127 項提供網路安全見解的資料外洩統計數據

已發表: 2023-10-11

當未經授權的個人存取機密資料時,就會發生資料外洩。 通常,這些洩漏會暴露從個人詳細資料到財務記錄等敏感資訊。 動機各不相同。 有些駭客的目標是經濟利益,而有些駭客可能尋求競爭優勢或只是想製造混亂。

對企業來說,風險甚至更高。 解決違規問題和支付法律費用等直接成本可能會迅速增加。 然而,更具破壞性的是對聲譽的打擊。

隨著資料外洩事件繼續成為頭條新聞,該公司已開始使用資料外洩通知軟體來記錄攻擊並向當局報告。 透過以下統計資料了解資料外洩的主要原因及其影響。

主要資料外洩統計數據

資料外洩會導致聲譽受損,並造成巨額罰款等經濟損失。 這些統計數據探討了該行業的最新趨勢。

  • 2022 年,83% 的組織面臨不只一次資料外洩。
  • 全球網路犯罪成本急劇上升。 到 2025 年,這一數字預計將達到 10.5 兆美元,每年以 15% 的速度成長。
  • 遺失資料記錄的平均成本為 150 美元。
  • 到 2023 年,組織因遭受資料外洩而造成的全球平均損失為 445 萬美元,在過去三年中顯著成長了 15%。
  • 在 COVID-19 大流行期間,2020 年 3 月網路詐騙大幅增加,激增 400%。
  • 1/3 的零售、金融或醫療保健客戶停止與受到資料外洩影響的客戶開展業務。 85%的人在自己的圈子裡談論過這起事件。 33.5%的人毫不猶豫地在社群平台上表達自己的不滿。
  • 91% 的顧客在一次糟糕的體驗後會嘗試競爭對手的產品和服務。
  • Clearview AI 擁有超過 30 億張照片,其客戶名單於 2020 年 2 月被盜。

98%

2021 年,飯店業銷售點系統發生了 6 起為了獲取經濟利益而發生的資料外洩事件。

來源:威瑞森

  • 由於其開源庫存在缺陷,OpenAI 的 ChatGPT 洩露了 1.2% 的 ChatGPT Plus 訂閱者的敏感數據,包括 2023 年的付款詳細資訊。
  • 與未採用安全人工智慧 (AI) 和自動化的組織相比,採用安全人工智慧 (AI) 和自動化的組織平均節省了 176 萬美元,令人印象深刻。

資料外洩預防統計

預防勝於治療。 盡可能避免違規是主要目標。 在這一切的核心,積極主動是關鍵。 透過持續的努力和簡單的步驟,您可以保護有價值的資料免於壞人之手。 下面的統計數據反映了資料外洩預防的趨勢。

  • 儘管 2023 年經濟放緩,但 5 名首席資訊安全長 (CISO) 中有 3 名的網路安全預算有所增加。
  • 2021 年,組織在網路安全方面的支出超過 1500 億美元。
  • 63% 的公司已在 2023 年使用生物辨識系統或計劃很快安裝。
  • 商業電子郵件外洩的平均檢測和遏制時間第二長,為 308 天。
  • 51% 的組織正在準備加強安全措施,以應對 2023 年的違規行為。這一增長包括加強事件響應計劃、更好地培訓員工以及投資於能夠有效檢測和響應威脅的工具。

65%

的組織計劃在 2023 年向網路安全投入更多資金。

資料來源:CSO 在線

  • 雖然 73% 的組織制定了事件回應 (IR) 計劃,但只有 63% 的組織定期對其進行測試。
  • 使用安全人工智慧的公司識別和控制資料外洩的速度比未使用安全人工智慧的公司平均快 74 天。
  • 基於硬體的安全服務的投資從 2015 年的 20% 下降到 17%,主要是因為它們在虛擬設定中的功能有限。
  • 2023 年,38% 的組織將超過 20% 的 IT 預算用於安全。

資料外洩保險統計

有兩種類型的資料外洩保險:第一方保險和第三方保險。 第一方資料外洩保險是您在面臨資料外洩時立即獲得的幫助。 它涵蓋了許多重要領域,例如調查、通知以及與受影響方的溝通。 第三方資料外洩保險就像擁有一個安全網。 它包括律師費、和解費和其他法庭費用。 以下統計數據詳細探討了資料外洩保險趨勢。

