IBM hari ini merilis laporan tahunan Cost of a Data Breach (CODB), yang mengungkap tren global dan regional terkait meningkatnya biaya pelanggaran data di tengah lanskap ancaman siber yang semakin canggih dan disruptif. Laporan tahun 2025 ini mengeksplorasi peran otomatisasi dan kecerdasan buatan (AI) yang semakin besar dalam memitigasi biaya pelanggaran dan, untuk pertama kalinya, mempelajari kondisi keamanan dan tata kelola AI.
Laporan tersebut menunjukkan bahwa biaya rata-rata pelanggaran data di Brasil mencapai R$ 7,19 juta, sementara pada tahun 2024 biayanya mencapai R$ 6,75 juta, meningkat 6,5%, yang menandakan tekanan tambahan pada tim keamanan siber yang menghadapi tantangan yang sangat kompleks. Sektor-sektor seperti Kesehatan, Keuangan, dan Jasa memimpin daftar sektor yang paling terdampak, dengan biaya rata-rata masing-masing sebesar R$ 11,43 juta, R$ 8,92 juta, dan R$ 8,51 juta.
Di Brasil, organisasi yang secara ekstensif mengadopsi AI dan otomatisasi yang aman melaporkan biaya rata-rata sebesar R$ 6,48 juta, sementara organisasi dengan implementasi terbatas melaporkan biaya sebesar R$ 6,76 juta. Bagi perusahaan yang belum menggunakan teknologi ini, biaya rata-rata meningkat menjadi R$ 8,78 juta, yang menyoroti keunggulan AI dalam memperkuat keamanan siber.
Selain menilai faktor-faktor yang meningkatkan biaya, Laporan Biaya Pelanggaran Data 2025 menganalisis elemen-elemen yang dapat mengurangi dampak finansial dari pelanggaran data. Di antara inisiatif yang paling efektif adalah penerapan intelijen ancaman (yang mengurangi biaya rata-rata R$ 655.110) dan penggunaan teknologi tata kelola AI (R$ 629.850). Bahkan dengan pengurangan biaya yang signifikan ini, laporan tersebut menemukan bahwa hanya 29% organisasi yang diteliti di Brasil yang menggunakan teknologi tata kelola AI untuk memitigasi risiko yang terkait dengan serangan pada model AI. Secara keseluruhan, tata kelola dan keamanan AI sebagian besar diabaikan, dengan 87% organisasi yang diteliti di Brasil melaporkan bahwa mereka tidak memiliki kebijakan tata kelola AI dan 61% tidak memiliki kontrol akses AI.
"Studi kami menunjukkan bahwa sudah terdapat kesenjangan yang mengkhawatirkan antara adopsi AI yang pesat dan kurangnya tata kelola serta keamanan yang memadai, dan para pelaku kejahatan memanfaatkan kekosongan ini. Ketiadaan kontrol akses dalam model AI telah mengekspos data sensitif dan meningkatkan kerentanan organisasi. Perusahaan yang meremehkan risiko ini tidak hanya membahayakan informasi penting, tetapi juga mengorbankan kepercayaan dalam keseluruhan operasi," jelas Fernando Carbone, Partner Layanan Keamanan di IBM Consulting di Amerika Latin.
Faktor-faktor yang berkontribusi terhadap peningkatan biaya pelanggaran data
Kompleksitas sistem keamanan berkontribusi, rata-rata, terhadap peningkatan R$ 725.359 dalam total biaya pelanggaran.
Studi ini juga menunjukkan bahwa penggunaan perangkat AI tanpa izin (shadow AI) menghasilkan peningkatan biaya rata-rata sebesar R$591.400. Sementara itu, adopsi perangkat AI (internal maupun publik), terlepas dari manfaatnya, justru menambah biaya rata-rata sebesar R$578.850 akibat pelanggaran data.
Laporan tersebut juga mengidentifikasi penyebab awal paling sering terjadinya pelanggaran data di Brasil. Phishing menjadi vektor ancaman utama, mencakup 18% pelanggaran, dengan kerugian rata-rata R$ 7,18 juta. Penyebab signifikan lainnya meliputi kompromi oleh pihak ketiga dan rantai pasokan (15%, dengan kerugian rata-rata R$ 8,98 juta) dan eksploitasi kerentanan (13%, dengan kerugian rata-rata R$ 7,61 juta). Kredensial yang disusupi, kesalahan internal (tidak disengaja), dan infiltrator jahat juga dilaporkan sebagai penyebab pelanggaran, yang menunjukkan beragamnya tantangan yang dihadapi organisasi dalam perlindungan data.
Temuan global lainnya dari laporan Biaya Pelanggaran Data tahun 2025:
- 13% organisasi melaporkan pelanggaran yang melibatkan model atau aplikasi AI, sementara 8% tidak yakin apakah mereka telah disusupi dengan cara ini. Dari organisasi yang disusupi, 97% melaporkan tidak memiliki kontrol akses AI.
- 63% organisasi yang mengalami pelanggaran tidak memiliki kebijakan tata kelola AI atau masih mengembangkannya. Di antara mereka yang memiliki kebijakan, hanya 34% yang melakukan audit rutin untuk mendeteksi penggunaan AI yang tidak sah.
