必须了解的84项数据泄露统计数据 [2023]

随着越来越多的公司遭遇严重的安全漏洞，数据泄露的浪潮正在兴起。数据泄露统计数据表明，黑客获取数据的动机非常强烈，而个人信息是一种非常有价值的泄露数据。同样明显的是，尽管违规行为变得越来越普遍，但公司仍然没有做好足够的准备。

国外安全机构编制了2023年84项数据泄露统计数据，其中还涵盖数据泄露类型、行业特定统计数据、风险、成本以及数据泄露防御和预防资源。希望这将帮助组织了解数据安全的重要性以及如何更好地分配其安全预算。

数据泄露的成本

数据泄露对企业来说代价高昂，这已不是什么秘密。为了计算数据泄露的平均成本，安全机构收集了被泄露组织遭受的直接和间接费用。

直接费用包括法证专家、热线支持、信用监控订阅和潜在的和解费用。间接成本包括内部调查和沟通，以及客户流失或公司在违规后声誉受到影响而导致的利率下降。请参阅下文，了解遭遇违规的代价有多大，以及哪些因素会导致成本进一步上升。

1. 勒索软件泄露的平均总成本为 513 万美元，比 2022 年高出 13%。这明显高于 445 万美元的平均数据泄露成本 ( IBM )。 

2. 数据泄露的平均每条记录（人均）成本为 165 美元，比 2022 年高出 1 美元 ( IBM )。

3. 自 2020 年以来，医疗保健违规成本增加了 53.3%，达到 1093 万美元 ( IBM )。

4. 医疗数据泄露事件连续 13 年损失惨重 ( IBM )

5. 到 2023 年，检测和升级将占违规成本的最大份额，平均总成本为 158 万美元（IBM ）。

6. 生命周期超过 200 天的违规事件的平均成本为 495 万美元 ( IBM )。

7. 51% 的成本发生在数据泄露后的第一年 ( IBM )。

8. 2023 年，美国是数据泄露平均总成本最高的国家，达到 948 万美元。中东地区紧随其后，销售额为 807 万美元 ( IBM )。

9. 2023 年，大规模泄露 50 至 6000 万条记录的平均成本为 3.32 亿美元，低于 2021 年的 4.01 亿美元 ( IBM )。

10. 每年，在违规事件发生后的两年内，医院在广告上的支出会增加 64% （《美国管理医疗杂志》）。

11. 网络钓鱼是最昂贵的初始攻击媒介，到 2023 年，其成本将达到 490 万美元( IBM )。

12. 违规程度较高的组织的平均成本为 505 万美元，比平均水平高出 12.6% ( IBM )。

数据泄露

在准备和管理数据泄露时需要考虑许多因素，例如响应数据泄露所需的时间以及它对您公司的声誉影响。请阅读下文，了解违规行为是如何发生的、查看平均响应时间并了解其他重要信息。

违规行为是如何发生的 

1. 2022 年 83% 的数据泄露涉及内部参与者( Verizon )。

2. 95% 的数据泄露都是出于经济动机。自 2019 年以来，这一数字增长了 24%。（Verizon）。

3. 勒索软件占恶意软件使用事件的近 24% ( Verizon )。

4. 2016 年，95% 的泄露记录来自政府、零售和技术部门( TechRepublic )。

5. 在超过 70% 的案例中，违规行为可以追溯到有组织的犯罪集团 ( Verizon )。

平均响应时间和生命周期

1. 全球范围内平均需要 204 天才能发现数据泄露( IBM )。

2. 使用威胁情报的组织识别威胁的速度平均要快 28 天 ( IBM )。

3. 遏制违规行为的平均时间为 73 天 ( IBM )。

4. 使用被盗或泄露凭证的违规行为需要最长的时间才能解决，为 88 天（328 天数据泄露生命周期）( IBM )。

5. 少于 200 天的数据泄露生命周期比超过 200 天的数据泄露生命周期平均减少 102 万美元 ( IBM )。

重要信息

1. 2022 年，全球发生了 55 亿次恶意软件攻击，2021 年增加了 1 亿次（Statista）。

2. 过去十年中，美国的数据泄露事件显着增加，从 2012 年的区区 447 起增加到 2022 年的 1,800 多起（Statista）。

3. 从 2021 年 11 月到 2022 年 10 月，Microsoft Office 应用程序是全球最常被利用的应用程序，占 70% ( Statista )。