  • 展望 2025 年,網路保險保費將達到令人印象深刻的 200 億美元。
  • 資料外洩保險索賠中的大部分損失(71%)都獲得了網路保單的承保,其中保險公司承擔 44%,被保險人承擔 27%。
  • 2013 年至 2019 年間,73% 的網路保險索賠是由於資料外洩和危機管理造成的。

75%

全球 的組織已採取措施購買網路責任保險。

資料來源:精算師

  • 資料外洩保險索賠的主要費用包括取證(21%)、法律諮詢(13%)和信用監控服務(14%)。
  • 27% 的資料外洩保險理賠包含導致不賠償或部分賠償的排除條款。
  • 製造企業在因惡意資料外洩而面臨網路保險索賠時,以 22% 的事故發生率位居榜首。
  • 對於零售和批發行業的企業來說,提出保險索賠的主要觸發因素是有針對性的資料洩露,佔 30%,無意的資料外洩佔 8%。
  • 近年來,美國近三分之二的大公司(即64%)選擇網路保險來轉移風險。
  • 在 IT 和通訊領域,保險索賠的主要原因是惡意(24%)和意外資料外洩(18%)。

一般資料外洩統計

大大小小的公司都成為資料外洩的受害者。 有時,這是由於安全措施薄弱造成的。 其他時候,這是因為狡猾的駭客技術。 無論哪種方式,影響都是巨大的。 消費者對公司失去信任,他們的個人和財務安全受到損害。 探索以下統計數據以觀察現代資料外洩的模式和趨勢。

  • 2022 年,勒索軟體攻擊增加了 13%,顯示威脅日益嚴重。
  • 2021 年,57% 的資料外洩導致身分盜竊,涉及未經授權的金融交易和其他使用個人資料的詐騙。
  • 疫情期間的遠距工作增加了資料外洩風險。 43% 的遠距員工犯了使敏感資料面臨威脅的錯誤。
  • 48% 的惡意電子郵件附件是 Microsoft Office 檔案。
  • 2019 年,58% 的公司發現了一千多個權限設定不一致的資料夾,這表明資料管理實踐存在差距。
  • 2022 年,識別和控制網路釣魚引發的違規行為平均需要 295 天,這使其成為網路安全領域第三長的流程。
  • 超過 22% 的資料外洩是由網路釣魚造成的。
  • 79% 的監督關鍵基礎設施的組織尚未實施零信任架構,這使得它們容易受到網路攻擊。
  • 45% 的資料外洩涉及基於雲端的系統。

60%

的組織在經歷資料外洩事件後提高了價格。

資料來源:哈洛克

  • 醫院是重大資料外洩的主要目標,30% 的事件發生在醫療機構。
  • 從 2021 年 3 月到 2022 年 2 月,資料外洩至少暴露了 4,200 萬筆個人記錄。
  • 2022 年上半年,美國報告了約 817 起資料外洩事件。
  • 由於資料洩露,2021 年的網路釣魚攻擊是過去 17 年來損失最慘重的年份之一。
  • 77% 的公司沒有做好充分準備來有效處理攻擊或資料外洩。
  • 69% 的公司因雲端安全設定不均勻而遭遇資料外洩。
  • 2022 年,36% 的資料外洩與網路釣魚有關。
  • 2021 年,資料外洩最常見的原因是憑證洩露,發生率達 20%。
  • 檢測和遏制時間減少10天,即3.5%,從2021年的287天減少到2022年的277天。
  • 醫療保健領域 61% 的資料外洩威脅源自於員工的疏忽。
  • 在醫療保健和金融等受監管行業,2022 年,24% 的資料外洩成本是在外洩發生兩年多後累積的。
  • 38% 的組織認為其安全團隊人員充足。
  • Myspace 在 2013 年經歷了一次大規模洩露,影響了近 3.6 億個帳戶。
  • 2013 年至 2017 年,美國發生了約 6,550 起資料外洩事件,遠多於英國的 570 起。
  • 醫療保健仍然是最受攻擊的行業,2013 年至 2016 年間面臨超過 2,248 起違規事件。

