IBM heeft vandaag zijn jaarlijkse Cost of a Data Breach (CODB)-rapport gepubliceerd, waarin wereldwijde en regionale trends worden onthuld met betrekking tot de stijgende kosten van datalekken in een landschap van steeds geavanceerdere en disruptievere cyberdreigingen. Het rapport uit 2025 onderzoekt de groeiende rol van automatisering en kunstmatige intelligentie (AI) bij het beperken van de kosten van datalekken en onderzocht voor het eerst de stand van zaken op het gebied van AI-beveiliging en -governance.
Uit het rapport bleek dat de gemiddelde kosten van een datalek in Brazilië R$ 7,19 miljoen bedroegen, terwijl de kosten in 2024 R$ 6,75 miljoen bedroegen, een stijging van 6,5%. Dit markeert een extra druk op cybersecurityteams die met zeer complexe uitdagingen worden geconfronteerd. Sectoren zoals gezondheidszorg, financiën en dienstverlening stonden bovenaan de lijst met de zwaarst getroffen sectoren, met gemiddelde kosten van respectievelijk R$ 11,43 miljoen, R$ 8,92 miljoen en R$ 8,51 miljoen.
In Brazilië rapporteerden organisaties die op grote schaal veilige AI en automatisering inzetten, gemiddelde kosten van R$ 6,48 miljoen, terwijl organisaties met een beperkte implementatie R$ 6,76 miljoen rapporteerden. Voor bedrijven die deze technologieën nog niet gebruiken, stegen de gemiddelde kosten tot R$ 8,78 miljoen, wat de voordelen van AI voor het versterken van cybersecurity onderstreept.
Naast het beoordelen van de kostenverhogende factoren, analyseerde het Cost of a Data Breach Report uit 2025 elementen die de financiële impact van een datalek kunnen verminderen. Tot de meest effectieve initiatieven behoren de implementatie van threat intelligence (wat de kosten met gemiddeld R$ 655.110 verlaagde) en het gebruik van AI-governancetechnologie (R$ 629.850). Zelfs met deze aanzienlijke kostenbesparing concludeerde het rapport dat slechts 29% van de in Brazilië onderzochte organisaties AI-governancetechnologie gebruikt om de risico's van aanvallen op AI-modellen te beperken. Over het algemeen worden AI-governance en -beveiliging grotendeels genegeerd: 87% van de in Brazilië onderzochte organisaties geeft aan geen AI-governancebeleid te hebben en 61% heeft geen AI-toegangscontrole.
"Ons onderzoek toont aan dat er al een zorgwekkende kloof bestaat tussen de snelle adoptie van AI en het gebrek aan adequate governance en beveiliging, en kwaadwillenden maken misbruik van deze kloof. Het ontbreken van toegangscontrole in AI-modellen heeft gevoelige data blootgelegd en de kwetsbaarheid van organisaties vergroot. Bedrijven die deze risico's onderschatten, brengen niet alleen kritieke informatie in gevaar, maar ondermijnen ook het vertrouwen in de gehele bedrijfsvoering", legt Fernando Carbone uit, Partner Security Services bij IBM Consulting in Latijns-Amerika.
Factoren die bijdragen aan hogere kosten van datalekken
De complexiteit van het beveiligingssysteem zorgde er gemiddeld voor dat de totale kosten van de inbreuk met R$ 725.359 toenamen.
Uit het onderzoek bleek ook dat het ongeoorloofde gebruik van AI-tools (schaduw-AI) gemiddeld een kostenstijging van R$ 591.400 met zich meebracht. De implementatie van AI-tools (intern of openbaar) kostte datalekken, ondanks hun voordelen, gemiddeld R$ 578.850.
Het rapport identificeerde ook de meest voorkomende initiële oorzaken van datalekken in Brazilië. Phishing was de belangrijkste bedreiging, goed voor 18% van de inbreuken, met een gemiddelde kostprijs van R$ 7,18 miljoen. Andere belangrijke oorzaken zijn inbreuken door derden en de toeleveringsketen (15%, met een gemiddelde kostprijs van R$ 8,98 miljoen) en misbruik van kwetsbaarheden (13%, met een gemiddelde kostprijs van R$ 7,61 miljoen). Gecompromitteerde inloggegevens, interne (onbedoelde) fouten en kwaadwillende infiltranten werden ook genoemd als oorzaken van inbreuken, wat de brede waaier aan uitdagingen aantoont waarmee organisaties op het gebied van gegevensbescherming worden geconfronteerd.
Andere wereldwijde bevindingen uit het rapport Cost of a Data Breach uit 2025:
- 13% van de organisaties meldde inbreuken op AI-modellen of -applicaties, terwijl 8% niet zeker wist of ze op deze manier waren gecompromitteerd. Van de gecompromitteerde organisaties gaf 97% aan geen AI-toegangscontrole te hebben.
