多家國際機構釋出2023年資料洩露相關報告，透露了哪些重要資訊？

IBM《2023年資料洩露成本報告》內容包含資料洩露的平均成本、每條洩露記錄的平均成本、不同國家之家的資料洩露成本的變化：

IBM《2023年資料洩露成本報告》使⽤來自16個不同國家/地區、超過553 起資料洩露的資料，並考慮了數百個成本因素，提供了資料洩露成本的全球概況。

2023 年，資料洩露的平均總成本達到 445萬美元 ，創下歷史新⾼。相較於2022年的 435萬 美元 ，該成本增加了 2.3% 。拉⻓時間線來看，平均成本較 2020 年報告中的 386 萬美元 增加了 1 5.3% 。

2017-2023資料洩露總成本

2023年資料洩露相關的每條記錄的平均成本為 165美元 ，⽐2022年的平均成本 164美元 略有增加。

2017-2023資料洩露的每條記錄成本

美國連續13年成為資料洩露成本最高的國家。2023年資料洩露平均成本為 948 萬美元 ，⽐去年的 944 萬美元 增加了 0.4% 。與去年相似，中東地區的資料洩露平均總成本位居第⼆，從746萬美元增加到807萬美元，增幅8.2%。在加拿⼤，資料洩露的平均總成本從564萬美元下降到513萬美元，降幅為9%。德國的 平均成本也有所下降，從485萬美元下降到467萬美元，降幅為3.7%。⽇本的平均成本有下降，從457萬美元下降到452萬美元，降幅為1.1%。

Verizon《2023 資料洩露調查報告》內容包含資料洩露原因、洩露動機、洩露的資料型別：

Verizon對2023年發生的 16312 起安全事件和大約 5200 起資料洩露事件進行分析。其中勒索病毒、人為因素、使用被盜證書、釣魚、漏洞依舊是主要的安全事件起因。商業電⼦郵件洩露(BEC)攻擊在我們的整個事件資料集中⼏乎翻了⼀番，現在佔社會⼯程學攻擊事件的 50% 以上。

2017-2023資料洩露事件

74%的安全違規事件是人為因素，包括使用許可權錯誤、誤用特權、釣魚攻擊、身份洩露等等。攻擊者訪問組織的三種主要⽅式是竊取憑據、⽹絡釣⻥和利⽤漏洞。

83% 的違規⾏為涉及外部參與者，⽽ 95% 的違規⾏為的主要動機仍然是經濟驅動的。

資料洩露的原因

被洩露的資料中，超過一半的資料為個人資訊。個⼈資訊包括來⾃客⼾、合作伙伴或員⼯的個⼈⾝份資訊 (PII)。

資料的主要洩露型別

ITRC《2023年度資料洩露報告》內容包括資料洩露事件數量、影響、資料洩露成本、資料洩露原因、資料洩露型別：

2023年，美國報告的資料洩露事件創下歷史新⾼。公開報告的資料洩露事件有 3,205 起，預計影響了 353,027,892 ⼈。2023年資料洩露事件⽐2022年增加了 78% ，⽐2021增加了 72% 。

2023 年，⼤多數資料洩露都與⽹絡攻擊有關。與前⼏年相⽐，⽹絡釣⻥攻擊和勒索軟體攻擊略有下降，⽽惡意軟體和零日攻擊則大幅增加。由於物理原因造成的資料洩露，如⽂件丟失、裝置被盜、裝置竊取等，僅出現個位數增⻓。⾃ 2018 年以來，物理洩露事件下降了 65%。涉及敏感個⼈資訊的洩露仍然是 2023 年最常⻅的洩露型別。

資料洩露原因

儘管企業的網路安全支出在不斷增加，但網路安全的發展速度並未跟上攻擊者的步伐，資料洩露不但沒有緩解，反而更加嚴重。無法用單一的原因來解釋資料洩露事件的增長或者或減少，就像沒有任何行動能夠100%有效地組織資料洩露一樣。但是，可以肯定的是，如果我們要減緩或阻⽌資料洩露和暴露的速度，就必須採取行動。

資料安全應該不只是基於內容的安全，需要與API攻擊、防釣魚、防惡鏈、人工智慧與行為分析相融合以達到更好的防護效果。對於當前的資料洩露，有如下建議：

圍繞著企業在資料安全的現狀及痛點，越來越多的資料安全自動化相關的處理工具，包括資料建模、資料分類分級、資料識別等自動化輔助工具將協助企業在建立資料安全治理的制度後,將制度更有效地實施。透過自動化的工作流,將不同的資料安全技術工具、實踐結合在一起,為資料安全治理提供了一個完整、可落地的解決方案。