資料外洩成本統計

資料外洩的成本各不相同,但總是昂貴的。 當發生未經授權的存取時,公司將立即面臨財務損失。 他們可能需要專家來修復漏洞或解決法律問題。 通知受影響的個人也需要付出代價,這通常是法律規定的。

但直接成本只是冰山一角。 名譽受損會帶來沉重打擊。 客戶失去信任,重建這份信心需要時間和金錢。 有些客戶可能永遠不會回來,從而導致收入損失。 下面的統計數據揭示了與資料外洩相關的成本。

  • 2022 年,全球典型資料外洩成本為 435 萬美元。 美國的這一數字高達 944 萬美元。
  • 處理資料外洩後果的公司發現自己比未受外洩影響的公司多支付約 13.5% 的審計費。
  • 過去 5 年,全球平均資料外洩成本上升了 12%。
  • 不遵守一般資料保護規範 (GDPR) 的公司將面臨嚴厲處罰,罰款最高可達其全球年營業額的 4%。
  • 網路停機成本平均為每分鐘 5,600 美元或每小時約 300,000 美元。
  • 持續超過 200 天的資料外洩平均造成 487 萬美元的損失。
  • 2021 年,美國的資料外洩成本最高,平均為 905 萬美元。
  • 每起商業電子郵件外洩事件的賠償金額高達 24,439 美元。
  • 2019 年,因資料外洩造成的平均業務損失達 142 萬美元,佔平均總成本的 36%。
  • 雖然不像惡意攻擊那麼昂貴,但係統故障和人為錯誤的平均損失仍然分別為 324 萬美元和 350 萬美元。

3.9%

的客戶在資料外洩後流失。

來源:N-Able

  • 如果第三方觸發違規,成本將增加 37 萬美元以上,使總平均成本達到 429 萬美元。
  • 惡意軟體資料外洩造成的損失最高,達 260 萬美元,緊隨其後的是基於網路的拒絕服務 (DoS) 攻擊。
  • 採用加密、威脅情報共享和 DevSecOps 可以大幅降低資料外洩成本。 加密被證明是最有效的,平均可降低成本 360,000 美元。
  • 嚴格測試事件回應計畫的公司面臨的違規成本較低,與未做好準備的公司相比,平均節省 123 萬美元。

有關資料外洩對組織影響的統計數據

資料外洩為組織帶來沉重打擊。 他們立即中斷營運並需要大量資源來解決漏洞。 競爭對手有機會抓住時機,引誘客戶並玷污受影響組織的聲譽。 透過統計 POV 了解資料外洩對組織的影響。

  • 遭遇資料外洩後,上市公司股價平均下跌 7.5%。 令人擔憂的是,許多人花了 46 天才恢復損失的價值,有些人甚至未能完全恢復。
  • 面臨重大資料外洩的公司第一年的表現往往落後納斯達克 8.6%。 當他們達到兩年大關時,業績差距可達11.9%。

57%

的公司缺乏網路安全政策。 在擁有 250 至 549 名員工的中型企業中,缺勤現象更為明顯,其中 71% 的企業承認沒有員工。

資料來源:卡巴斯基

  • 2021 年發生資料外洩事件後,澳洲當局指示 Clearview 停止在該國的所有業務。
  • 60% 擁有遠端員工的公司比沒有遠端員工的同行面臨更高的資料外洩成本。
  • 發生過大規模資料外洩的組織在接下來的兩年內面臨另一次外洩的可能性較小。

有史以來最嚴重的資料外洩事件

一些資料外洩的規模如此之大,以至於在數位領域留下了持久的印記。 雅虎的資料外洩事件尤其突出。 2013年至2014年,駭客存取了雅虎全部30億用戶的數據,成為史上規模最大的一次。 透過下面的統計數據發現其他重大違規行為。