4. 从 2017 年到 2022 年的五年间，美国泄露的医疗数据记录数量从 530 万条猛增至 5140 万条（Statista）。

5. 2021 年，酒店行业 98% 的销售点数据泄露都是出于经济动机 ( Verizon )。

6. 网络欺诈给美国人造成了 88 亿美元的损失，2022 年损失中位数为 650 美元（《美国新闻》）

远程工作

此次疫情为远程办公开辟了道路，远程办公已被广泛采用为正常的业务功能。虚拟环境的适当安全对于阻止数据泄露至关重要。网络犯罪分子可以针对医疗保健行业的弱势受害者以及失业或远程工作的人。以下是一些与远程工作相关的最具影响力的数据泄露统计数据。

1. 当远程员工是造成数据泄露的一个因素时，数据泄露的平均总成本会高出 173,074 美元( IBM )。

2. 91% 的网络安全专业人员表示，由于远程工作，网络攻击有所增加 ( Zipdo )。

3. Web 应用程序泄露占所有泄露的 25%，其中大部分是被盗凭证和漏洞 ( Verizon )。

4. 2020 年 3 月，网络诈骗增加了 400%，使 COVID-19 成为有史以来最大的安全威胁 ( Reed Smith )。

数据泄露风险

IBM 的数据泄露成本报告 发现，数据泄露的平均成本为 386 万美元，并且呈上升趋势。这些数据尤其证实了投资预防性数据安全的重要性。请参阅下面的数据泄露风险统计数据，以帮助量化这些破坏性攻击的影响、动机和原因。

