI 驅(qū)動(dòng)型攻擊的關(guān)聯(lián)損失����、影子 AI的泛濫程度及風(fēng)險(xiǎn)特征��。結(jié)合往期報(bào)告中的研究發(fā)現(xiàn):
- 2005 年:近半數(shù) (45%) 數(shù)據(jù)泄露由筆記本電腦或 U 盤等設(shè)備丟失引發(fā)�����,僅 10% 源于電子系統(tǒng)遭入侵�。
- 2015 年:云環(huán)境的配置錯(cuò)誤尚未被列為獨(dú)立威脅類別,如今已成主要攻擊目標(biāo)����。
- 2020 年:勒索軟件攻擊激增,2021 年關(guān)聯(lián)泄露平均成本達(dá) 462 萬美元��,到2025年該數(shù)字攀升至 508 萬美元(前提是事件由攻擊者披露)�����。
- 2025 年:本年度首次納入研究的 AI 安全領(lǐng)域����,正快速成為高價(jià)值攻擊目標(biāo)。
其他信息:
關(guān)于IBM
IBM 是全球領(lǐng)先的混合云、人工智能及企業(yè)服務(wù)提供商�����,幫助超過 175 個(gè)國(guó)家和地區(qū)的客戶����,從其擁有的數(shù)據(jù)中獲取商業(yè)洞察,簡(jiǎn)化業(yè)務(wù)流程����,降低成本,并獲得行業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì)���。金融服務(wù)�、電信和醫(yī)療健康等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的超過 4000 家政府和企業(yè)實(shí)體依靠 IBM 混合云平臺(tái)和紅帽 OpenShift 快速��、高效���、安全地實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型�。IBM 在人工智能����、量子計(jì)算、行業(yè)云解決方案和企業(yè)服務(wù)方面的突破性創(chuàng)新為我們的客戶提供了開放和靈活的選擇�����。對(duì)企業(yè)誠(chéng)信���、透明治理����、社會(huì)責(zé)任����、包容文化和服務(wù)精神的長(zhǎng)期承諾是 IBM 業(yè)務(wù)發(fā)展的基石。了解更多信息���,請(qǐng)?jiān)L問:https://www.ibm.com/cn-zh
IBM 媒體聯(lián)系人:
IBM中國(guó)公關(guān)部 崔守峰
shou.feng.cui@ibm.com