- Satu dari lima organisasi melaporkan pelanggaran akibat AI bayangan, dan hanya 37% yang memiliki kebijakan untuk mengelola atau mendeteksi teknologi ini. Organisasi yang menggunakan AI bayangan tingkat tinggi mengalami biaya pelanggaran rata-rata sebesar $670.000 lebih tinggi dibandingkan dengan organisasi dengan AI bayangan tingkat rendah atau tanpa AI bayangan. Insiden keamanan yang melibatkan AI bayangan menyebabkan lebih banyak informasi identitas pribadi (65%) dan kekayaan intelektual (40%) yang dikompromikan dibandingkan dengan rata-rata global (masing-masing 53% dan 33%).
- 16% pelanggaran yang diteliti melibatkan peretas yang menggunakan alat AI, sering kali untuk serangan phishing atau deepfake.
Biaya finansial akibat pelanggaran.
- Biaya pelanggaran data. Rata-rata biaya pelanggaran data global turun menjadi $4,44 juta, penurunan pertama dalam lima tahun, sementara biaya rata-rata pelanggaran di AS mencapai rekor tertinggi sebesar $10,22 juta.
- Siklus hidup pelanggaran global mencapai rekor waktu . Rata-rata waktu global untuk mengidentifikasi dan mengatasi pelanggaran (termasuk pemulihan layanan) telah turun menjadi 241 hari, berkurang 17 hari dari tahun sebelumnya, karena lebih banyak organisasi yang mendeteksi pelanggaran secara internal. Organisasi yang mendeteksi pelanggaran secara internal juga menghemat biaya pelanggaran sebesar $900.000 dibandingkan dengan mereka yang dilaporkan oleh penyerang.
- Pelanggaran di sektor kesehatan tetap menjadi yang paling mahal. Dengan rata-rata kerugian sebesar US$7,42 juta, pelanggaran di sektor kesehatan tetap menjadi yang paling mahal di antara semua sektor yang diteliti, meskipun terdapat pengurangan biaya sebesar US$2,35 juta dibandingkan tahun 2024. Pelanggaran di sektor ini membutuhkan waktu lebih lama untuk diidentifikasi dan ditangani, dengan waktu rata-rata 279 hari, lebih dari 5 minggu di atas rata-rata global yang mencapai 241 hari.
- Kelelahan membayar tebusan. Tahun lalu, organisasi semakin menolak tuntutan tebusan, dengan 63% memilih untuk tidak membayar, dibandingkan dengan 59% pada tahun sebelumnya. Karena semakin banyak organisasi yang menolak membayar tebusan, biaya rata-rata insiden pemerasan atau ransomware tetap tinggi, terutama ketika diungkapkan oleh penyerang ($5,08 juta).
- Kenaikan harga setelah pelanggaran. Konsekuensi pelanggaran terus berlanjut melampaui fase penanggulangan. Meskipun menurun dibandingkan tahun sebelumnya, hampir separuh dari seluruh organisasi melaporkan bahwa mereka berencana untuk menaikkan harga barang atau jasa akibat pelanggaran, dan hampir sepertiganya melaporkan kenaikan harga sebesar 15% atau lebih.
- Stagnasi investasi keamanan di tengah meningkatnya risiko AI. Terjadi penurunan signifikan jumlah organisasi yang melaporkan rencana investasi keamanan pasca-pelanggaran: 49% pada tahun 2025, dibandingkan dengan 63% pada tahun 2024. Kurang dari separuh organisasi yang berencana berinvestasi keamanan pasca-pelanggaran akan berfokus pada solusi atau layanan keamanan berbasis AI.
20 tahun biaya pelanggaran data
Laporan yang disusun oleh Ponemon Institute dan disponsori oleh IBM ini merupakan referensi terkemuka di industri untuk memahami dampak finansial dari pelanggaran data. Laporan ini menganalisis pengalaman 600 organisasi global antara Maret 2024 dan Februari 2025.
Selama 20 tahun terakhir, laporan Biaya Pelanggaran Data telah menyelidiki hampir 6.500 pelanggaran di seluruh dunia. Pada tahun 2005, laporan perdananya menemukan bahwa hampir separuh dari semua pelanggaran (45%) berasal dari perangkat yang hilang atau dicuri. Hanya 10% yang disebabkan oleh sistem yang diretas. Melangkah ke tahun 2025, lanskap ancaman telah berubah drastis. Saat ini, lanskap ancaman didominasi oleh digital dan semakin tertarget, dengan pelanggaran kini didorong oleh berbagai aktivitas berbahaya.
Satu dekade lalu, masalah kesalahan konfigurasi cloud bahkan tidak dipantau. Kini, masalah tersebut menjadi salah satu vektor pelanggaran teratas. Ransomware meledak selama masa karantina wilayah tahun 2020, dengan biaya rata-rata pelanggaran meningkat dari $4,62 juta pada tahun 2021 menjadi $5,08 juta pada tahun 2025.
Untuk mengakses laporan lengkap, kunjungi situs web resmi IBM di sini .
