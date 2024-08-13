根据 IBM《2024 年数据泄露成本报告》，全球数据泄露平均成本已达 488 万美元，较去年的 445 万美元大幅增长，也是新冠疫情以来的最大年度涨幅。
金融行业企业的相关成本更高，处理数据泄露的平均支出达 608 万美元，比全球平均水平高出 22%。
以下是金融组织需重点关注的本年度《数据泄露成本报告》核心要点。
金融机构的数据泄露成本在所有行业中位列第二，仅低于医疗行业。医疗与金融行业在大规模数据泄露事件中的损失完全一致：当泄露记录达到 5000 万条及以上时，平均损失将飙升至 3.75 亿美元。
恶意攻击仍是金融行业的首要泄露源头，占比达 51%；而 IT 系统故障和人为失误分别占比 25% 和 24%，合计贡献了四分之一的泄露事件。
在检测与遏制时效上，金融组织平均需 168 天识别数据泄露，后续遏制则需 51 天。尽管这一数据优于全球平均水平，全球平均识别时间为 194 天、遏制时间为 64 天。
但 168 天近乎半年的识别周期，仍给攻击者留下了充足的渗透与破坏窗口。
简而言之，成本正在上涨。
2021 年，金融公司数据泄露平均成本为 572 万美元。金融行业数据泄露平均成本在 2022 年达到 597 万美元，2023 年稳定在 590 万美元。2024 年，该平均成本上涨 3% 至 608 万美元，同时，涉及 5000 万条及以上记录的大规模数据泄露成本，较往年增加了 4000 万美元，达到 3.75 亿美元。
但并非全是坏消息。数据泄露识别时间缩短了 9 天，遏制时间加快了 5 天。此外，2024 年人为失误导致的泄露占比显著下降。如前文所述，今年 24% 的泄露根本原因与意外操作相关，而 2023 年这一比例为 33%。
为降低数据泄露风险，金融机构正加大对事件响应 (IR) 与身份访问管理 (IAM) 的投入。成本降低的成效十分显著：拥有专业 IR 团队并开展全面安全测试的企业，年均可节省 24.8 万美元；部署 IAM 解决方案的企业，每年最高能节省 22.3 万美元。
而金融行业 IT 安全投资中成效最突出的，当属 AI 与自动化技术。研究数据显示，运用 AI 与自动化的金融机构，相较于未使用者平均可节省 190 万美元。
但值得注意的是，仅有 24% 的生成式 AI 项目部署了安全防护措施。因此，金融机构必须为这类工具建立专门的安全框架，否则 AI 可能成为新的攻击向量，带来额外数据泄露风险。
考虑到金融机构面临监管机构的严格审查，且需遵守大量合规法规，安全投资与智能化安全管理对它们而言至关重要。
例如，尽管金融组织熟悉《银行保密法》(BSA) 项下的反洗钱规则，以及《萨班斯-奥克斯利法案》要求的职责分离原则，但在应对 CCPR、GDPR、LGPD 等区域性法规时，仍可能遭遇挑战。以 GDPR 为例，金融组织若违反相关规定，首次违规最高可被处以上一财年营收 2% 的罚款，若曾因同类违规被处罚过，罚款金额最高可达上一财年营收的 4%。
简单来说？金融机构的数据泄露成本远不止检测、清除与修复这些直接支出。威胁识别与消除的延迟，还会引发额外的监管成本，而这部分成本甚至可能超过初始支出。
IBM《2024 年数据泄露成本报告》显示，对事件响应、身份访问管理及 AI 技术的大力投入，能有效帮助金融机构加固安全防御、降低数据泄露相关成本。