1. 截至 2021 年，金融服务员工可以访问 1100 万个文件( Varonis )。

2. 平均分布式拒绝服务 (DDoS) 攻击从 2021 年的 30 分钟增长到 2022 年的 50 分钟 ( G2 )。

3. 与 2021 年 ( G2 )相比，2022 年 DDoS 攻击增加了 332% 。

4. 2022 年最常见的 DDoS 攻击媒介是 NTP 放大、memcached 和 UDP 攻击 ( Nexusguard )。

5. 到 2021 年，超过 64% 的金融服务公司拥有 1,000 多个敏感文件，可供每位员工访问 ( Varonis )。

6. 平均到 2021 年，所有敏感数据中有 70% 被认为是过时的 ( Varonis )。

7. 58% 的公司发现 1,000 多个文件夹的权限不一致 ( Varonis )。

8. 公司中只有 5% 的文件夹受到保护 ( Varonis )。

9. 59% 的金融服务公司拥有超过 500 个永不过期的密码，近 40% 的公司拥有超过 10,000 个幽灵用户 ( Varonis )。

10. 近四分之三的美国小企业主报告称 2022 年遭受了网络攻击 ( ITRC )。

11. 2022 年，81% 已确认的违规行为是由于密码较弱、重复使用或被盗造成的（LastPass）。

12. 预计每 39 秒就会发生一次网络攻击（马里兰大学）。

13. 数据泄露规模越大，组织在接下来的两年内再次发生泄露的可能性就越小 ( IBM )。

14. 安全系统复杂性对数据泄露的总成本影响最大 ( IBM )。

15. 62% 的不涉及错误、误用或物理行为的违规行为涉及使用被盗凭证、暴力破解或网络钓鱼 ( Varonis )。

违规预测

在快速发展的数据安全领域，企业主了解所有潜在问题至关重要。以下是预计未来几年可能发生的网络安全事件。

1. 到 2025 年，全球网络犯罪预计将造成 10.5 万亿美元的损失，同比增长 15% （Cybersecurity Ventures）。

2. 气候变化引起的自然灾害将推动更多捐款，从而导致网络钓鱼诈骗增加（Experian）。

3. 随着越来越多的州将在线体育博彩合法化（ Experian），网络钓鱼诈骗者也将针对在线赌徒。

4. 网络犯罪分子将寻求利用远程工作、学习和玩游戏的个人（Experian）。

5. 随着越来越多的攻击者了解加密货币和 NFT 的漏洞，数字资产将成为身份盗窃的一种手段（Experian）。

6. 网络攻击者将开始瞄准电网、水坝和交通网络等物理基础设施。当美国国会试图重建过时的基础设施时，这种情况尤其有可能发生（Experian）。

7. 安全人工智能和自动化将成为企业保护自己免受网络攻击和检测问题的重要组成部分 ( IBM )

历史数据泄露统计

历史上记录的一些最严重的数据泄露事件发生在 2005 年及以后。一旦政府和企业从纸质存储转向数字存储，数据泄露就变得更加普遍。

仅 2005 年，隐私权信息交换所就报告了 136 起数据泄露事件，此后已公开的数据泄露事件超过 4,500 起。然而，有理由相信数据泄露的实际数量可能要高得多，因为隐私权信息交换所报告的一些数据泄露事件的受损记录数量未知。仅2014 年 Verizon 数据泄露调查就报告了 2,100 起数据泄露事件，泄露了 7 亿条记录。

下面，我们提供了导致并启动数据渗透时代的数据泄露统计数据列表。

1. 第一个计算机病毒名为 Creeper，于20世纪70年代初被发现（《信息史》）。

2. 2005 年，隐私权信息交换所 (Privacy Rights Clearinghouse) 开始了其数据泄露年表(Symantec)。

3. 2005 年首次数据泄露（DSW Shoe Warehouse）泄露了超过一百万条记录（赛门铁克）。

4. 最大规模的内部攻击发生在 1976 年至 2006 年期间，当时波音公司的格雷格·钟（Greg Chung）窃取了价值 20 亿美元的航空航天文件。

5. AOL 是 1996 年网络钓鱼攻击（Phishing ）的第一个已知受害者。

6. 2017年，美国三大信用报告机构之一的Equifax意外泄露了1.455亿个账户，其中包括美国消费者的姓名、社会安全号码、出生日期、地址，在某些情况下还包括驾驶执照号码（赛门铁克）。

7. 2018 年上半年，社交媒体数据泄露占数据泄露的 56% ( ITWeb )。

8. 2022 年，美国发生了 1,802 起数据泄露事件，4.2214 亿条记录被泄露（Statista）。

9. 2019 年前 6 个月，数据泄露事件暴露了 41 亿条记录（《福布斯》）。

10. 截至今年，网络攻击被认为是全球稳定的十大风险之一（世界经济论坛）。

有记录的最大数据泄露事件

数据泄露变得越来越普遍，最近发生的一些数据泄露事件是有记录以来最大规模的。以下是历史上最大的数据泄露事件。

1. Cam4 保持着有史以来最大规模的数据泄露记录，有 100 亿个账户被盗（Statista）。

2. 2013 年，雅虎遭到黑客攻击，其 30 亿账户全部受到影响。这是近十年来最严重的违规行为（《纽约时报》）。

3. 2019 年，第一美国金融公司有 8.85 亿条记录在网上曝光，包括银行交易、社会安全号码等。（小发明）

4. 2019年，Facebook有5.4亿条用户记录暴露在亚马逊云服务器（CBS）上。

5. 2018 年，万豪国际集团的数据泄露影响了大约 5 亿客人（《纽约时报》）。

6. 2016年，AdultFriendFinder网络遭到黑客攻击，暴露了4.12亿用户的私人数据（ID Strong）。

7. Experian 旗下的 Court Ventures 无意中将信息直接出售给一家越南欺诈服务机构，涉及多达 2 亿条记录（《福布斯》）。

8. 2017 年，近 2 亿选民的数据从 Deep Root Analytics ( CNN ) 在线泄露。

9. 2014年，eBay 遭到黑客攻击，导致 1.45 亿条记录被盗（雅虎）。

10. 2008 年和 2009 年，Heartland Payment Systems 遭受了数据泄露，导致 1.3 亿条记录被泄露（Tom's Guide）。

