- 盡管全球數(shù)據(jù)泄露的平均成本降至 444 萬美元,美國企業(yè)的相關損失卻攀升至 1022 萬美元��;
- 在遭遇數(shù)據(jù)泄露的企業(yè)中��,僅有 49% 的企業(yè)計劃加強安全投入����。
北京2025年8月4日 /美通社/ -- IBM 近日發(fā)布的《2025年數(shù)據(jù)泄露成本報告》顯示,當前 AI 應用的推進速度遠快于其安全治理體系的建設��。該報告首次針對 AI 系統(tǒng)的安全防護����、治理機制及訪問控制展開研究,盡管遭遇 AI 相關安全漏洞的機構在調(diào)研樣本中占比不高�����,一個既定事實是:AI 已成為高價值�����、低門檻的網(wǎng)絡攻擊目標。
IBM發(fā)布《2025年數(shù)據(jù)泄露成本報告》
- 13% 的受訪企業(yè)報告了 AI 模型或應用的安全漏洞���,另有 8% 表示不確定是否遭遇過此類事件���;
- 在遭遇AI安全漏洞的企業(yè)中,絕大部分(97%)尚未部署 AI 訪問控制機制����;
- 由此導致 60% 的 AI 安全事件造成數(shù)據(jù)泄露,31% 引發(fā)業(yè)務中斷����。
本年度的調(diào)研結果揭示,許多企業(yè)為了加速AI 應用而繞過安全治理���。缺乏監(jiān)管的AI系統(tǒng)更易遭受攻擊���,且造成的損失更為慘重。
IBM 安全和運行時產(chǎn)品副總裁 Suja Viswesan 指出:"數(shù)據(jù)表明 AI 應用與監(jiān)管之間已存在斷層���,網(wǎng)絡攻擊者正伺機而動�����。上述報告顯示��,企業(yè)的AI 系統(tǒng)普遍缺乏基本的訪問控制�,導致敏感數(shù)據(jù)暴露、模型易被篡改�。隨著 AI 深度融入業(yè)務運營,其安全防護必須成為重中之重���。不作為的代價不僅是經(jīng)濟損失�����,更將損害用戶信任、透明度和控制力���。"
報告同時揭示:在安全運營中廣泛采用 AI 與自動化技術的企業(yè)����,其數(shù)據(jù)泄露損失平均減少 190 萬美元���,且處理周期平均減少 80 天����。
該報告由 Ponemon Institute 執(zhí)行、IBM 贊助分析�,數(shù)據(jù)來源于 2024 年 3 月至 2025年 2 月全球 600 家機構遭遇的數(shù)據(jù)泄露事件。該報告中關于 AI 安全漏洞�����、經(jīng)濟損失及業(yè)務中斷的關鍵發(fā)現(xiàn)如下:
AI 時代的安全漏洞
- AI 治理政策:在遭遇數(shù)據(jù)泄露的機構中����,63% 尚未建立 AI 治理政策或仍在制定中。在已制定AI 治理政策的機構中�,僅有 34% 會對非授權 AI 工具進行定期審計。
- 影子 AI 的代價:五分之一的企業(yè)報告稱曾因影子 AI(非監(jiān)管狀態(tài)下的 AI 工具使用)導致數(shù)據(jù)泄露��,僅 37% 的企業(yè)制定了管理或檢測影子 AI 的政策��。與較少使用影子AI的企業(yè)相比��,使用率高的企業(yè)平均數(shù)據(jù)泄露成本多出 67 萬美元�。涉及影子 AI 的安全事件導致個人身份信息 (65%) 和知識產(chǎn)權 (40%) 泄露比例遠超全球均值(分別為 53% 和 33%)。
- AI 驅(qū)動的智能攻擊:研究顯示�����,16% 的數(shù)據(jù)泄露事件都涉及AI 工具的使用,主要用于網(wǎng)絡釣魚或借助深度偽造的網(wǎng)絡攻擊�。
數(shù)據(jù)泄露的經(jīng)濟損失
- 數(shù)據(jù)泄露的成本:全球數(shù)據(jù)泄露平均成本降至 444 萬美元,為五年來首次下降��,而美國企業(yè)的平均泄露成本卻創(chuàng)下 1022 萬美元的新高��。
- 全球泄露處理周期創(chuàng)新低:隨著更多企業(yè)實現(xiàn)內(nèi)部漏洞自檢�����,全球平均泄露處理周期(含服務恢復的漏洞識別與控制時間)縮短至 241 天���,較上年減少 17 天�����。相比被外部攻擊揭露的漏洞,通過內(nèi)部檢測發(fā)現(xiàn)漏洞的機構平均減少90 萬美元損失����。
