数据泄露一次，公司会损失多少钱？

数据泄露的成本并不容易界定，但随着越来越多的组织成为攻击和信息泄露的受害者，其财务影响正变得愈发清晰。

对于现代企业而言，无论其行业或规模如何，数据泄露造成的财务影响都是巨大的。IBM最新的《数据泄露成本报告》发现，2024年3月至2025年2月期间，全球数据泄露的平均成本下降了9%，降至444万美元，这是五年来的首次下降。

IBM表示，更快地识别和遏制漏洞（这在很大程度上得益于人工智能和自动化的帮助，由企业自身的安全和服务团队完成）是这一下降趋势的原因。

这份由波耐蒙研究所开展、IBM赞助的2025年报告，基于对全球600家机构遭遇的数据泄露事件的分析得出。其中：

识别并遏制漏洞（包括恢复服务）的平均时间降至241天，较2024年的报告减少了17天。

在所有被研究的行业中，医疗行业的数据泄露成本仍然最高，平均为742万美元，尽管该行业与2024年相比成本降低了235万美元。

钓鱼攻击（16%）是报告中最常见的数据泄露根源。供应链入侵大幅上升，成为第二大最常见的攻击向量（15%），超过了凭证泄露。

埃里克·奥尼尔曾是联邦调查局反情报特工，现任NeXasure.ai的国家安全策略师，他表示，要对数据泄露成本做出比有根据的猜测更精准的判断并非易事，因此IBM的这份报告最好被视为反映行业趋势的有用指标。

奥尼尔表示：“这些变量——数据泄露范围、诉讼、补救措施、运营中断、声誉损害和监管处罚——数量太多且难以预测，无法进行精确计算。IBM的数据对于识别趋势很有价值，但它们仍然是近似值，而非精确测量结果。”

几位接受采访的专家指出，网络安全技能缺口、供应链漏洞以及不断升级的威胁态势是导致数据泄露代价更高、管理难度更大的三个主要因素。

区域成本

尽管全球范围内有所下降，但美国企业却逆势而行，2025年的预估成本升至1022万美元，较2024年的预估增长了9%。

根据IBM赞助的研究，这种上升部分是由更严厉的监管处罚和不断上升的检测成本推动的。

中东地区在报告中考虑了沙特阿拉伯和阿拉伯联合酋长国，在接受调查的16个国家和地区中排名第二，729万美元。

加拿大（484万美元）和英国（414万美元）仍位居受灾最严重的前10名，东盟（367万美元）、澳大利亚（255万美元）和印度（251万美元）则跻身前15名。

按行业划分的违规事件

医疗保健行业仍然是数据泄露单次成本最高的行业，尽管较去年的977万美元有所下降，但仍达到742万美元。

攻击者仍然看重并以医疗行业的患者个人身份信息（PII）为目标，这些信息可被用于身份盗窃、保险欺诈和其他金融犯罪。医疗数据泄露的识别和遏制时间最长，为279天，比全球平均水平多出五个多星期。

各行业的平均违规成本

声誉受损仍是遭遇数据泄露的一大代价

在许多方面难以估量的是，声誉损害仍然是数据泄露后最重大的代价之一。“归根结底，客户信任很容易被打破，却很难重建，”Forrester的高级分析师艾莉·梅伦表示。

UST的首席商务官鲍勃·杜蒂勒对此表示赞同：“数据泄露的成本通常体现在市场中的相对竞争变化上。企业会发现，其品牌无法再获得同等的价格溢价，客户转化成本更高，市场份额也会流失。对于上市公司而言，成本影响的短期评估会反映在股价波动上。”

杜蒂勒表示，研究显示，在美国，对于一家遭遇规模不大（不足25万条记录）的数据泄露的中型企业而言，800万至1000万美元是一个合理的规划金额。其中约三分之一的成本将源于声誉受损导致的业务损失。

梅伦指出，公司对数据泄露事件的应对和沟通方式，会对其声誉造成重大影响。她补充道：“了解如何维护与消费者和客户之间的信任，在这一点上确实至关重要。做到这一点是有方法的，特别是在建立透明度和运用同理心方面，这能极大地改变客户在数据泄露事件后对你的看法。如果你试图把问题掩盖起来或隐瞒不报，那么这对他们对你信任的影响，将远比数据泄露本身严重得多。”

