• 儘管全球數(shù)據(jù)洩露的平均成本降至 444 萬美元，美國企業(yè)的相關(guān)損失卻攀升至 1022 萬美元；
• 在遭遇數(shù)據(jù)洩露的企業(yè)中，僅有 49% 的企業(yè)計劃加強安全投入。

香港2025年8月7日 /美通社/ -- IBM 近日發(fā)佈的《2025年數(shù)據(jù)洩露成本報告》顯示，當前 AI 應用的推進速度遠快於其安全治理體系的建設(shè)。該報告首次針對 AI 系統(tǒng)的安全防護、治理機制及訪問控制展開研究，儘管遭遇 AI 相關(guān)安全漏洞的機構(gòu)在調(diào)研樣本中佔比不高，一個既定事實是：AI 已成為高價值、低門檻的網(wǎng)絡(luò)攻擊目標。

IBM發(fā)佈《2025年數(shù)據(jù)洩露成本報告》

• 13% 的受訪企業(yè)報告了 AI 模型或應用的安全漏洞，另有 8% 表示不確定是否遭遇過此類事件；
• 在遭遇AI安全漏洞的企業(yè)中，絕大部分（97%）尚未部署 AI 訪問控制機制；
• 由此導致 60% 的 AI 安全事件造成數(shù)據(jù)洩露，31% 引發(fā)業(yè)務(wù)中斷。

本年度的調(diào)研結(jié)果揭示，許多企業(yè)為了加速AI 應用而繞過安全治理。缺乏監(jiān)管的AI系統(tǒng)更易遭受攻擊，且造成的損失更為慘重。

在遭遇數(shù)據(jù)洩露的機構(gòu)中，63% 尚未建立 AI 治理政策或仍在制定中。

IBM 安全和運行時產(chǎn)品副總裁 Suja Viswesan 指出：「數(shù)據(jù)表明 AI 應用與監(jiān)管之間已存在斷層，網(wǎng)絡(luò)攻擊者正伺機而動。上述報告顯示，企業(yè)的AI 系統(tǒng)普遍缺乏基本的訪問控制，導致敏感數(shù)據(jù)暴露、模型易被篡改。隨著 AI 深度融入業(yè)務(wù)運營，其安全防護必須成為重中之重。不作為的代價不僅是經(jīng)濟損失，更將損害用戶信任、透明度和控制力?！?/p>

報告同時揭示：在安全運營中廣泛採用 AI 與自動化技術(shù)的企業(yè)，其數(shù)據(jù)洩露損失平均減少 190 萬美元，且處理週期平均減少 80 天。

該報告由 Ponemon Institute 執(zhí)行、IBM 贊助分析，數(shù)據(jù)來源於 2024 年 3 月至 2025年 2 月全球 600 家機構(gòu)遭遇的數(shù)據(jù)洩露事件。該報告中關(guān)於 AI 安全漏洞、經(jīng)濟損失及業(yè)務(wù)中斷的關(guān)鍵發(fā)現(xiàn)如下：

AI 時代的安全漏洞

• AI 治理政策：在遭遇數(shù)據(jù)洩露的機構(gòu)中，63% 尚未建立 AI 治理政策或仍在制定中。在已制定AI 治理政策的機構(gòu)中，僅有 34% 會對非授權(quán) AI 工具進行定期審計。
• 影子 AI 的代價：五分之一的企業(yè)稱曾因影子 AI（非監(jiān)管狀態(tài)下的 AI 工具使用）導致數(shù)據(jù)洩露，僅 37% 的企業(yè)制定了管理或檢測影子 AI 的政策。與較少使用影子AI的企業(yè)相比，使用率高的企業(yè)平均數(shù)據(jù)洩露成本多出 67 萬美元。涉及影子 AI 的安全事件導致個人身份信息 (65%) 和知識產(chǎn)權(quán) (40%) 洩露比例遠超全球均值（分別為 53% 和 33%）。
• AI 驅(qū)動的智能攻擊：研究顯示，16% 的數(shù)據(jù)洩露事件都涉及AI 工具的使用，主要用於網(wǎng)絡(luò)釣魚或借助深度偽造的網(wǎng)絡(luò)攻擊。

