IBM je danes objavil svoje letno poročilo o stroških kršitve podatkov (CODB), ki razkriva globalne in regionalne trende, povezane z naraščajočimi stroški kršitev podatkov v okolju vse bolj sofisticiranih in motečih kibernetskih groženj. Poročilo za leto 2025 raziskuje vse večjo vlogo avtomatizacije in umetne inteligence (UI) pri zmanjševanju stroškov kršitev ter prvič preučuje stanje varnosti in upravljanja UI.
Poročilo je pokazalo, da so povprečni stroški kršitve podatkov v Braziliji dosegli 7,19 milijona realov, medtem ko so leta 2024 znašali 6,75 milijona realov, kar je 6,5-odstotno povečanje, kar pomeni dodaten pritisk na ekipe za kibernetsko varnost, ki se soočajo z zelo kompleksnimi izzivi. Sektorji, kot so zdravstvo, finance in storitve, so bili na vrhu seznama najbolj prizadetih s povprečnimi stroški v višini 11,43 milijona realov, 8,92 milijona realov oziroma 8,51 milijona realov.
V Braziliji so organizacije, ki v veliki meri uvajajo varno umetno inteligenco in avtomatizacijo, poročale o povprečnih stroških v višini 6,48 milijona realov, medtem ko so tiste z omejeno uvedbo poročale o stroških v višini 6,76 milijona realov. Za podjetja, ki teh tehnologij še ne uporabljajo, so se povprečni stroški zvišali na 8,78 milijona realov, kar poudarja prednosti umetne inteligence pri krepitvi kibernetske varnosti.
Poleg ocene dejavnikov, ki povečujejo stroške, je poročilo o stroških kršitve podatkov za leto 2025 analiziralo elemente, ki lahko zmanjšajo finančni vpliv kršitve podatkov. Med najučinkovitejšimi pobudami sta uvedba obveščanja o grožnjah (ki je stroške zmanjšala v povprečju za 655.110 realov) in uporaba tehnologije upravljanja umetne inteligence (629.850 realov). Kljub temu znatnemu zmanjšanju stroškov je poročilo ugotovilo, da le 29 % organizacij, ki so bile preučene v Braziliji, uporablja tehnologijo upravljanja umetne inteligence za ublažitev tveganj, povezanih z napadi na modele umetne inteligence. Na splošno se upravljanje in varnost umetne inteligence v veliki meri zanemarjata, saj 87 % organizacij, ki so bile preučene v Braziliji, poroča, da nimajo vzpostavljenih politik upravljanja umetne inteligence, 61 % pa nima nadzora dostopa z umetno inteligenco.
»Naša študija kaže, da že obstaja zaskrbljujoča vrzel med hitrim sprejemanjem umetne inteligence in pomanjkanjem ustreznega upravljanja in varnosti, zlonamerni akterji pa izkoriščajo to praznino. Odsotnost nadzora dostopa v modelih umetne inteligence je razkrila občutljive podatke in povečala ranljivost organizacij. Podjetja, ki podcenjujejo ta tveganja, ne ogrožajo le kritičnih informacij, temveč tudi zaupanje v celotno delovanje,« pojasnjuje Fernando Carbone, partner za varnostne storitve pri IBM Consulting v Latinski Ameriki.
Dejavniki, ki prispevajo k povečanim stroškom kršitev podatkov
Zaradi kompleksnosti varnostnega sistema so se skupni stroški kršitve v povprečju povečali za 725.359 realov.
Študija je tudi pokazala, da je nepooblaščena uporaba orodij umetne inteligence (senčna umetna inteligenca) povzročila povprečno povečanje stroškov za 591.400 realov. Uporaba orodij umetne inteligence (internih ali javnih) pa je kljub njihovim prednostim povzročila povprečne stroške v višini 578.850 realov zaradi kršitev podatkov.
Poročilo je opredelilo tudi najpogostejše začetne vzroke kršitev podatkov v Braziliji. Phishing je izstopal kot glavni vektor grožnje, ki je predstavljal 18 % kršitev, kar je povzročilo povprečne stroške v višini 7,18 milijona realov. Drugi pomembni vzroki vključujejo ogrožanje tretjih oseb in dobavne verige (15 %, s povprečnimi stroški 8,98 milijona realov) in izkoriščanje ranljivosti (13 %, s povprečnimi stroški 7,61 milijona realov). Kot vzroki za kršitve so bili navedeni tudi ogrožene poverilnice, notranje (naključne) napake in zlonamerni infiltratorji, kar kaže na širok spekter izzivov, s katerimi se organizacije soočajo pri varstvu podatkov.
Druge globalne ugotovitve iz poročila o stroških kršitve podatkov za leto 2025:
- 13 % organizacij je poročalo o kršitvah, ki vključujejo modele ali aplikacije umetne inteligence, medtem ko 8 % ni bilo prepričanih, ali so bile na ta način ogrožene. Od ogroženih organizacij jih je 97 % poročalo, da nimajo vzpostavljenih kontrolnikov dostopa z umetno inteligenco.