11. 2007 年，TJX Companies Inc. 的一次安全漏洞泄露了 9400 万条记录（《信息周刊》）。

12. 2015 年，Anthem 遭遇了一次泄露，导致 8000 万条记录泄露( Anthem )。

13. 2013 年，Target 确认了一次泄露事件，导致 7000 万条记录泄露( KrebsOnSecurity )。

数据泄露预防

您可以采取各种主动方法来降低遭遇违规的可能性。识别数据的网络安全风险是一个很好的起点。了解公司如何改变预算和优先事项以保护其资产和客户免受网络攻击。

1. 63% 的公司已实施或计划实施生物识别系统( Veridium )。

2. 2023 年安全预算平均增长 6%，低于上一个预算周期 17% 的增幅（救网安全）。

3. 到 2023 年，40% 的组织的 IT 预算将增加，其中网络安全是增加投资的首要类别之一 ( NordLayer )。

4. 据预测，2021 年至 2025 年间，全球网络安全支出将累计超过 1.75 万亿美元（网络犯罪杂志）。

5. 到 2022 年，全球 IT 安全支出将增长至 1930 亿美元，预计到 2023 年底将增长 12.1%，达到 2190 亿美元 ( ITC )。

6. 继 2021 年大幅增长之后，勒索软件尝试数量在 2022 年降至 4.94 亿次。这仍比 2020 年高出 60%（Statista）。

7. 58% 的组织将在未来两年内将其应用程序组合迁移到公共云。这改变了他们防止攻击所需的工具和方法 ( CSO )。

数据泄露的定义

数据泄露是指未经许可访问机密或敏感信息的任何事件。注意：数据不一定要从网络中泄露才能被视为违规。违规是犯罪分子未经授权访问计算机系统或网络而进行网络攻击的结果。然后，他们窃取其中包含的客户或用户的私人、敏感或机密的个人和财务数据。

数据泄露中使用的常见网络攻击有：

• 勒索软件

• 恶意软件

• 网络钓鱼

• 拒绝服务

数据泄露的根源

尽管由于云计算和数字存储的增加，如今数据泄露似乎更加普遍，但只要公司保留机密信息和私人记录，数据泄露就一直存在。然而，公开披露的数据泄露事件在 20 世纪 80 年代越来越频繁，人们对数据泄露的认识也在 2000 年代初有所提高。

据安全不足办公室称，1984 年，全球信用信息公司 TRW（现称为 Experian）遭到黑客攻击，9000 万条记录被盗。1986 年，加拿大税务局的 1600 万条记录被盗。

大多数有关数据泄露的公开信息只能追溯到2005年。2020年，多项调查显示，超过一半的美国人担心自然灾害期间的数据泄露，以及大流行造成的个人安全。如今，一次全公司范围内的数据泄露往往会影响数百万消费者。

数据泄露是如何发生的？

当网络犯罪分子渗透数据源并提取机密信息时，就会发生数据泄露。这可以通过访问计算机或网络窃取本地文件或远程绕过网络安全来完成。虽然大多数数据泄露归因于黑客或恶意软件攻击，但其他泄露方法包括内部泄密、支付卡欺诈、文件物理硬盘丢失或被盗以及人为错误。数据泄露中最常见的网络攻击概述如下。

勒索软件 

勒索软件是一种获取并锁定重要数据访问权限的软件。数据在文件和系统中被加密，并且需要付费（通常以加密货币的形式）才能重新获得对它们的访问权限。

共同目标：企业公司和企业 

恶意软件

恶意软件通常称为“恶意软件”，是描述任何有害地探测系统的程序或代码的术语。恶意软件旨在感染您的计算机，并且通常伪装成针对有害软件的警告。虚假警告试图说服用户下载不同类型的软件，虽然它不会损坏系统的物理硬件，但它可以窃取、加密或劫持计算机功能。

