IBM 今日发布了年度《数据泄露成本报告》(CODB),揭示了在全球和区域范围内,数据泄露成本不断上升的趋势,而网络威胁的复杂性和破坏性也在日益增强。这份 2025 年报告探讨了自动化和人工智能 (AI) 在降低数据泄露成本方面日益重要的作用,并首次研究了人工智能安全和治理的现状。
报告指出,巴西数据泄露的平均成本已达719万雷亚尔,预计到2024年将达到675万雷亚尔,增幅达6.5%,这给面临高度复杂挑战的网络安全团队带来了更大的压力。医疗保健、金融和服务业等行业受影响最为严重,平均成本分别为1143万雷亚尔、892万雷亚尔和851万雷亚尔。
在巴西,广泛采用安全人工智能和自动化技术的组织平均成本为648万雷亚尔,而实施程度有限的组织平均成本为676万雷亚尔。对于尚未使用这些技术的公司,平均成本上升至878万雷亚尔,凸显了人工智能在加强网络安全方面的优势。
除了评估增加成本的因素外,《2025年数据泄露成本报告》还分析了能够降低数据泄露财务影响的要素。其中最有效的举措包括实施威胁情报(平均降低成本655,110雷亚尔)和使用人工智能治理技术(降低629,850雷亚尔)。尽管成本显著降低,但该报告发现,在巴西接受调查的组织中,只有29%使用人工智能治理技术来降低与人工智能模型攻击相关的风险。总体而言,人工智能治理和安全在很大程度上被忽视,在巴西接受调查的组织中,87%表示没有制定人工智能治理政策,61%表示没有人工智能访问控制。
“我们的研究表明,人工智能的快速普及与缺乏足够的治理和安全保障之间已经存在令人担忧的差距,恶意行为者正在利用这一漏洞。人工智能模型中缺乏访问控制,导致敏感数据泄露,并增加了组织的脆弱性。低估这些风险的公司不仅会将关键信息置于危险之中,还会损害整个运营的信任度,”IBM拉丁美洲咨询公司安全服务合伙人费尔南多·卡博内解释道。
导致数据泄露成本增加的因素
安全系统的复杂性导致此次安全漏洞造成的总成本平均增加了 725,359 雷亚尔。
该研究还表明,未经授权使用人工智能工具(影子人工智能)平均会增加591,400雷亚尔的成本。此外,尽管人工智能工具(内部或公共)具有诸多益处,但其应用却使数据泄露事件的平均成本增加了578,850雷亚尔。
该报告还指出了巴西数据泄露最常见的初始原因。网络钓鱼是主要威胁途径,占泄露事件的18%,平均损失达718万雷亚尔。其他重要原因包括第三方和供应链安全漏洞(15%,平均损失898万雷亚尔)以及漏洞利用(13%,平均损失761万雷亚尔)。此外,泄露凭证、内部(意外)错误和恶意入侵也被列为泄露原因,这表明各组织在数据保护方面面临着广泛的挑战。
《2025年数据泄露成本报告》的其他全球性发现:
- 13%的组织报告称其人工智能模型或应用程序遭到入侵,而8%的组织不确定是否遭受过此类攻击。在遭受攻击的组织中,97%表示未实施人工智能访问控制。
- 在发生违规事件的组织中,63%要么没有人工智能治理政策,要么仍在制定中。而在已制定政策的组织中,只有34%会定期进行审计以检测未经授权的人工智能使用情况。
- 五分之一的组织报告称,由于影子人工智能(Shadow AI)而遭受数据泄露,但只有37%的组织制定了管理或检测这项技术的策略。与影子人工智能使用程度低或未使用影子人工智能的组织相比,影子人工智能使用程度高的组织平均要多承担67万美元的数据泄露成本。涉及影子人工智能的安全事件导致的个人身份信息(65%)和知识产权(40%)泄露比例高于全球平均水平(分别为53%和33%)。
- 研究发现,16% 的数据泄露事件涉及黑客使用人工智能工具,通常用于网络钓鱼或深度伪造攻击。
违规行为的经济成本。
- 数据泄露成本。全球数据泄露的平均成本降至444万美元,为五年来首次下降,而美国数据泄露的平均成本则创下1022万美元的历史新高。
- 全球数据泄露生命周期创历史新低。全球识别和控制数据泄露(包括服务恢复)的平均时间已降至 241 天,比上一年减少了 17 天,这得益于更多组织在内部检测到了数据泄露。与被攻击者通知的组织相比,在内部检测到数据泄露的组织还节省了 90 万美元的数据泄露成本。
- 医疗保健行业的违规行为造成的损失仍然最高。平均损失高达742万美元,即使与2024年相比损失减少了235万美元,医疗保健行业的违规行为仍然是所有研究行业中损失最高的。该行业的违规行为需要更长时间才能被发现和控制,平均耗时279天,比全球平均水平241天高出5周以上。
- 勒索支付疲劳。去年,越来越多的机构拒绝支付赎金,63%的机构选择不支付,高于前一年的59%。随着越来越多的机构拒绝支付赎金,勒索或勒索软件事件的平均成本仍然居高不下,尤其是在攻击者披露的情况下(高达508万美元)。
- 数据泄露事件后价格上涨。数据泄露的后果远不止于遏制阶段。尽管较上年有所下降,但仍有近半数机构表示计划因数据泄露而提高商品或服务价格,近三分之一的机构表示涨幅达到或超过15%。
- 人工智能风险日益加剧,安全投资却停滞不前。报告称计划在数据泄露后投资安全措施的组织数量显著下降:2025 年为 49%,而 2024 年这一比例为 63%。在计划投资数据泄露后安全措施的组织中,只有不到一半会专注于基于人工智能的安全解决方案或服务。
数据泄露20年的成本
这份由波耐蒙研究所 (Ponemon Institute) 撰写、IBM 赞助的报告,是业内解读数据泄露财务影响的权威参考资料。报告分析了 2024 年 3 月至 2025 年 2 月期间全球 600 家机构的经验。
过去20年间,《数据泄露成本报告》调查了全球近6500起数据泄露事件。2005年发布的首份报告发现,近一半(45%)的数据泄露源于设备丢失或被盗,仅有10%是由于系统被黑客攻击造成的。时至今日,威胁形势已发生翻天覆地的变化。如今,威胁主要来自数字领域,且攻击目标日益明确,各种恶意活动也导致了数据泄露事件的发生。
十年前,云配置错误问题甚至都没有受到监控。如今,它们已成为数据泄露的主要途径之一。勒索软件在2020年疫情封锁期间呈爆炸式增长,数据泄露的平均成本从2021年的462万美元增加到2025年的508万美元。
要查看完整报告,请访问 IBM 官方网站(点击此处) 。