  • 由於第三方供應商之一發生安全漏洞,Okta 面臨巨額虧損,市值下降 60 億美元。
  • 2015 年,由於洩露了數千個用戶帳戶的信息,AT&T 被美國聯邦通信委員會 (FCC) 處以 2500 萬美元的罰款。
  • 2018 年初,令人震驚的消息是,Aadhaar 資料庫遭到駭客攻擊,導致超過 11 億印度公民的個人和生物辨識詳細資料被洩露。
  • 美國 Microsoft Exchange 電子郵件伺服器遭受大規模網路攻擊,影響了 30,000 多家企業。 駭客的專業知識利用了四個不同的零日漏洞。
  • AdultFriendFinder 網路在 2016 年遭遇安全漏洞,導致 4.12 億用戶的私人資料外洩。
  • 2017 年,Deep Root Analytics 意外在線洩露了近 2 億選民詳細信息,從而引發了一起重大網絡洩密事件。
  • 2013 年,Target 承認有 7,000 萬筆記錄遭洩漏。
  • 糟糕的資料安全措施導致第一美國金融公司在 2019 年洩漏了大量資料。這次攻擊凸顯了網站設計和安全協議不足的危險。
  • Facebook 曾面臨數起資料外洩事件,其中最引人注目的一次是在 2021 年 4 月洩露了超過 5.3 億用戶的詳細資料。

7億

2021 年,LinkedIn 用戶的資料被抓取並發佈到網路上。這是一次大規模違規行為,涉及其總用戶群的 93% 以上。

來源:UpGuard

  • 萬豪國際集團承認,自 2014 年以來,其喜達屋預訂資料庫遭到了未經授權的訪問,造成約 5 億客人受到影響。
  • 2019 年,AWS 前員工 Paige Thompson 入侵了 Capital One,並訪問了 2005 年以來超過 1 億筆客戶記錄和信用卡申請。
  • 2022 年 8 月,在利用未修補的漏洞發生漏洞後,Plex 敦促近 3,000 萬用戶重設密碼。 它洩露了用戶數據,包括電子郵件和加密密碼。
  • 多家大公司因資料處理不當而面臨罰款。 Uber 在 2018 年因未披露之前的違規行為而被罰款 1.48 億美元,而 Google 在 2019 年因侵犯兒童資料隱私而被罰款 1.7 億美元,這只是兩個例子。

按行業劃分的資料外洩統計

請參閱下面的統計數據,了解資料外洩如何影響不同行業。

衛生保健

資料外洩對醫療保健產業造成了沉重打擊。 當病患資訊外洩時,不僅是姓名或地址;還包括病患資訊。 它通常是詳細的醫療記錄和保險資訊。 此類違規行為削弱了患者的信任。

  • 2021 年,由於勒索軟體攻擊造成的停機,醫療保健產業面臨超過 78 億美元的巨大財務損失。

5,882

美國醫院透過將 IT 安全深度整合到系統和營運中,資料外洩顯著減少

資料來源:《哈佛商業評論》

  • 醫療保健產業位居資料外洩最多的產業,發生率高達 39%。
  • 資料外洩後,醫院的廣告支出增加了 64%。
  • 佛羅裡達州布勞沃德健康中心 (Broward Health) 於 2022 年 1 月 2 日宣布發生了影響 135 萬人的資料外洩事件。
  • Shields Healthcare 報告了 2022 年最嚴重的資料外洩事件,影響了超過 200 萬人。
  • 由於資料洩露,醫療保健的平均總成本急劇上升,從 2020 年的 713 萬美元升至 2021 年的 923 萬美元。
  • 2022 年 6 月,德州理工大學健康科學中心報告了一起影響超過 1.29 億人的駭客事件。
  • 2020 年,90% 的醫療機構至少面臨一次資料外洩。

93%

的醫療機構在過去三年中遭遇過資料洩露,其中 57% 的機構遭遇過五次以上的違規行為。

資料來源:Herjavec 集團

  • 大型醫院是資料外洩的熱點地區,在所有重大事件中,有 30% 的事件洩露了患者的私人資訊。
  • 2020年,醫療保健產業的針對性資料外洩激增58%,外洩成本連續12年維持最高,增幅達42%。
  • 從 2017 年到 2019 年,受健康資料外洩影響的人數增加了 80%。