- 63 % organizacij, ki so doživele kršitve, nima politike upravljanja umetne inteligence ali pa jo še razvija. Med tistimi, ki imajo politike, jih le 34 % izvaja redne revizije za odkrivanje nepooblaščene uporabe umetne inteligence.
- Ena od petih organizacij je poročala o kršitvi zaradi senčne umetne inteligence, le 37 % pa ima politike za upravljanje ali odkrivanje te tehnologije. Organizacije, ki so uporabljale visoko raven senčne umetne inteligence, so v povprečju zabeležile 670.000 USD več stroškov zaradi kršitev v primerjavi s tistimi z nizko ravnjo ali brez senčne umetne inteligence. Varnostni incidenti, ki so vključevali senčno umetno inteligenco, so privedli do ugrabitve več osebno prepoznavnih podatkov (65 %) in intelektualne lastnine (40 %) v primerjavi s svetovnim povprečjem (53 % oziroma 33 %).
- 16 % preučevanih kršitev je vključevalo hekerje, ki so uporabljali orodja umetne inteligence, pogosto za phishing ali deepfake napade.
Finančni stroški kršitve.
- Stroški kršitev podatkov. Povprečni svetovni stroški kršitve podatkov so se znižali na 4,44 milijona dolarjev, kar je prvi padec v petih letih, medtem ko so povprečni stroški kršitve v ZDA dosegli rekordnih 10,22 milijona dolarjev.
- Globalni življenjski cikel kršitve dosega rekordni čas . Globalni povprečni čas za odkrivanje in omejevanje kršitve (vključno z obnovitvijo storitev) se je skrajšal na 241 dni, kar je 17 dni manj kot leto prej, saj je več organizacij kršitev odkrilo interno. Organizacije, ki so kršitev odkrile interno, so prihranile tudi 900.000 USD stroškov kršitev v primerjavi s stroški, ki jih je prijavil napadalec.
- Kršitve v zdravstvenem sektorju ostajajo najdražje. S povprečno 7,42 milijona ameriških dolarjev so kršitve v zdravstvenem sektorju ostale najdražje med vsemi preučevanimi sektorji, kljub zmanjšanju stroškov za 2,35 milijona ameriških dolarjev v primerjavi z letom 2024. Za odkrivanje in omejevanje kršitev v tem sektorju je potrebno več časa, saj v povprečju znaša 279 dni, kar je več kot 5 tednov nad svetovnim povprečjem 241 dni.
- Naveličanost plačila odkupnine. Lani so se organizacije vse bolj upirale zahtevam po odkupnini, saj se jih je 63 % odločilo, da ne bodo plačale, v primerjavi z 59 % leto prej. Ker vse več organizacij zavrača plačilo odkupnine, ostajajo povprečni stroški izsiljevanja ali incidenta z izsiljevalsko programsko opremo visoki, zlasti če ga razkrije napadalec (5,08 milijona dolarjev).
- Zvišanje cen po kršitvah. Posledice kršitve segajo tudi po fazi omejevanja. Čeprav je manj kot prejšnje leto, je skoraj polovica vseh organizacij poročala, da nameravajo zaradi kršitve zvišati ceno blaga ali storitev, skoraj tretjina pa je poročala o zvišanju cen za 15 % ali več.
- Stagnacija naložb v varnost sredi naraščajočih tveganj umetne inteligence. Število organizacij, ki poročajo o načrtih za vlaganje v varnost po kršitvi, se je znatno zmanjšalo: 49 % leta 2025 v primerjavi s 63 % leta 2024. Manj kot polovica tistih, ki nameravajo vlagati v varnost po kršitvi, se bo osredotočila na varnostne rešitve ali storitve, ki temeljijo na umetni inteligenci.
20 let stroškov kršitve podatkov
Poročilo, ki ga je pripravil Inštitut Ponemon in ga sponzorira IBM, je vodilni vir v panogi za razumevanje finančnega vpliva kršitev podatkov. Poročilo je analiziralo izkušnje 600 svetovnih organizacij med marcem 2024 in februarjem 2025.
V zadnjih 20 letih je poročilo o stroških kršitve podatkov preiskalo skoraj 6500 kršitev po vsem svetu. Leta 2005 je prvo poročilo ugotovilo, da je skoraj polovica vseh kršitev (45 %) izvirala iz izgubljenih ali ukradenih naprav. Le 10 % jih je bilo posledica vdora v sisteme. Če premotamo naprej v leto 2025, se je pokrajina groženj dramatično spremenila. Danes je pokrajina groženj pretežno digitalna in vse bolj ciljno usmerjena, pri čemer so kršitve zdaj posledica širokega spektra zlonamernih dejavnosti.
Pred desetletjem težav z napačno konfiguracijo oblaka sploh niso spremljali. Zdaj so med glavnimi vektorji kršitev. Izsiljevalska programska oprema je eksplodirala med zaprtjem leta 2020, povprečni stroški kršitev pa so se povečali s 4,62 milijona dolarjev leta 2021 na 5,08 milijona dolarjev leta 2025.
Za dostop do celotnega poročila obiščite uradno spletno stran IBM tukaj .
