过去的一年里，一次大型数据泄露的平均成本上升到了天文数字，受此类安全事件影响的企业预计将支付高达3.92亿美元的费用。

如今，数据泄露已是司空见惯的事情，消费者记录被盗被用于在地下论坛上销售，致使身份被盗的风险增加。针对未能保护数据的公司的监管、集体诉讼和新法律（如欧盟的GDPR）的出现，可实现对安全性不严格的数据控制者的重罚。

为了解决数据泄露的后果，公司需要在修复系统和升级架构上花费资金，需要投资于新的网络安全服务和网络取证，还可能要面临诉讼或监管处罚——当涉及客户PII的情况时其成本将会更高。

周三，IBM发布了年度数据泄露成本报告，称数据泄露的平均成本为386万美元。尽管与2019年相比，这一平均值下降了1.5％，但涉及超过5000万条消费者记录，这些“超大型”违规行为的补救费用可能高达3.92亿美元，高于2019年的3.88亿美元。

如果一个组织负责管理4000万至5000万条记录，平均成本为3.64亿美元，如果这些数据被盗或泄露，每条消费者记录的成本可能高达175美元。

这项由波耐蒙研究所(Ponemon Institute)进行的研究采访了3200多名安全专业人士，他们所在的公司在过去一年中经历过数据泄露。

正如最近Twitter遭黑客攻击所突显的那样，被泄露的员工和内部账户是当今数据泄露最昂贵的因素之一，一次数据泄露的平均成本高达477万美元。当涉及内部人员帐户时，80％的事件中涉及客户记录的暴光。

总体而言，被盗或受损的帐户凭据以及云配置错误导致了近40％的安全事件。

IBM表示，每五次入侵中，就有一次账户凭证被入侵用作攻击者入口，这导致仅在2019年就有85亿份记录被曝光。云配置错误占网络漏洞的近20％。

利用第三方漏洞，比如企业软件的零日漏洞或未打补丁的安全漏洞，也是造成数据泄露的一个代价高昂的因素。一家因此类漏洞而遭受数据泄露侵害的公司可能需要支付高达450万美元的赔偿。

国家支持的攻击，包括那些由高级持续威胁(advanced persistent threat, APT)组织发起的攻击，远没有那么常见，只占企业上报的数据泄露总量的13%。然而，当涉及这些威胁行为者时，它们造成的损害往往导致较高的恢复成本，平均为443万美元。

如果组织购买了网络保险，平均可以减少20万美元的损失，其中大部分的保险支出将用于法律服务和咨询费。

在报告中，IBM将人工智能、机器学习和自动化列为应对数据泄露的有价值的工具，这些工具可以将事件响应时间减少27%。

*本文出自SCA安全通信联盟，转载请注明出处。（SCA安全通信联盟原创文章对外开白，欢迎加微信MrYe9173751开白）