当您浏览被黑客入侵的网站、下载受感染的文件或从缺乏反恶意软件安全功能的设备打开电子邮件时，恶意软件可能会渗透您的计算机。

共同目标：个人和企业

网络钓鱼

网络钓鱼诈骗是黑客获取敏感或机密信息的最常见方式之一。网络钓鱼涉及发送看似来自信誉良好的公司的欺诈性电子邮件，其目的是欺骗收件人点击恶意链接或下载受感染的附件，通常目的是窃取财务或机密信息。

共同目标：个人和企业

拒绝服务 (DoS)

拒绝服务是一种网络攻击，攻击者试图通过暂时或无限期中断连接到互联网的主机的服务来使其目标用户无法使用机器或网络资源。它通常是通过向目标计算机或资源发送多余的请求来实现的，试图使系统超载并阻止部分或全部合法请求得到满足。

共同目标：托管在知名网络服务器上的网站或服务，例如银行

数据泄露防御+预防资源

随着未来几年预计会有更多迭代，公司需要研究GDPR 的经验教训并更新其数据治理实践。正确设置文件权限并删除陈旧数据至关重要。

保持数据分类和治理符合标准有助于保持对HIPAA、SOX、ISO 27001等数据隐私法规的遵守。如今，现代解决方案提供了强大的保护和更主动的安全方法，以确保敏感信息的安全。

检查您的数据泄露响应计划并尝试免费风险评估以了解您的漏洞所在。

以下资源提供了有关改进数据保护的更多信息以及预防数据泄露的提示。

• Varonis 红色警报数据泄露报告

• Varonis 2021 年财务数据风险报告

• Verizon 的数据泄露调查报告 (DBIR)

• IBM 2020 年数据泄露成本报告 

• DataLossDB，由开放安全基金会维护

•  波奈蒙研究所

• 数据泄露风险计算器

• 身份盗窃资源中心

• 基于风险的年中数据泄露报告

数据泄露保险类型

为了减轻数据丢失带来的风险，许多公司现在购买数据泄露保险来支持其数据泄露预防和缓解计划。数据泄露保险有助于弥补与数据安全泄露相关的成本。它可用于支持和保护广泛的组成部分，例如公共关系危机、保护解决方案和责任。它还可能涵盖因违规行为而累积的任何法律费用。

常见的数据泄露保险类型有：

第一方保险

由于数据泄露会产生多种不同的后果，因此需要花费大量的时间和金钱来恢复。从恢复数据到通知利益相关者，第一方保险涵盖以下内容：

• 调查成本

• 通知所有受影响方

• 现场询问

• 帮助受影响方的工具

第三方保险

第三方保险主要由承包商和 IT 专业人员用来减轻责任。承保费用可能包括以下内容：

• 律师费

• 定居点

• 判断和责任

• 其他法庭费用，如证人费、备审费等。

数据泄露统计常见问题解答

以下是一些有关数据泄露的最常见问题，并提供了数据泄露统计数据和事实支持的答案。

发生了多少数据泄露事件？

答：隐私权信息交换所保留了自 2005 年以来的数据和公共安全泄露事件的年表。数据泄露的实际数量尚不清楚。隐私权信息交换所估计自 2005 年以来已发生 9,044 起公开违规事件，但由于该组织不会报告泄露记录数量未知的违规事件，因此可以推测还会有更多违规事件。

历史上最大的数据泄露事件是什么？

答：Cam 4 保持着有史以来最大规模的数据泄露记录，有超过 100 亿个账户被盗（Statista）。

去年发生了多少起数据泄露事件？

答：2022 年已确认发生 5,212 起数据泄露事件（Verizon）。

数据泄露的成本是多少？

答：截至 2023 年，数据泄露的平均总成本为 445 万美元 ( IBM )。

数据泄露的平均规模是多少？

答：25,575 条记录 ( IBM )。

无论哪个行业，毫无疑问，数据安全和防御对于我们所处的数字经济中的公司来说非常有价值。评估您企业的网络安全风险，以在公司范围内进行更改并改善整体安全行为。

尽一切可能保护您的企业免遭数据泄露，从而避免成为数据泄露统计数据。有关数据安全平台的更多信息，了解数据保护解决方案如何对您的业务产生积极影响。