Az IBM ma közzétette éves adatvédelmi incidensek költségeiről (CODB) szóló jelentését, amely feltárja az adatvédelmi incidensek növekvő költségeivel kapcsolatos globális és regionális trendeket az egyre kifinomultabb és zavaróbb kiberfenyegetések környezetében. A 2025-ös jelentés az automatizálás és a mesterséges intelligencia (MI) növekvő szerepét vizsgálja az incidensek költségeinek enyhítésében, és első alkalommal tanulmányozta a MI biztonságának és irányításának állapotát.
A jelentés szerint Brazíliában egy adatvédelmi incidens átlagos költsége elérte a 7,19 millió reál dollárt, míg 2024-ben ez a költség 6,75 millió reál volt, ami 6,5%-os növekedést jelent, ami további nyomást jelent a rendkívül összetett kihívásokkal szembesülő kiberbiztonsági csapatokra. Az olyan ágazatok, mint az egészségügy, a pénzügy és a szolgáltatások vezették a leginkább érintettek listáját, átlagosan 11,43 millió, 8,92 millió, illetve 8,51 millió reál dolláros költségekkel.
Brazíliában a biztonságos mesterséges intelligenciát és automatizálást széles körben alkalmazó szervezetek átlagosan 6,48 millió reál dolláros költségekről számoltak be, míg a korlátozott bevezetéssel rendelkezők 6,76 millió reál dolláros költségekről számoltak be. Azoknál a vállalatoknál, amelyek még nem használják ezeket a technológiákat, az átlagos költség 8,78 millió reálra emelkedett, ami rávilágít a mesterséges intelligencia előnyeire a kiberbiztonság erősítésében.
A költségeket növelő tényezők felmérése mellett a 2025-ös adatvédelmi incidensek költségéről szóló jelentés elemezte azokat az elemeket, amelyek csökkenthetik az adatvédelmi incidensek pénzügyi hatásait. A leghatékonyabb kezdeményezések közé tartozik a fenyegetésfelderítés bevezetése (amely átlagosan 655 110 reál dollárral csökkentette a költségeket) és a mesterséges intelligencia irányítási technológiájának használata (629 850 reál). Még ezzel a jelentős költségcsökkentéssel is a jelentés megállapította, hogy a Brazíliában vizsgált szervezeteknek csak 29%-a használ mesterséges intelligencia irányítási technológiát a mesterséges intelligencia modellek elleni támadásokkal kapcsolatos kockázatok enyhítésére. Összességében a mesterséges intelligencia irányítását és biztonságát nagyrészt figyelmen kívül hagyják, a Brazíliában vizsgált szervezetek 87%-a számolt be arról, hogy nincsenek mesterséges intelligencia irányítási szabályzataik, 61%-uk pedig nem rendelkezik mesterséges intelligencia hozzáférés-vezérléssel.
„Tanulmányunk azt mutatja, hogy már most is aggasztó szakadék tátong a mesterséges intelligencia gyors elterjedése, valamint a megfelelő irányítás és biztonság hiánya között, és a rosszindulatú szereplők ezt az űrt kihasználják. A hozzáférés-vezérlés hiánya a mesterséges intelligencia modellekben érzékeny adatokat hozott nyilvánosságra, és növelte a szervezetek sebezhetőségét. Azok a vállalatok, amelyek alábecsülik ezeket a kockázatokat, nemcsak a kritikus információkat teszik ki veszélynek, hanem a teljes működésbe vetett bizalmat is aláássák” – magyarázza Fernando Carbone, az IBM Consulting latin-amerikai biztonsági szolgáltatásokért felelős partnere.
Az adatvédelmi incidensek költségeinek növekedéséhez hozzájáruló tényezők
A biztonsági rendszer összetettsége átlagosan 725 359 reál dollárral növelte a behatolás teljes költségét.
A tanulmány azt is kimutatta, hogy a mesterséges intelligencia eszközeinek jogosulatlan használata (árnyék MI) átlagosan 591 400 reál dolláros költségnövekedést eredményezett. Az MI-eszközök (belső vagy nyilvános) bevezetése pedig – előnyeik ellenére – átlagosan 578 850 reál dollárral növelte az adatvédelmi incidensek költségét.
A jelentés azonosította a brazil adatvédelmi incidensek leggyakoribb kezdeti okait is. Az adathalászat kiemelkedett a fő fenyegetési vektorként, a incidensek 18%-át tette ki, ami átlagosan 7,18 millió brazil reál költséget eredményezett. További jelentős okok közé tartozik a harmadik fél és az ellátási lánc kompromittálása (15%, átlagosan 8,98 millió reál költséggel) és a sebezhetőségek kihasználása (13%, átlagosan 7,61 millió reál költséggel). A feltört hitelesítő adatokat, a belső (véletlen) hibákat és a rosszindulatú behatolókat is jelentették a incidensek okaként, ami jól mutatja a szervezetek által az adatvédelem terén tapasztalt kihívások széles skáláját.
A 2025-ös adatvédelmi incidensek költségeiről szóló jelentés további globális megállapításai:
- A szervezetek 13%-a számolt be mesterséges intelligencia modelleket vagy alkalmazásokat érintő incidensekről, míg 8%-uk nem volt biztos benne, hogy ilyen módon veszélybe kerültek-e. A veszélyeztetett szervezetek 97%-a számolt be arról, hogy nincsenek mesterséges intelligenciával kapcsolatos hozzáférés-vezérléseik.
