IBM今天公布了其年度数据泄露成本(CODB)报告,揭示了全球和地区性趋势,反映出在日益复杂和具有破坏性的网络威胁环境中,数据泄露成本的上升。 2025年的报告探讨了自动化和人工智能(AI)在降低违规成本方面日益增长的作用,并首次研究了AI的安全性和治理状况。
报告显示,巴西数据泄露的平均成本已达到719万雷亚尔,而2024年的成本为675万雷亚尔,增长了6.5%,给面临高度复杂挑战的网络安全团队带来了额外压力。 如医疗、金融和服务等行业位列受影响最严重的行业,平均成本分别为1143万雷亚尔、892万雷亚尔和851万雷亚尔。
在该国,广泛采用安全人工智能和自动化的组织报告的平均成本为648万雷亚尔,而那些实施有限的组织的成本为676万雷亚尔。 对于尚未使用这些技术的企业,平均成本上升至878万雷亚尔,突显了人工智能在加强网络安全方面的优势。
除了评估提高成本的因素外,2025年《数据泄露成本报告》还分析了可能降低数据泄露财务影响的因素。 在最有效的举措中,包括威胁情报的实施(平均降低成本为655,110雷亚尔)和人工智能治理技术的使用(降低成本为629,850雷亚尔)。 即使在成本大幅降低的情况下,报告也发现巴西仅有29%的研究组织采用人工智能治理技术来减轻与人工智能模型攻击相关的风险。 总体而言,人工智能的治理和安全被广泛忽视,巴西调查的组织中有87%没有实施人工智能治理政策,61%没有人工智能访问控制。
“我们的研究显示,快速采用人工智能与缺乏适当治理和安全措施之间已经存在令人担忧的差距,恶意行为者正在利用这一空白。人工智能模型缺乏访问控制,暴露了敏感数据,增加了组织的脆弱性。低估这些风险的企业不仅危及关键信息,还破坏了整个运营的信任,”IBM咨询拉丁美洲安全服务合伙人Fernando Carbone解释道。
导致数据泄露成本增加的因素
安全系统的复杂性平均导致违规总成本增加了725,359雷亚尔。
研究还显示,未经授权使用人工智能工具(影子AI)导致平均成本增加了591,400雷亚尔。 尽管采用内部或公共的人工智能工具带来了好处,但平均增加了578,850雷亚尔的成本用于数据泄露。
报告还确定了巴西数据泄露的最常见初始原因。 钓鱼攻击成为主要的威胁载体,占违规事件的18%,导致平均成本为718万雷亚尔。 其他重要原因还包括第三方和供应链的漏洞(占15%,平均成本为8.98百万雷亚尔)以及漏洞利用(占13%,平均成本为7.61百万雷亚尔)。凭证被泄露、内部错误(意外)以及恶意渗透者也被报告为违规的原因,展示了组织在数据保护方面面临的广泛挑战。
2025年数据泄露成本报告的其他全球发现:
- 13%的组织报告了涉及人工智能模型或应用程序的违规行为,而8%的组织不知道是否因此受到威胁。 97%的组织承诺者报告没有实施人工智能访问控制。
- 63%的被攻击组织没有人工智能治理政策,或仍在制定中。 在制定政策的企业中,只有34%会定期进行审计以检测未经授权使用人工智能。
- 每五个组织中就有一个报告因影子人工智能而发生违规行为,只有37%拥有管理或检测该技术的政策。 使用高水平隐形人工智能的组织在违规成本方面平均比低水平或没有隐形人工智能的组织多出$670,000。 涉及隐藏人工智能的安全事件导致个人身份信息(65%)和知识产权(40%)的泄露比全球平均水平(分别为53%和33%)更为严重。
- 16%的研究违规行为涉及黑客使用人工智能工具,常用于钓鱼攻击或深度伪造。
违反的财务成本
- 数据泄露的成本全球数据泄露的平均成本下降至442万美元,这是五年来的首次下降,而美国数据泄露的平均成本创下了1022万美元的纪录。
- 全球数据泄露的生命周期达到创纪录的时间识别和遏制一次违规(包括恢复服务)的全球平均时间已缩短至241天,比去年减少了17天,因为更多的组织在内部检测到违规。 内部检测到违规行为的组织在违规成本方面也节省了90万美元,比被攻击者通知的组织少。
- 在医疗领域的违规行为仍然是最昂贵的。以平均742万美元的损失,医疗行业的违规行为仍然是所有研究行业中最昂贵的,尽管与2024年相比,成本减少了235万美元。 在该行业的违规行为被识别和遏制所需的时间更长,平均为279天,比全球平均的241天多出超过5周。
- 赎回支付的疲惫。去年,组织对赎金要求的抵抗越来越强,63%的组织选择不支付,而上一年的比例为59%。 随着越来越多的组织拒绝支付赎金,勒索或勒索软件事件的平均成本仍然很高,尤其是在被攻击者披露时(五百零八万美元)。
- 价格上涨在违规之后违反的后果仍在超出控制范围之外继续扩大。 尽管与去年相比有所下降,几乎一半的组织报告计划提高商品或服务的价格以应对违规行为,近三分之一的组织报告价格上涨了15%或以上。
- 在人工智能风险增加的同时,安全投资停滞不前。在发生违规事件后,报告计划投资于安全的组织数量显著减少:2025年为49%,而2024年为63%。 不到一半计划在违规后投资安全的企业将专注于基于人工智能的安全解决方案或服务。
数据泄露的成本已达20年
由Ponemon研究所进行、IBM赞助的报告是行业内理解数据泄露财务影响的主要参考资料。 报告分析了2024年3月至2025年2月期间600个全球组织的经验。
在过去的20年里,数据泄露成本报告调查了全球近6500起违规事件。 2005年的首份报告显示,几乎一半的违规行为(45%)源于丢失或被盗的设备。 只有10%是由于系统被黑。 迈向2025年,威胁形势发生了巨大变化。 如今,威胁环境主要是数字化的,并且越来越具有针对性,违规行为现在由一系列恶意活动推动。
十年前,云配置错误的问题甚至都没有被监控。 现在,他们是违规行为的主要推动者之一。 勒索软件在2020年封锁期间爆发,数据泄露的平均成本从2021年的462万美元增加到2025年的508万美元。
要访问完整报告,请访问IBM官方网站这里.