- 醫(yī)療行業(yè)泄露成本仍居首位。盡管醫(yī)療行業(yè)的數(shù)據(jù)泄露成本較 2024 年下降 235 萬美元����,其 742 萬美元的平均損失仍在調(diào)研的所有行業(yè)中居首�。該行業(yè)的漏洞識別與控制周期長達 279 天�����,比全球均值(241 天)多出 5 周以上�。
- 勒索支付被更多企業(yè)抵制。去年企業(yè)拒絕支付贖金的比例上升�,63% 的機構選擇拒付(2024 年為 59%)。盡管更多企業(yè)抵制勒索�����,敲詐及勒索軟件事件的平均成本仍居高不下——尤其當漏洞由攻擊者披露時�,損失高達 508 萬美元。
- AI 風險攀升下的安全投入增長乏力����。2025 年計劃在數(shù)據(jù)泄露后增加安全投入的企業(yè)比例顯著下降,從 2024 年的 63% 降至 49%�。而在計劃追加投入的企業(yè)中,關注 AI 驅(qū)動的安全方案或服務的機構不足半數(shù)���。
數(shù)據(jù)泄露的長尾效應:運營中斷
根據(jù) 2025 年《數(shù)據(jù)泄露成本報告》�,幾乎所有受訪企業(yè)在數(shù)據(jù)泄露后都遭遇了運營中斷。這種中斷嚴重拖累了恢復進度��,在報告恢復情況的企業(yè)中���,大多數(shù)平均耗時超 100 天��。
然而���,數(shù)據(jù)泄露的影響遠不止于漏洞控制階段:盡管比例同比有所下降,但近半數(shù)企業(yè)計劃因泄露事件提高商品或服務價格����,其中近三分之一的企業(yè)漲價幅度達 15% 及以上。
關于《數(shù)據(jù)泄露成本報告》
《數(shù)據(jù)泄露成本報告》在過去 20 年里累計調(diào)研了近 6500 起數(shù)據(jù)泄露事件��。自 2005 年首次發(fā)布以來���,數(shù)據(jù)泄露事件的本質(zhì)已發(fā)生巨變:早期風險主要來自實體層面�����,如今,網(wǎng)絡攻擊已全面數(shù)字化且針對性更強����,泄露事件的背后是一系列更復雜的惡意活動���。
隨著企業(yè)AI 應用的加速,本年度《數(shù)據(jù)泄露成本報告》首次聚焦以下領域:AI 安全防護與治理機制現(xiàn)狀���、AI 安全事件中的目標數(shù)據(jù)類型�����、AI 驅(qū)動型攻擊的關聯(lián)損失�、影子 AI的泛濫程度及風險特征���。結合往期報告中的研究發(fā)現(xiàn):
- 2005 年:近半數(shù) (45%) 數(shù)據(jù)泄露由筆記本電腦或 U 盤等設備丟失引發(fā)�,僅 10% 源于電子系統(tǒng)遭入侵�。
- 2015 年:云環(huán)境的配置錯誤尚未被列為獨立威脅類別,如今已成主要攻擊目標��。
- 2020 年:勒索軟件攻擊激增��,2021 年關聯(lián)泄露平均成本達 462 萬美元�,到2025年該數(shù)字攀升至 508 萬美元(前提是事件由攻擊者披露)。
- 2025 年:本年度首次納入研究的 AI 安全領域��,正快速成為高價值攻擊目標。
其他信息:
關于IBM
IBM 是全球領先的混合云�、人工智能及企業(yè)服務提供商��,幫助超過 175 個國家和地區(qū)的客戶�����,從其擁有的數(shù)據(jù)中獲取商業(yè)洞察���,簡化業(yè)務流程����,降低成本�,并獲得行業(yè)競爭優(yōu)勢。金融服務����、電信和醫(yī)療健康等關鍵基礎設施領域的超過 4000 家政府和企業(yè)實體依靠 IBM 混合云平臺和紅帽 OpenShift 快速、高效��、安全地實現(xiàn)數(shù)字化轉型���。IBM 在人工智能����、量子計算�����、行業(yè)云解決方案和企業(yè)服務方面的突破性創(chuàng)新為我們的客戶提供了開放和靈活的選擇�����。對企業(yè)誠信����、透明治理����、社會責任��、包容文化和服務精神的長期承諾是 IBM 業(yè)務發(fā)展的基石��。了解更多信息��,請訪問:https://www.ibm.com/cn-zh
IBM 媒體聯(lián)系人:
IBM中國公關部 崔守峰
shou.feng.cui@ibm.com