 

严重的业务停机可能造成数百万美元的损失

对于遭受数据泄露的组织而言，业务中断可能代价高昂，具体取决于中断的程度和范围，以及公司对技术的依赖程度。

几乎所有接受研究的组织都遭遇了运营中断，从安全事件中恢复平均需要100天。

Coalfire公司的现场首席信息安全官贾森·希克斯表示：“通常情况下，一次数据泄露不会让公司完全下线，但这种情况也可能发生。被关闭的关键系统越多，损失就越重大。”

希克斯表示，制造业在这方面的衡量标准往往是最完善的，因为如果生产线停工，计算每分钟的成本相对简单。“对于大型制造企业来说，这可能意味着每天损失数百万美元。对于其他行业垂直领域来说，这一点可能更模糊，但有一些模型可以提供合理的参考，适用于每个垂直领域。”

监管和诉讼增加了数据泄露的成本

随着数据泄露和不合规事件的发生，日益严格的数据保护和隐私法以及相关诉讼正导致越来越多的公司被处以巨额罚款、支付高额和解金，并承担法律费用。

这份由IBM赞助的报告发现，三分之一的机构因数据泄露支付了监管罚款。美国机构支付的罚款最高，这一因素推高了整体的泄露成本。

“受监管行业不仅要承担应对、遏制和补救漏洞的直接成本，还要承受监管机构额外处罚和法律和解带来的长期影响，”尼克说。他补充道，医疗保健和金融服务等受高度监管的行业，通常在每次数据泄露的成本排名中位居第一和第二，因为它们支付的不合规罚款比其他行业更多。

“调查和裁决过程往往需要数年时间，受害组织才能与受影响方达成金钱和解。”尼克表示，法律成本是组织在数据泄露事件中面临的最大支出之一。“组织内部很少拥有法律和隐私方面的专业知识。为确保合规，他们必须聘请外部律师来主导报告工作。”

网络保险的作用

网络保险是企业降低数据泄露成本风险的一种方式。最近，网络保险保费的大幅上涨已趋于稳定，但即使是有保险覆盖的企业，在遭遇数据泄露后也可能需要额外支出资金来弥补损失。Guidehouse的尼克表示，其中一项明确的成本增加将是保费的上涨。“一些机构报告称，数据泄露后的保费上涨了约200%，”他补充道。

保险公司也在实施更多的承保范围限制，这意味着即使购买了保险，企业仍可能需要为某些与数据泄露相关的费用承担财务责任。

事实上，梅伦表示，任何认为相关政策能让企业从网络攻击中完全恢复财务状况的想法都是愚蠢的。她补充道：“实际上，这些政策无法覆盖与任何类型网络攻击相关的所有成本，而且我们发现，目前有些保险公司甚至不将勒索软件攻击纳入赔付范围。”

希克斯表示，另一个需要考虑的因素是，网络保险提供商通常会有一份经批准的服务提供商名单，比如律师和法医鉴定公司。

希克斯说：“如果您首选的供应商不在他们的名单上，您可能需要与他们合作，让该供应商被纳入名单，或者可能不得不更换供应商。这可能会耗费大量成本，因为公司通常会利用其现有的服务供应商，根据与合作伙伴的工作量来获得最大折扣。”

勒索软件受害者不愿支付赎金

去年，拒绝支付赎金的组织比例（63%）高于前一年（59%）。然而，勒索软件事件的平均成本估计仍为508万美元。

向执法部门报告这些勒索软件攻击的受害者减少了——今年有40%的组织这样做，而去年这一比例为53%。

 

安全人员配置不足导致违规成本上升

网络安全技能短缺问题多年来一直困扰着该行业。今年的报告发现，48%的组织存在严重的安全技能短缺，低于去年的53%。

根据IBM的最新报告，安全技能短缺是加剧数据泄露成本的最大因素之一，因网络技能短缺导致的数据泄露平均额外成本高达157万美元。

如果安保人员不足意味着更高的数据泄露成本，那么各组织就应该重视梅伦关于处理不当的数据泄露可能对员工造成影响的警告。

她说：“如果他们觉得在发生数据泄露时，公司无法保护他们或客户，或者公司将数据泄露归咎于员工，那么他们很可能会开始寻找其他工作，因为这会给他们营造一种充满敌意的环境。公司认识到自己需要承担责任并保护员工和客户，这一点非常重要。”

