AI监管缺位：《2025年数据泄露成本报告》

　　安全威胁态势经历了显著变迁。二十年前，近半数数据泄露事件(45%)是由笔记本电脑或U盘等设备丢失引发的，仅10%归因于“电子系统遭入侵”。如今，大多数泄露事件源于网络钓鱼、内部威胁等多样化的恶意活动。

　　十年前，云配置不当甚至都未被列为独立的威胁类别。而如今，云环境及其存储的数据已成为主要的攻击目标。在2020年新冠封控期间，勒索软件攻击才开始大量激增。次年，此类攻击平均造成了462万美元的损失，到本年度报告发布时，这一数字已攀升至508万美元。

　　波耐蒙研究所的研究工作始终如一。本年度的研究由波耐蒙研究所独立执行，IBM提供赞助、分析与发布支持，涵盖2024年3月至2025年2月期间遭受数据泄露的600家企业。我们共同调研横跨17个行业、16个国家地区的企业，分析事件涉及2960至113620条不等的失陷记录。为获取一线洞察，波耐蒙研究人员访谈了3470位掌握所在企业泄露事件第一手资料的安全负责人及企业高管。受访者涵盖首席执行官、运营总监、财务总监、IT从业者、业务单元负责人、总经理以及风险管理与网络安全从业者。

　　本报告为商业、技术与安全领域的领导者提供了基准参考，有助于他们强化防御体系、优化资源配置并推动创新，特别是在AI项目的安全治理方面。

　　本年的关键发现：全球数据泄露成本五年来首次下降，降至444万美元，这得益于AI驱动的防御加速了事件的遏制。然而，在防御者取得进步的同时，攻击者也在同步升级——约16%的泄露事件涉及攻击者使用AI技术，这种情况常见于钓鱼攻击与深度伪造。尽管这场AI技术军备竞赛通过降低全球泄露成本使企业受益，但美国却呈现出逆势上扬的态势。受严厉监管处罚及不断攀升的检测成本驱动，该国的数据泄露成本已突破1000万美元。我们还发现，AI的应用速度已经快于监管跟进的速度。研究发现：97%的AI相关安全事件源于缺乏完善访问控制的AI系统。多数遭遇攻击的企业承认，它们既未建立AI治理政策，也未防范“影子AI”（未经企业批准或监管的AI应用）。影子AI的隐蔽使用与治理缺失共同推高了数据泄露成本。