IBM 发布的一份针对 113,620 起数据泄露事件的年度全球分析报告发现，平均数据泄露成本同比下降了 9%，这主要归功于更快的发现和遏制速度。

该报告与波耐蒙研究所 (Ponemon Institute) 合作完成，发现全球平均数据泄露成本从 2024 年的 488 万美元下降至 444 万美元，与 2023 年的成本水平一致。然而，如果不是美国遭受攻击，全球成本会更低，美国的平均成本飙升 9%，达到 1022 万美元。

IBM X-Force 情报服务全球负责人 Kevin Albano 表示，尽管某些地区的网络攻击数量持续增加，但总体而言，网络安全团队在过去一年的应对能力比前几年有所提升。他补充道，这表明网络安全团队在采用最佳实践来预防网络攻击并在不到 100 天的时间内恢复方面，已经达到了更高的成熟度。

连续第二年，恶意内部攻击导致的平均泄露成本最高，为 492 万美元，紧随其后的是供应链泄露（491 万美元）和网络钓鱼攻击（480 万美元）。

报告还指出，2025年拒绝支付赎金的勒索软件受害者数量（63%）高于2024年（59%）。然而，勒索或勒索软件事件的平均成本仍然很高，尤其是在攻击者披露的情况下（508万美元）。与此同时，今年勒索软件受害者报告涉及执法部门的人数（40%）低于去年的53%。

此外，IBM 报告还发现，与去年（53%）相比，计划在数据泄露后投资安全的组织数量大幅减少（49%），其中不到一半的计划投资安全计划的组织专注于基于人工智能（AI）的安全解决方案或服务，尽管使用人工智能和自动化的安全团队大大缩短了数据泄露时间 80 天，并将平均数据泄露成本降低了 190 万美元。

报告还发现，人工智能正开始被网络攻击者更广泛地利用。平均而言，16% 的数据泄露事件涉及攻击者使用人工智能，最常见的是人工智能生成的网络钓鱼攻击（37%）和深度伪造冒充攻击（35%）。

同时，报告指出，涉及人工智能模型和应用程序的攻击事件仍然有限（13%），其中97%源于缺乏适当的访问控制。在今年接受调查的组织中，20%表示他们因涉及影子人工智能的安全事件而遭受数据泄露。大多数遭受数据泄露的组织（63%）要么没有人工智能治理政策，要么仍在制定中。即使制定了政策，也只有不到一半的组织拥有人工智能部署的审批流程，61%的组织缺乏人工智能治理技术。

报告显示，在已制定治理政策的组织中，只有少数（34%）对未经批准的人工智能进行定期审计。

评估数据泄露的成本自然会因组织而异。例如，IBM 就将数百万美元的声誉成本纳入考量。无论使用何种指标，有一点是明确的：即使网络安全维护难度加大，但基本的打地鼠游戏依然存在。

​​​​​