报告显示，在软件开发中采用DevSecOps方法是降低违规成本的首要因素，其重要性超过了人工智能和机器学习见解的应用。运行用于检测和响应威胁的安全信息和事件管理（SIEM）平台则跻身降低违规成本的三大因素之列。

五分之一的组织（20%）表示，他们因涉及影子AI或未经批准使用AI工具的安全事件而遭遇了数据泄露。报告称，影子AI正开始与供应链漏洞和安全系统复杂性相匹敌，成为加剧数据泄露成本的主要因素。

安全人工智能与自动化

面对员工和技能短缺的问题，CISO正在借助人工智能和自动化来弥补这一差距。根据IBM的最新报告，使用安全人工智能和自动化工具的组织每次数据泄露的平均成本约为222万美元，高于2023年的176万美元。

在安全运营中使用人工智能和自动化技术的英国组织，其数据泄露成本降至每年311万英镑，远低于不使用这些技术的组织378万英镑的平均成本。不到三分之一的英国组织在其安全运营中广泛使用人工智能技术，这一比例较去年略有上升。

在英国，大量使用安全人工智能和自动化技术的机构，识别数据泄露的平均时间（MTTI）和遏制数据泄露的平均时间（MTTC）分别为148天和42天——与不使用这些技术的机构（168天和64天）相比，将漏洞响应时间缩短了42天。

人工智能能够实时筛选海量数据，标记可疑行为，甚至采取即时遏制措施——往往在人类分析师做出反应之前就能做到。

“这就是几小时内响应与几天内响应的区别，后者会降低成本，”Quorum Cyber的威胁情报分析师克雷格·瓦特表示：“但人工智能仍然无法消除漏洞。”他补充道：“自动化或许能争取到时间，但尚未遏制更广泛的财务影响。”

威胁情报平台供应商SOCRadar的首席信息安全官恩萨尔·塞克尔认为，安全人工智能和自动化技术能够有效缩短漏洞响应时间，这主要是因为它们无需等待人工干预就能实现更快的检测、遏制和修复。

塞克表示：“将人工智能驱动的威胁检测与自动化响应工作流程相结合的组织，能够大幅缩短事件生命周期，通过限制损害窗口直接影响违规成本。”

然而，这些益处的分配并不均衡。“那些没有成熟流程或合适数据管道的公司往往无法实现人工智能所承诺的全部收益，”塞克尔警告道。“那些没有成熟流程或合适数据管道的公司往往无法实现人工智能所承诺的全部收益。”

 

与人工智能相关的安全漏洞

目前，涉及组织人工智能基础设施的安全事件仍然有限。平均而言，13%的组织报告称其人工智能模型或应用程序遭遇了数据泄露。但在那些经历过与人工智能相关的安全事件的组织中，几乎所有（97%）都缺乏适当的人工智能访问控制。

这些安全事件中最常见的发生在人工智能供应链中，通过受感染的应用程序、应用程序接口或插件。这些事件有时会产生连锁反应：导致更广泛的数据泄露（60%的案例）和运营中断（31%）。

提前防范是控制数据泄露成本的关键

表示在遭遇安全漏洞后计划投资于安全领域的全球组织数量大幅减少（2025年为49%，2024年为63%）。在那些计划在遭遇漏洞后进行投资的组织中，只有不到一半会专注于人工智能驱动的安全解决方案或服务。

无论涉及到的具体成本如何，专家们一致认为，做好防范准备是减轻数据泄露所带来的财务影响的关键。

“更快的事件响应仍然是降低数据泄露成本的明确驱动力。”UST的杜蒂勒表示：“最严重的损失是那些长时间未被发现，或者响应缓慢、效果不佳的情况。”

梅伦补充道，现代网络安全需要一种泄露后思维（post-breach mindset），这种思维会意识到数据泄露最终总会发生。

“在这种条件下运作，你需要弄清楚如何应对，并增强自身的韧性，以便能更快、更好地做出反应。这也不仅仅与安全职能有关，还需要在整个组织中推行，要考虑到营销部门会怎么做、销售部门会怎么做等等——作为一家企业，你该如何证明自己重视客户，并且希望尽快、有效地把问题解决好，”她说。

文章来源：安在