- 63% van de organisaties die overtredingen hebben ervaren, heeft geen AI-governancebeleid of is er nog mee bezig. Van de organisaties die wel een beleid hebben, voert slechts 34% regelmatig audits uit om ongeoorloofd gebruik van AI op te sporen.
- Eén op de vijf organisaties meldde een inbreuk als gevolg van shadow AI, en slechts 37% heeft beleid om deze technologie te beheren of te detecteren. Organisaties die veel shadow AI gebruikten, zagen gemiddeld $ 670.000 meer aan inbreukkosten dan organisaties met weinig of geen shadow AI. Beveiligingsincidenten met shadow AI leidden tot de diefstal van meer persoonlijk identificeerbare informatie (65%) en intellectuele eigendom (40%) vergeleken met het wereldwijde gemiddelde (respectievelijk 53% en 33%).
- Bij 16% van de onderzochte inbreuken maakten hackers gebruik van AI-tools, vaak voor phishing- of deepfake-aanvallen.
De financiële kosten van een overtreding.
- Kosten van datalekken. De gemiddelde kosten van een datalek wereldwijd daalden tot $ 4,44 miljoen, de eerste daling in vijf jaar, terwijl de gemiddelde kosten van een lek in de VS een recordhoogte bereikten van $ 10,22 miljoen.
- Wereldwijde levenscyclus van een inbreuk bereikt recordtijd . De wereldwijde gemiddelde tijd voor het identificeren en indammen van een inbreuk (inclusief serviceherstel) is gedaald tot 241 dagen, een vermindering van 17 dagen ten opzichte van het voorgaande jaar, doordat meer organisaties de inbreuk intern detecteerden. Organisaties die de inbreuk intern detecteerden, bespaarden bovendien $ 900.000 aan inbreukkosten ten opzichte van organisaties die door een aanvaller werden gewaarschuwd.
- Overtredingen in de gezondheidszorg blijven de duurste. Met een gemiddelde van 7,42 miljoen dollar bleven overtredingen in de gezondheidszorg de duurste van alle onderzochte sectoren, ondanks een kostenbesparing van 2,35 miljoen dollar ten opzichte van 2024. Overtredingen in deze sector duren langer om te identificeren en te beheersen, met een gemiddelde tijd van 279 dagen, meer dan 5 weken boven het wereldwijde gemiddelde van 241 dagen.
- Losgeldmoeheid. Vorig jaar verzetten organisaties zich steeds vaker tegen losgeldeisen: 63% koos ervoor om niet te betalen, vergeleken met 59% het jaar ervoor. Nu steeds meer organisaties weigeren losgeld te betalen, blijven de gemiddelde kosten van een afpersings- of ransomware-incident hoog, vooral wanneer deze door een aanvaller worden onthuld ($ 5,08 miljoen).
- Prijsstijgingen na inbreuken. De gevolgen van een inbreuk reiken verder dan de inperkingsfase. Hoewel lager dan vorig jaar, meldde bijna de helft van alle organisaties dat ze van plan waren de prijs van goederen of diensten te verhogen vanwege de inbreuk, en bijna een derde meldde prijsstijgingen van 15% of meer.
- Stagnatie in beveiligingsinvesteringen te midden van toenemende AI-risico's. Het aantal organisaties dat aangeeft te willen investeren in beveiliging na een inbreuk, is aanzienlijk afgenomen: 49% in 2025, vergeleken met 63% in 2024. Minder dan de helft van degenen die van plan zijn te investeren in beveiliging na een inbreuk, zal zich richten op AI-gebaseerde beveiligingsoplossingen of -diensten.
20 jaar kosten van een datalek
Het rapport, uitgevoerd door het Ponemon Institute en gesponsord door IBM, is dé referentie in de branche voor inzicht in de financiële impact van datalekken. Het rapport analyseerde de ervaringen van 600 wereldwijde organisaties tussen maart 2024 en februari 2025.
In de afgelopen 20 jaar heeft het rapport 'Cost of a Data Breach' bijna 6500 datalekken wereldwijd onderzocht. In 2005 concludeerde het eerste rapport dat bijna de helft van alle datalekken (45%) afkomstig was van verloren of gestolen apparaten. Slechts 10% was te wijten aan gehackte systemen. Nu, in 2025, is het dreigingslandschap drastisch veranderd. Het dreigingslandschap is vandaag de dag overwegend digitaal en steeds gerichter, waarbij datalekken nu worden veroorzaakt door een scala aan kwaadaardige activiteiten.
Tien jaar geleden werden problemen met verkeerde configuraties in de cloud niet eens gemonitord. Nu behoren ze tot de belangrijkste oorzaken van datalekken. Ransomware explodeerde tijdens de lockdowns van 2020, waarbij de gemiddelde kosten van datalekken stegen van $ 4,62 miljoen in 2021 tot $ 5,08 miljoen in 2025.
Voor het volledige rapport kunt u hier .