- A szabálysértéseket tapasztaló szervezetek 63%-a vagy nem rendelkezik MI-irányítási szabályzattal, vagy még fejlesztés alatt áll. A szabályzattal rendelkezők közül mindössze 34% végez rendszeres ellenőrzéseket a MI jogosulatlan használatának felderítése érdekében.
- Minden ötödik szervezet jelentett árnyék-MI miatti incidenst, és csak 37%-uk rendelkezik szabályzatokkal a technológia kezelésére vagy észlelésére. Azok a szervezetek, amelyek magas szintű árnyék-MI-t használtak, átlagosan 670 000 dollárral több költséget tapasztaltak a incidensek miatt, mint azok, amelyek alacsony szintű árnyék-MI-vel vagy egyáltalán nem rendelkeztek. Az árnyék-MI-t érintő biztonsági incidensek több személyazonosításra alkalmas információ (65%) és szellemi tulajdon (40%) veszélyeztetéséhez vezettek a globális átlaghoz (53%, illetve 33%) képest.
- A vizsgált incidensek 16%-ában hackerek használtak mesterséges intelligencián alapuló eszközöket, gyakran adathalász vagy deepfake támadásokhoz.
A jogsértés anyagi következményei.
- Adatvédelmi incidensek költségei. Az adatvédelmi incidensek globális átlagos költsége 4,44 millió dollárra esett vissza, ami öt év óta az első csökkenés, míg az Egyesült Államokban az adatvédelmi incidensek átlagos költsége rekordmagasságot, 10,22 millió dollárt ért el.
- A globális incidensek életciklusa rekordidőt ért el . A incidens azonosításához és elszigeteléséhez (beleértve a szolgáltatás helyreállítását is) szükséges globális átlagos idő 241 napra csökkent, ami 17 napos csökkenést jelent az előző évhez képest, mivel több szervezet észlelte a incidenst belsőleg. Azok a szervezetek, amelyek belsőleg észlelték a incidenst, 900 000 dollárt takarítottak meg a incidensek költségeiben azokhoz képest, akiket a támadó értesített.
- Az egészségügyi szektorban elkövetett szabálysértések továbbra is a legköltségesebbek. Az egészségügyi szektorban elkövetett szabálysértések átlagosan 7,42 millió USD-ba kerültek, így továbbra is a legköltségesebbek voltak az összes vizsgált ágazat közül, még a 2024-es évhez képest 2,35 millió USD-s költségcsökkenés ellenére is. Az ebben az ágazatban elkövetett szabálysértések azonosítása és megfékezése hosszabb időt vesz igénybe, átlagosan 279 napot, ami több mint 5 héttel haladja meg a 241 napos globális átlagot.
- Váltságdíjfizetési fáradtság. Tavaly a szervezetek egyre inkább ellenálltak a váltságdíjköveteléseknek, 63%-uk úgy döntött, hogy nem fizet, szemben az előző évi 59%-kal. Mivel egyre több szervezet megtagadja a váltságdíjfizetést, a zsarolási vagy zsarolóvírus-incidensek átlagos költsége továbbra is magas, különösen akkor, ha egy támadó hozza nyilvánosságra az esetet (5,08 millió dollár).
- Áremelkedések az incidensek után. A incidens következményei az elszigetelési fázison túl is érezhetők. Bár az előző évhez képest csökkent a mutató, a szervezetek közel fele számolt be arról, hogy a biztonsági incidens miatt tervezi az áruk vagy szolgáltatások árának emelését, és közel egyharmaduk 15%-os vagy annál nagyobb áremelkedésről számolt be.
- Stagnálnak a biztonsági beruházások a növekvő mesterséges intelligencia kockázatok közepette. Jelentősen csökkent azoknak a szervezeteknek a száma, amelyek biztonsági incidens utáni biztonsági beruházási tervekről számoltak be: 49% 2025-ben, szemben a 2024-es 63%-kal. Az incidens utáni biztonságba befektetni tervezők kevesebb mint fele fog mesterséges intelligencia alapú biztonsági megoldásokra vagy szolgáltatásokra összpontosítani.
20 évnyi adatvédelmi incidens költsége
A Ponemon Intézet által készített és az IBM által támogatott jelentés az iparág vezető referenciaanyaga az adatvédelmi incidensek pénzügyi hatásainak megértéséhez. A jelentés 600 globális szervezet 2024 márciusa és 2025 februárja közötti tapasztalatait elemezte.
Az elmúlt 20 évben az Adatvédelmi incidensek Költségeiről szóló jelentés közel 6500 adatvédelmi incidenst vizsgált világszerte. 2005-ben az első jelentés megállapította, hogy az összes incidens közel fele (45%) elveszett vagy ellopott eszközökből származott. Csupán 10%-uk volt visszavezethető feltört rendszerekre. 2025-re ugorva a fenyegetési környezet drámaian megváltozott. Napjainkban a fenyegetési környezet túlnyomórészt digitális és egyre inkább célzott, a behatolásokat pedig ma már a rosszindulatú tevékenységek széles skálája vezérli.
Egy évtizeddel ezelőtt a felhőalapú konfigurációs problémákat még csak nem is figyelték. Most ezek a behatolások legfőbb vektorai közé tartoznak. A zsarolóvírusok robbanásszerűen terjedtek a 2020-as lezárások alatt, a behatolások átlagos költsége pedig a 2021-es 4,62 millió dollárról 2025-re 5,08 millió dollárra nőtt.
A teljes jelentés eléréséhez látogasson el az IBM hivatalos weboldalára itt .