金融

金融領域的資料外洩動搖了機構所依賴的信任基礎。 當銀行、信貸機構或投資公司受到損害時,影響是巨大的。

  • 在醫療保健和金融領域,資料外洩生命週期特別長,分別為 329 天和 233 天。
  • 網路犯罪分子可以透過劫持攻擊累積 220 萬美元,其中包括從他們瞄準的每個網站竊取 10 張信用卡。

64%

當所有員工都可以輕鬆存取 1,000 多個敏感文件時, 的金融服務公司面臨安全漏洞。

資料來源:瓦羅尼斯

  • 59% 的金融服務公司擁有超過 500 個永不過期的密碼,近 40% 的公司擁有超過 10,000 個休眠「幽靈」用戶。
  • 資料外洩給保險業造成了嚴重破壞。 39% 出於惡意,35% 被發現是意外。 此次違規導致損失和索賠大幅增加。
  • 金融機構因攻擊而損失了 597 萬美元,成為資料外洩支出第二高的行業。
  • 2021 年至 2022 年間,金融業與資料外洩相關的成本從 572 萬美元上升至 597 萬美元,增幅為 4.4%。
  • 2018 年,金融業發生了 137 起資料外洩事件,外洩的帳戶數量令人擔憂——170 萬個。

中小企業

中小型企業 (SME) 的資料外洩事件常常不為人所知,但其影響卻是深遠的。 中小企業可能認為自己不像大公司那樣成為目標,但事實恰恰相反。 駭客將它們視為唾手可得的成果,通常是因為它們缺乏大型實體所採取的強有力的安全措施。

  • 2022 年,28% 的資料外洩事件涉及小型企業,凸顯了一個重大漏洞。
  • 60% 的中小企業 (SMB) 在遭受網路攻擊後半年內關閉。

資料外洩的原因:統計概述

資料外洩的發生有多種原因,其中一些原因比其他原因更為明顯。 駭客通常會利用薄弱或過時的安全系統,因此定期更新至關重要。 簡單的人為錯誤也起著重要作用。

  • 分散式阻斷服務 (DDoS) 攻擊日益突出,平均攻擊量達到每秒 26 GB (Gbps) 以上,成長了 500%。 此外,在 2020 年前幾個月,這些攻擊與 2019 年同期相比激增了 278%。
  • 身分盜竊佔全球所有資料外洩事件的 59%,使其成為最常見的事件類型。
  • 2022 年,58% 的資料外洩是由內部威脅造成的。

80%

的駭客相關違規行為是透過暴力手段或遺失或被盜憑證發生的。

來源:威瑞森

  • 2022 年,近五分之一的資料外洩事件是由於業務合作夥伴破壞安全性而發生的。
  • 每月有 4,800 個網站受到劫持代碼的影響。
  • 2022 年,憑證洩露導致了 19% 的資料洩露,平均損失達 450 萬美元。
  • 絕大多數 (71%) 的違規行為都是由經濟利益所驅動的。
  • 勒索軟體涉及惡意軟體事件的近四分之一 (24%)。
  • 2016 年,95% 的洩漏記錄屬於政府、零售和科技部門。
  • 2019 年,36% 的外部資料外洩事件是有組織犯罪集團幕後黑手。
  • 23% 的資料外洩歸因於人為錯誤。
  • 去年,在 17% 的案例中,駭客利用網路釣魚電子郵件滲透到組織中,展示了普遍存在的漏洞。

資料來源:

  • 網路安全創投公司
  • 身分強
  • 安全限制
  • 國際商業機器公司
  • 威瑞森公司
  • 科技共和國
  • Nexusguard
  • 聯邦貿易委員會
  • 鍛造搖滾
  • 美國聯邦通訊委員會
  • 銷售隊伍
  • 聯邦調查局
  • 華羅尼斯
  • 赫哈維克集團
  • 哈佛商業評論
  • N-能力
  • 卡巴斯基
  • 上衛
  • 哈洛克
  • 史塔斯塔
  • 維藍

預防總是更好

公司必須優先考慮全面的安全措施,個人在保護個人資訊方面應保持警惕。 科技在帶來便利的同時也帶來了風險,使得網路安全成為每個人的共同責任。

詳細了解發生資料外洩時可以採取的措施