IBM gaf í dag út árlega skýrslu sína um kostnað vegna gagnaleka (CODB), sem sýnir fram á alþjóðlegar og svæðisbundnar þróun tengdar vaxandi kostnaði við gagnaleka í landslagi sífellt flóknari og truflandi netógna. Skýrslan frá 2025 kannar vaxandi hlutverk sjálfvirkni og gervigreindar (AI) í að draga úr kostnaði við gagnaleka og rannsakaði í fyrsta skipti stöðu öryggis og stjórnarhátta á sviði gervigreindar.
Í skýrslunni kom fram að meðalkostnaður vegna gagnaleka í Brasilíu hafi náð 7,19 milljónum randa, en árið 2024 hafi kostnaðurinn verið 6,75 milljónir randa, sem er 6,5% aukning, sem eykur álagið á netöryggisteymi sem standa frammi fyrir mjög flóknum áskorunum. Geirar eins og heilbrigðisþjónusta, fjármálageirar og þjónusta voru efst á lista yfir þá sem urðu fyrir mestum áhrifum, með meðalkostnað upp á 11,43 milljónir randa, 8,92 milljónir randa og 8,51 milljón randa, talið í sömu röð.
Í Brasilíu greindu fyrirtæki sem ítarlega innleiða örugga gervigreind og sjálfvirkni frá meðalkostnaði upp á 6,48 milljónir randa, en þau sem höfðu takmarkaða innleiðingu greindu frá kostnaði upp á 6,76 milljónir randa. Fyrir fyrirtæki sem nota ekki enn þessa tækni hækkaði meðalkostnaðurinn í 8,78 milljónir randa, sem undirstrikar kosti gervigreindar við að styrkja netöryggi.
Auk þess að meta þá þætti sem auka kostnað, greindi skýrslan um kostnað vegna gagnaleka frá árinu 2025 þætti sem geta dregið úr fjárhagslegum áhrifum gagnaleka. Meðal áhrifaríkustu aðgerðanna er innleiðing ógnargreindar (sem lækkaði kostnað að meðaltali um 655.110 rand) og notkun gervigreindarstjórnunartækni (629.850 rand). Jafnvel með þessari verulegu kostnaðarlækkun kom fram í skýrslunni að aðeins 29% fyrirtækja sem rannsökuð voru í Brasilíu nota gervigreindarstjórnunartækni til að draga úr áhættu sem tengist árásum á gervigreindarlíkön. Í heildina er stjórnun og öryggi gervigreindar að mestu leyti hunsað, þar sem 87% fyrirtækja sem rannsökuð voru í Brasilíu sögðust ekki hafa stjórnunarstefnu um gervigreind til staðar og 61% hafa enga aðgangsstýringu fyrir gervigreind.
„Rannsókn okkar sýnir að það er þegar áhyggjuefni bil á milli hraðrar innleiðingar gervigreindar og skorts á fullnægjandi stjórnun og öryggi, og illgjarnir aðilar eru að nýta sér þetta tómarúm. Fjarvera aðgangsstýringa í gervigreindarlíkönum hefur afhjúpað viðkvæm gögn og aukið varnarleysi fyrirtækja. Fyrirtæki sem vanmeta þessa áhættu eru ekki aðeins að setja mikilvægar upplýsingar í hættu, heldur einnig að skerða traust á öllu fyrirtækinu,“ útskýrir Fernando Carbone, meðeigandi öryggisþjónustu hjá IBM Consulting í Rómönsku Ameríku.
Þættir sem stuðla að auknum kostnaði við gagnaleka
Flækjustig öryggiskerfisins stuðlaði að meðaltali að aukningu á heildarkostnaði vegna innbrotsins um 725.359 rand.
Rannsóknin sýndi einnig að óheimil notkun gervigreindartækja (skugga-gervigreind) olli meðalkostnaðaraukningu upp á 591.400 rand. Og þrátt fyrir ávinninginn af notkun gervigreindartækja (innri eða opinberra), bætti notkun þeirra við meðalkostnaði upp á 578.850 rand vegna gagnaleka.
Í skýrslunni voru einnig greindar algengustu upphafsorsakir gagnaleka í Brasilíu. Netveiðar voru helsta ógnin og námu 18% brota, sem leiddi til meðalkostnaðar upp á 7,18 milljónir randa. Aðrar mikilvægar orsakir eru meðal annars brot á þriðja aðila og birgðakeðju (15%, með meðalkostnað upp á 8,98 milljónir randa) og misnotkun veikleika (13%, með meðalkostnað upp á 7,61 milljón randa). Brot á innskráningarupplýsingum, innri (óviljandi) villur og illgjarnir þjófar voru einnig tilkynntir sem orsakir brota, sem sýnir fram á fjölbreytt úrval áskorana sem stofnanir standa frammi fyrir í gagnavernd.
Aðrar alþjóðlegar niðurstöður úr skýrslunni um kostnað vegna gagnaleka árið 2025:
- 13% fyrirtækja greindu frá brotum sem tengdust gervigreindarlíkönum eða forritum, en 8% voru óviss um hvort þau hefðu orðið fyrir áhrifum á þennan hátt. Af þeim fyrirtækjum sem urðu fyrir áhrifum greindu 97% frá því að hafa ekki aðgangsstýringar fyrir gervigreind til staðar.
