- 盡管全球數(shù)據(jù)泄露的平均成本降至 444 萬美元�,美國企業(yè)的相關損失卻攀升至 1022 萬美元;
- 在遭遇數(shù)據(jù)泄露的企業(yè)中��,僅有 49% 的企業(yè)計劃加強安全投入�。
北京2025年8月4日 /美通社/ -- IBM 近日發(fā)布的《2025年數(shù)據(jù)泄露成本報告》顯示,當前 AI 應用的推進速度遠快于其安全治理體系的建設���。該報告首次針對 AI 系統(tǒng)的安全防護��、治理機制及訪問控制展開研究,盡管遭遇 AI 相關安全漏洞的機構在調(diào)研樣本中占比不高���,一個既定事實是:AI 已成為高價值��、低門檻的網(wǎng)絡攻擊目標�。
IBM發(fā)布《2025年數(shù)據(jù)泄露成本報告》
- 13% 的受訪企業(yè)報告了 AI 模型或應用的安全漏洞,另有 8% 表示不確定是否遭遇過此類事件��;
- 在遭遇AI安全漏洞的企業(yè)中�,絕大部分(97%)尚未部署 AI 訪問控制機制;
- 由此導致 60% 的 AI 安全事件造成數(shù)據(jù)泄露���,31% 引發(fā)業(yè)務中斷���。
本年度的調(diào)研結(jié)果揭示,許多企業(yè)為了加速AI 應用而繞過安全治理���。缺乏監(jiān)管的AI系統(tǒng)更易遭受攻擊�,且造成的損失更為慘重��。
IBM 安全和運行時產(chǎn)品副總裁 Suja Viswesan 指出:"數(shù)據(jù)表明 AI 應用與監(jiān)管之間已存在斷層��,網(wǎng)絡攻擊者正伺機而動��。上述報告顯示���,企業(yè)的AI 系統(tǒng)普遍缺乏基本的訪問控制�,導致敏感數(shù)據(jù)暴露、模型易被篡改���。隨著 AI 深度融入業(yè)務運營���,其安全防護必須成為重中之重。不作為的代價不僅是經(jīng)濟損失�,更將損害用戶信任、透明度和控制力�。"
報告同時揭示:在安全運營中廣泛采用 AI 與自動化技術的企業(yè),其數(shù)據(jù)泄露損失平均減少 190 萬美元��,且處理周期平均減少 80 天�。
該報告由 Ponemon Institute 執(zhí)行、IBM 贊助分析���,數(shù)據(jù)來源于 2024 年 3 月至 2025年 2 月全球 600 家機構遭遇的數(shù)據(jù)泄露事件��。該報告中關于 AI 安全漏洞��、經(jīng)濟損失及業(yè)務中斷的關鍵發(fā)現(xiàn)如下:
AI 時代的安全漏洞
- AI 治理政策:在遭遇數(shù)據(jù)泄露的機構中���,63% 尚未建立 AI 治理政策或仍在制定中。在已制定AI 治理政策的機構中�,僅有 34% 會對非授權 AI 工具進行定期審計。
- 影子 AI 的代價:五分之一的企業(yè)報告稱曾因影子 AI(非監(jiān)管狀態(tài)下的 AI 工具使用)導致數(shù)據(jù)泄露�,僅 37% 的企業(yè)制定了管理或檢測影子 AI 的政策。與較少使用影子AI的企業(yè)相比�,使用率高的企業(yè)平均數(shù)據(jù)泄露成本多出 67 萬美元。涉及影子 AI 的安全事件導致個人身份信息 (65%) 和知識產(chǎn)權 (40%) 泄露比例遠超全球均值(分別為 53% 和 33%)���。
- AI 驅(qū)動的智能攻擊:研究顯示�,16% 的數(shù)據(jù)泄露事件都涉及AI 工具的使用���,主要用于網(wǎng)絡釣魚或借助深度偽造的網(wǎng)絡攻擊���。
數(shù)據(jù)泄露的經(jīng)濟損失
- 數(shù)據(jù)泄露的成本:全球數(shù)據(jù)泄露平均成本降至 444 萬美元,為五年來首次下降��,而美國企業(yè)的平均泄露成本卻創(chuàng)下 1022 萬美元的新高��。
- 全球泄露處理周期創(chuàng)新低:隨著更多企業(yè)實現(xiàn)內(nèi)部漏洞自檢�,全球平均泄露處理周期(含服務恢復的漏洞識別與控制時間)縮短至 241 天,較上年減少 17 天���。相比被外部攻擊揭露的漏洞�,通過內(nèi)部檢測發(fā)現(xiàn)漏洞的機構平均減少90 萬美元損失�。
