IBM 發布的一份針對 113,620 起數據泄露事件的年度全球分析報告發現，平均數據泄露成本同比下降了 9%，這主要歸功于更快的發現和遏制速度。

該報告與波耐蒙研究所 (Ponemon Institute) 合作完成，發現全球平均數據泄露成本從 2024 年的 488 萬美元下降至 444 萬美元，與 2023 年的成本水平一致。然而，如果不是美國遭受攻擊，全球成本會更低，美國的平均成本飆升 9%，達到 1022 萬美元。

IBM X-Force 情報服務全球負責人 Kevin Albano 表示，盡管某些地區的網絡攻擊數量持續增加，但總體而言，網絡安全團隊在過去一年的應對能力比前幾年有所提升。他補充道，這表明網絡安全團隊在采用最佳實踐來預防網絡攻擊并在不到 100 天的時間內恢復方面，已經達到了更高的成熟度。

連續第二年，惡意內部攻擊導致的平均泄露成本最高，為 492 萬美元，緊隨其后的是供應鏈泄露（491 萬美元）和網絡釣魚攻擊（480 萬美元）。

報告還指出，2025年拒絕支付贖金的勒索軟件受害者數量（63%）高于2024年（59%）。然而，勒索或勒索軟件事件的平均成本仍然很高，尤其是在攻擊者披露的情況下（508萬美元）。與此同時，今年勒索軟件受害者報告涉及執法部門的人數（40%）低于去年的53%。

此外，IBM 報告還發現，與去年（53%）相比，計劃在數據泄露后投資安全的組織數量大幅減少（49%），其中不到一半的計劃投資安全計劃的組織專注于基于人工智能（AI）的安全解決方案或服務，盡管使用人工智能和自動化的安全團隊大大縮短了數據泄露時間 80 天，并將平均數據泄露成本降低了 190 萬美元。

報告還發現，人工智能正開始被網絡攻擊者更廣泛地利用。平均而言，16% 的數據泄露事件涉及攻擊者使用人工智能，最常見的是人工智能生成的網絡釣魚攻擊（37%）和深度偽造冒充攻擊（35%）。

同時，報告指出，涉及人工智能模型和應用程序的攻擊事件仍然有限（13%），其中97%源于缺乏適當的訪問控制。在今年接受調查的組織中，20%表示他們因涉及影子人工智能的安全事件而遭受數據泄露。大多數遭受數據泄露的組織（63%）要么沒有人工智能治理政策，要么仍在制定中。即使制定了政策，也只有不到一半的組織擁有人工智能部署的審批流程，61%的組織缺乏人工智能治理技術。

報告顯示，在已制定治理政策的組織中，只有少數（34%）對未經批準的人工智能進行定期審計。

評估數據泄露的成本自然會因組織而異。例如，IBM 就將數百萬美元的聲譽成本納入考量。無論使用何種指標，有一點是明確的：即使網絡安全維護難度加大，但基本的打地鼠游戲依然存在。

?????