- 63% fyrirtækja sem urðu fyrir brotum hafa annað hvort ekki stefnu um stjórnunarhætti gervigreindar eða eru enn að þróa eina. Meðal þeirra sem hafa stefnur framkvæma aðeins 34% reglulegar endurskoðanir til að greina óheimila notkun gervigreindar.
- Ein af hverjum fimm fyrirtækjum greindi frá broti vegna skugga-gervigreindar og aðeins 37% hafa stefnur til að stjórna eða greina þessa tækni. Fyrirtæki sem notuðu mikið magn skugga-gervigreindar sáu að meðaltali 670.000 Bandaríkjadölum meira í kostnaði vegna brota samanborið við þau sem notuðu lítið eða ekkert skugga-gervigreindarstig. Öryggisatvik sem tengdust skugga-gervigreind leiddu til þess að fleiri persónugreinanlegar upplýsingar (65%) og hugverkaréttur (40%) fóru í hættu samanborið við heimsmeðaltalið (53% og 33%, talið í sömu röð).
- 16% af þeim brotum sem rannsökuð voru tengdust tölvuþrjótum sem notuðu gervigreindartól, oft fyrir phishing eða djúpfölsunarárásir.
Fjárhagslegur kostnaður vegna brots.
- Kostnaður vegna gagnaleka. Meðalkostnaður vegna gagnaleka á heimsvísu féll í 4,44 milljónir dala, sem er fyrsta lækkunin í fimm ár, en meðalkostnaður vegna brots í Bandaríkjunum náði methæðum upp á 10,22 milljónir dala.
- Alþjóðlegur líftími öryggisbrots nær mettíma . Meðaltími sem tekur að bera kennsl á og stöðva öryggisbrot (þar með talið endurreisn þjónustu) hefur lækkað í 241 dag, sem er 17 daga stytting frá fyrra ári, þar sem fleiri fyrirtæki greindu brotið innanhúss. Fyrirtæki sem greindu brotið innanhúss spöruðu einnig 900.000 dollara í kostnaði vegna öryggisbrots samanborið við þá sem árásaraðili tilkynnti.
- Brot í heilbrigðisgeiranum eru enn dýrust. Með að meðaltali 7,42 milljónir Bandaríkjadala eru brot í heilbrigðisgeiranum enn þau dýrustu allra geiranna sem rannsakaðir voru, jafnvel þótt kostnaður minnki um 2,35 milljónir Bandaríkjadala samanborið við árið 2024. Brot í þessum geira taka lengri tíma að greina og hefta, með meðaltíma upp á 279 daga, sem er meira en 5 vikum hærra en heimsmeðaltalið sem er 241 dagur.
- Þreyta á lausnargjaldi. Á síðasta ári stóðust stofnanir í auknum mæli kröfur um lausnargjald og kusu 63% að greiða ekki, samanborið við 59% árið áður. Þar sem fleiri stofnanir neita að greiða lausnargjald er meðalkostnaður við fjárkúgun eða ransomware-tilvik enn hár, sérstaklega þegar árásarmaður upplýsir um þau (5,08 milljónir dala).
- Verðhækkanir eftir brot. Afleiðingar brots halda áfram að ná lengra en aðhaldsstigið. Þótt verðið hafi lækkað frá fyrra ári, þá tilkynnti næstum helmingur allra fyrirtækja að þau ætluðu að hækka verð á vörum eða þjónustu vegna brotsins, og næstum þriðjungur tilkynnti um 15% eða meira verðhækkanir.
- Stöðnun í fjárfestingum í öryggismálum vegna vaxandi áhættu tengdri gervigreind. Fjöldi fyrirtækja sem tilkynna áform um að fjárfesta í öryggi eftir brot hefur minnkað verulega: 49% árið 2025, samanborið við 63% árið 2024. Minna en helmingur þeirra sem hyggjast fjárfesta í öryggi eftir brot mun einbeita sér að öryggislausnum eða þjónustu sem byggjast á gervigreind.
20 ára kostnaður vegna gagnaleka
Skýrslan, sem Ponemon-stofnunin vann að og IBM styrkti, er leiðandi heimild í greininni til að skilja fjárhagsleg áhrif gagnaleka. Í skýrslunni var greint frá reynslu 600 alþjóðlegra fyrirtækja á tímabilinu mars 2024 til febrúar 2025.
Á síðustu 20 árum hefur skýrslan um kostnað vegna gagnaleka rannsakað næstum 6.500 brot um allan heim. Árið 2005 kom fram í fyrstu skýrslunni að næstum helmingur allra brota (45%) áttu rætur að rekja til týndra eða stolinna tækja. Aðeins 10% voru vegna tölvuþrjóta. Spólum fram til ársins 2025 og ógnarlandslagið hefur breyst gríðarlega. Í dag er ógnarlandslagið aðallega stafrænt og í auknum mæli markvisst, þar sem brot eru nú knúin áfram af fjölbreyttum skaðlegum athöfnum.
Fyrir áratug var ekki einu sinni fylgst með vandamálum með rangar stillingar í skýinu. Nú eru þau meðal helstu orsökum brota. Ransomware sprakk út á meðan útgöngubanninu stóð árið 2020 og meðalkostnaður vegna brota jókst úr 4,62 milljónum dala árið 2021 í 5,08 milljónir dala árið 2025.
Til að nálgast alla skýrsluna, heimsækið opinberu vefsíðu IBM hér .