- 醫(yī)療行業(yè)泄露成本仍居首位。盡管醫(yī)療行業(yè)的數(shù)據(jù)泄露成本較 2024 年下降 235 萬美元,其 742 萬美元的平均損失仍在調(diào)研的所有行業(yè)中居首��。該行業(yè)的漏洞識別與控制周期長達 279 天�,比全球均值(241 天)多出 5 周以上。
- 勒索支付被更多企業(yè)抵制���。去年企業(yè)拒絕支付贖金的比例上升��,63% 的機構選擇拒付(2024 年為 59%)��。盡管更多企業(yè)抵制勒索�,敲詐及勒索軟件事件的平均成本仍居高不下——尤其當漏洞由攻擊者披露時�,損失高達 508 萬美元。
- AI 風險攀升下的安全投入增長乏力��。2025 年計劃在數(shù)據(jù)泄露后增加安全投入的企業(yè)比例顯著下降��,從 2024 年的 63% 降至 49%�。而在計劃追加投入的企業(yè)中,關注 AI 驅(qū)動的安全方案或服務的機構不足半數(shù)���。
數(shù)據(jù)泄露的長尾效應:運營中斷
根據(jù) 2025 年《數(shù)據(jù)泄露成本報告》���,幾乎所有受訪企業(yè)在數(shù)據(jù)泄露后都遭遇了運營中斷��。這種中斷嚴重拖累了恢復進度���,在報告恢復情況的企業(yè)中��,大多數(shù)平均耗時超 100 天�。
然而,數(shù)據(jù)泄露的影響遠不止于漏洞控制階段:盡管比例同比有所下降��,但近半數(shù)企業(yè)計劃因泄露事件提高商品或服務價格��,其中近三分之一的企業(yè)漲價幅度達 15% 及以上���。
關于《數(shù)據(jù)泄露成本報告》
《數(shù)據(jù)泄露成本報告》在過去 20 年里累計調(diào)研了近 6500 起數(shù)據(jù)泄露事件���。自 2005 年首次發(fā)布以來,數(shù)據(jù)泄露事件的本質(zhì)已發(fā)生巨變:早期風險主要來自實體層面���,如今�,網(wǎng)絡攻擊已全面數(shù)字化且針對性更強�,泄露事件的背后是一系列更復雜的惡意活動。
隨著企業(yè)AI 應用的加速�,本年度《數(shù)據(jù)泄露成本報告》首次聚焦以下領域:AI 安全防護與治理機制現(xiàn)狀�、AI 安全事件中的目標數(shù)據(jù)類型�、AI 驅(qū)動型攻擊的關聯(lián)損失、影子 AI的泛濫程度及風險特征��。結(jié)合往期報告中的研究發(fā)現(xiàn):
- 2005 年:近半數(shù) (45%) 數(shù)據(jù)泄露由筆記本電腦或 U 盤等設備丟失引發(fā)��,僅 10% 源于電子系統(tǒng)遭入侵�。
- 2015 年:云環(huán)境的配置錯誤尚未被列為獨立威脅類別,如今已成主要攻擊目標���。
- 2020 年:勒索軟件攻擊激增�,2021 年關聯(lián)泄露平均成本達 462 萬美元���,到2025年該數(shù)字攀升至 508 萬美元(前提是事件由攻擊者披露)�。
- 2025 年:本年度首次納入研究的 AI 安全領域��,正快速成為高價值攻擊目標���。
其他信息:
關于IBM
IBM 是全球領先的混合云、人工智能及企業(yè)服務提供商��,幫助超過 175 個國家和地區(qū)的客戶�,從其擁有的數(shù)據(jù)中獲取商業(yè)洞察,簡化業(yè)務流程��,降低成本���,并獲得行業(yè)競爭優(yōu)勢�。金融服務���、電信和醫(yī)療健康等關鍵基礎設施領域的超過 4000 家政府和企業(yè)實體依靠 IBM 混合云平臺和紅帽 OpenShift 快速�、高效���、安全地實現(xiàn)數(shù)字化轉(zhuǎn)型�。IBM 在人工智能、量子計算��、行業(yè)云解決方案和企業(yè)服務方面的突破性創(chuàng)新為我們的客戶提供了開放和靈活的選擇�。對企業(yè)誠信、透明治理���、社會責任�、包容文化和服務精神的長期承諾是 IBM 業(yè)務發(fā)展的基石�。了解更多信息,請訪問:https://www.ibm.com/cn-zh
IBM 媒體聯(lián)系人:
IBM中國公關部 崔守峰
shou.feng.cui@ibm.com
