IBM publiserte i dag sin årlige rapport om kostnaden ved datainnbrudd (CODB), som avslører globale og regionale trender knyttet til de økende kostnadene ved datainnbrudd i et landskap med stadig mer sofistikerte og forstyrrende cybertrusler. Rapporten fra 2025 utforsker den økende rollen til automatisering og kunstig intelligens (KI) i å redusere kostnadene ved datainnbrudd, og studerte for første gang tilstanden til KI-sikkerhet og -styring.
Rapporten indikerte at gjennomsnittskostnaden for et datainnbrudd i Brasil nådde 7,19 millioner R$, mens kostnaden i 2024 var 6,75 millioner R$, en økning på 6,5 %, noe som markerer ytterligere press på cybersikkerhetsteam som står overfor svært komplekse utfordringer. Sektorer som helsevesen, finans og tjenester toppet listen over de mest berørte, med gjennomsnittskostnader på henholdsvis 11,43 millioner R$, 8,92 millioner R$ og 8,51 millioner R$.
I Brasil rapporterte organisasjoner som i stor grad tar i bruk sikker AI og automatisering gjennomsnittlige kostnader på 6,48 millioner R$, mens de med begrenset implementering rapporterte kostnader på 6,76 millioner R$. For selskaper som ennå ikke bruker disse teknologiene, steg gjennomsnittskostnaden til 8,78 millioner R$, noe som fremhever fordelene med AI for å styrke cybersikkerheten.
I tillegg til å vurdere faktorene som øker kostnadene, analyserte rapporten om kostnaden av et datainnbrudd for 2025 elementer som kan redusere den økonomiske effekten av et datainnbrudd. Blant de mest effektive tiltakene er implementering av trusselinformasjon (som reduserte kostnadene med gjennomsnittlig 655 110 R$) og bruk av AI-styringsteknologi (629 850 R$). Selv med denne betydelige kostnadsreduksjonen fant rapporten at bare 29 % av organisasjonene som ble studert i Brasil bruker AI-styringsteknologi for å redusere risikoer knyttet til angrep på AI-modeller. Samlet sett blir AI-styring og sikkerhet i stor grad ignorert, med 87 % av organisasjonene som ble studert i Brasil som rapporterer at de ikke har AI-styringspolicyer på plass, og 61 % har ingen AI-tilgangskontroller.
«Studien vår viser at det allerede er et bekymringsverdig gap mellom den raske adopsjonen av AI og mangelen på tilstrekkelig styring og sikkerhet, og ondsinnede aktører utnytter dette vakuumet. Fraværet av tilgangskontroller i AI-modeller har eksponert sensitive data og økt sårbarheten til organisasjoner. Selskaper som undervurderer disse risikoene setter ikke bare kritisk informasjon i fare, men kompromitterer også tilliten til hele virksomheten», forklarer Fernando Carbone, partner for sikkerhetstjenester hos IBM Consulting i Latin-Amerika.
Faktorer som bidrar til økte kostnader ved datainnbrudd
Kompleksiteten i sikkerhetssystemet bidro i gjennomsnitt til en økning på R$ 725 359 i de totale kostnadene for innbruddet.
Studien viste også at uautorisert bruk av AI-verktøy (skygge-AI) genererte en gjennomsnittlig kostnadsøkning på 591 400 rand. Og innføringen av AI-verktøy (interne eller offentlige), til tross for fordelene, økte datainnbrudd med en gjennomsnittlig kostnad på 578 850 rand.
Rapporten identifiserte også de hyppigste innledende årsakene til datainnbrudd i Brasil. Phishing skilte seg ut som den viktigste trusselvektoren, og sto for 18 % av bruddene, noe som resulterte i en gjennomsnittlig kostnad på 7,18 millioner rand. Andre viktige årsaker inkluderer tredjeparts- og forsyningskjedekompromittering (15 %, med en gjennomsnittlig kostnad på 8,98 millioner rand) og utnyttelse av sårbarheter (13 %, med en gjennomsnittlig kostnad på 7,61 millioner rand). Kompromitterte legitimasjonsdetaljer, interne (utilsiktede) feil og ondsinnede infiltratorer ble også rapportert som årsaker til brudd, noe som demonstrerer det brede spekteret av utfordringer organisasjoner står overfor innen databeskyttelse.
Andre globale funn fra rapporten om kostnaden ved datainnbrudd i 2025:
- 13 % av organisasjonene rapporterte sikkerhetsbrudd som involverte AI-modeller eller -applikasjoner, mens 8 % var usikre på om de hadde blitt kompromittert på denne måten. Av de kompromitterte organisasjonene rapporterte 97 % at de ikke hadde AI-tilgangskontroller på plass.
- 63 % av organisasjonene som opplevde brudd har enten ikke en policy for styring av AI, eller de er fortsatt i ferd med å utvikle en. Blant de som har policyer, er det bare 34 % som gjennomfører regelmessige revisjoner for å oppdage uautorisert bruk av AI.