數(shù)據(jù)洩露的經(jīng)濟損失

• 數(shù)據(jù)洩露的成本：全球數(shù)據(jù)洩露平均成本降至 444 萬美元，為五年來首次下降，而美國企業(yè)的平均洩露成本卻創(chuàng)下 1022 萬美元的新高。
• 全球洩露處理週期創(chuàng)新低：隨著更多企業(yè)實現(xiàn)內(nèi)部漏洞自檢，全球平均洩露處理週期（含服務(wù)恢復的漏洞識別與控制時間）縮短至 241 天，較上年減少 17 天。相比被外部攻擊揭露的漏洞，通過內(nèi)部檢測發(fā)現(xiàn)漏洞的機構(gòu)平均減少90 萬美元損失。
• 醫(yī)療行業(yè)洩露成本仍居首位。儘管醫(yī)療行業(yè)的數(shù)據(jù)洩露成本較 2024 年下降 235 萬美元，其 742 萬美元的平均損失仍在調(diào)研的所有行業(yè)中居首。該行業(yè)的漏洞識別與控制週期長達 279 天，比全球均值（241 天）多出 5 周以上。
• 勒索支付被更多企業(yè)抵制。去年企業(yè)拒絕支付贖金的比例上升，63% 的機構(gòu)選擇拒付（2024 年為 59%）。儘管更多企業(yè)抵制勒索，敲詐及勒索軟件事件的平均成本仍居高不下——尤其當漏洞由攻擊者披露時，損失高達 508 萬美元。
• AI 風險攀升下的安全投入增長乏力。2025 年計劃在數(shù)據(jù)洩露後增加安全投入的企業(yè)比例顯著下降，從 2024 年的 63% 降至 49%。而在計劃追加投入的企業(yè)中，關(guān)注 AI 驅(qū)動的安全方案或服務(wù)的機構(gòu)不足半數(shù)。

數(shù)據(jù)洩露的長尾效應：運營中斷

根據(jù) 2025 年《數(shù)據(jù)洩露成本報告》，幾乎所有受訪企業(yè)在數(shù)據(jù)洩露後都遭遇了運營中斷。這種中斷嚴重拖累了恢復進度，在報告恢復情況的企業(yè)中，大多數(shù)平均耗時超 100 天。

然而，數(shù)據(jù)洩露的影響遠不止於漏洞控制階段：儘管比例同比有所下降，但近半數(shù)企業(yè)計劃因洩露事件提高商品或服務(wù)價格，其中近三分之一的企業(yè)漲價幅度達 15% 及以上。

關(guān)於《數(shù)據(jù)洩露成本報告》

《數(shù)據(jù)洩露成本報告》在過去 20 年里累計調(diào)研了近 6500 起數(shù)據(jù)洩露事件。自 2005 年首次發(fā)佈以來，數(shù)據(jù)洩露事件的本質(zhì)已發(fā)生巨變：早期風險主要來自實體層面，如今，網(wǎng)絡(luò)攻擊已全面數(shù)字化且針對性更強，洩露事件的背後是一系列更複雜的惡意活動。

隨著企業(yè)AI 應用的加速，本年度《數(shù)據(jù)洩露成本報告》首次聚焦以下領(lǐng)域：AI 安全防護與治理機制現(xiàn)狀、AI 安全事件中的目標數(shù)據(jù)類型、AI 驅(qū)動型攻擊的關(guān)聯(lián)損失、影子 AI的泛濫程度及風險特徵。結(jié)合往期報告中的研究發(fā)現(xiàn)：

• 2005 年：近半數(shù) (45%) 數(shù)據(jù)洩露由筆記本電腦或 U 盤等設(shè)備丟失引發(fā)，僅 10% 源於電子系統(tǒng)遭入侵。
• 2015 年：雲(yún)環(huán)境的配置錯誤尚未被列為獨立威脅類別，如今已成主要攻擊目標。
• 2020 年：勒索軟件攻擊激增，2021 年關(guān)聯(lián)洩露平均成本達 462 萬美元，到2025年該數(shù)字攀升至 508 萬美元（前提是事件由攻擊者披露）。
• 2025 年：本年度首次納入研究的 AI 安全領(lǐng)域，正快速成為高價值攻擊目標。

其他信息：

• 點擊此處，下載完整版《2025 年數(shù)據(jù)洩露成本報告》。
• 註冊參加將於美國東部時間 2025 年 8 月 13 日上午11點舉行的網(wǎng)絡(luò)研討會。
• 閱讀IBM 博客「2025 Cost of a Data Breach Report: Navigating the AI rush without sidelining security」，瞭解報告的更多發(fā)現(xiàn)。

關(guān)於IBM

IBM 是全球領(lǐng)先的混合雲(yún)、人工智能及企業(yè)服務(wù)提供商，幫助超過 175 個國家和地區(qū)的客戶，從其擁有的數(shù)據(jù)中獲取商業(yè)洞察，簡化業(yè)務(wù)流程，降低成本，並獲得行業(yè)競爭優(yōu)勢。金融服務(wù)、電信和醫(yī)療健康等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的數(shù)千家政府和企業(yè)實體依靠 IBM 混合雲(yún)平臺和紅帽 OpenShift 快速、高效、安全地實現(xiàn)數(shù)字化轉(zhuǎn)型。IBM 在人工智能、量子計算、行業(yè)雲(yún)解決方案和企業(yè)服務(wù)方面的突破性創(chuàng)新為我們的客戶提供了開放和靈活的選擇。對企業(yè)誠信、透明治理、社會責任、包容文化和服務(wù)精神的長期承諾是 IBM 業(yè)務(wù)發(fā)展的基石。瞭解更多信息，請訪問： www.ibm.com/

傳媒查詢：

郭韜 gguotao@cn.ibm.com