- Én av fem organisasjoner rapporterte et sikkerhetsbrudd på grunn av skygge-AI, og bare 37 % har retningslinjer for å administrere eller oppdage denne teknologien. Organisasjoner som brukte høye nivåer av skygge-AI så i gjennomsnitt 670 000 dollar mer i sikkerhetsbruddskostnader sammenlignet med de med lave nivåer eller ingen skygge-AI. Sikkerhetshendelser som involverte skygge-AI førte til kompromittering av mer personlig identifiserbar informasjon (65 %) og åndsverk (40 %) sammenlignet med det globale gjennomsnittet (henholdsvis 53 % og 33 %).
- 16 % av sikkerhetsbruddene som ble studert involverte hackere som brukte AI-verktøy, ofte til phishing- eller deepfake-angrep.
Den økonomiske kostnaden ved et brudd.
- Kostnader ved datainnbrudd. Den globale gjennomsnittskostnaden for et datainnbrudd falt til 4,44 millioner dollar, den første nedgangen på fem år, mens den gjennomsnittlige kostnaden for et datainnbrudd i USA nådde en rekordhøyde på 10,22 millioner dollar.
- Den globale livssyklusen for sikkerhetsbrudd når rekordtid . Den globale gjennomsnittlige tiden det tar å identifisere og begrense et sikkerhetsbrudd (inkludert tjenestegjenoppretting) har falt til 241 dager, en reduksjon på 17 dager fra året før, ettersom flere organisasjoner oppdaget bruddet internt. Organisasjoner som oppdaget bruddet internt sparte også 900 000 dollar i kostnader knyttet til sikkerhetsbruddet sammenlignet med de som ble varslet av en angriper.
- Brudd i helsesektoren er fortsatt de dyreste. Med et gjennomsnitt på 7,42 millioner amerikanske dollar var brudd i helsesektoren fortsatt de mest kostbare blant alle sektorer som ble studert, selv med en kostnadsreduksjon på 2,35 millioner amerikanske dollar sammenlignet med 2024. Brudd i denne sektoren tar lengre tid å identifisere og begrense, med en gjennomsnittstid på 279 dager, mer enn 5 uker over det globale gjennomsnittet på 241 dager.
- Tretthet ved løsepengebetalinger. I fjor motsatte organisasjoner seg i økende grad krav om løsepenger, og 63 % valgte å ikke betale, sammenlignet med 59 % året før. Etter hvert som flere organisasjoner nekter å betale løsepenger, forblir den gjennomsnittlige kostnaden for en utpressings- eller løsepengevirushendelse høy, spesielt når den avsløres av en angriper (5,08 millioner dollar).
- Prisøkninger etter brudd. Konsekvensene av et brudd fortsetter å strekke seg utover inneslutningsfasen. Selv om det er en nedgang fra året før, rapporterte nesten halvparten av alle organisasjoner at de planla å øke prisen på varer eller tjenester på grunn av bruddet, og nesten en tredjedel rapporterte prisøkninger på 15 % eller mer.
- Stagnasjon i sikkerhetsinvesteringer midt i økende AI-risikoer. Det har vært en betydelig reduksjon i antall organisasjoner som rapporterer planer om å investere i sikkerhet etter et sikkerhetsbrudd: 49 % i 2025, sammenlignet med 63 % i 2024. Mindre enn halvparten av de som planlegger å investere i sikkerhet etter et sikkerhetsbrudd, vil fokusere på AI-baserte sikkerhetsløsninger eller -tjenester.
20 år av kostnadene ved et datainnbrudd
Rapporten, utført av Ponemon Institute og sponset av IBM, er bransjens ledende referanse for å forstå den økonomiske konsekvensen av datainnbrudd. Rapporten analyserte erfaringene til 600 globale organisasjoner mellom mars 2024 og februar 2025.
I løpet av de siste 20 årene har rapporten «Cost of a Data Breach» undersøkt nesten 6500 datainnbrudd over hele verden. I 2005 fant den første rapporten at nesten halvparten av alle datainnbrudd (45 %) stammet fra tapte eller stjålne enheter. Bare 10 % skyldtes hackede systemer. Spoler vi frem til 2025, har trussellandskapet endret seg dramatisk. I dag er trussellandskapet hovedsakelig digitalt og stadig mer målrettet, med datainnbrudd som nå er drevet av et spekter av ondsinnede aktiviteter.
For et tiår siden ble ikke problemer med feilkonfigurasjon i skyen engang overvåket. Nå er de blant de viktigste vektorene for brudd. Løsepengevirus eksploderte under nedstengningene i 2020, med en gjennomsnittlig kostnad for brudd som økte fra 4,62 millioner dollar i 2021 til 5,08 millioner dollar i 2025.
For å få tilgang til hele rapporten, besøk IBMs offisielle nettsted her .
