數據泄露可能發生在世界任何地方，但從歷史上看，數據泄露在特定國家/地區更為常見。通常，互聯網使用率和數字服務較高的國家更容易發生數據泄露。

為此，IBM 的《2023 年數據泄露成本報告》調查了 16 個國家和地區以及 17 個行業的 553 個不同規模的組織。報告中，2023 年按國家或地區劃分的前五名數據泄露成本（以百萬美元衡量）是：

• 美國：9.48 美元（較 2022 年增長 0.4%）
• 中東：8.07 美元（較 2022 年增長 8.2%）
• 加拿大：5.13 美元（比 2022 年下降 9%）
• 德國：4.67 美元（較 2022 年下降 3.7%）
• 日本：4.52 美元（較 2022 年下降 1.1%）。

排名靠前的國家有根本原因嗎？哪些因素在起作用？一些國家是否更容易受到網絡釣魚等社會工程攻擊？

為什么頂級國家的成本如此之高？

雖然很難量化，但前五個國家的高成本可歸因于幾個因素。

美國

美國的數據泄露平均總成本最高，為 948 萬美元，高于 2022 年的 944 萬美元。美國的數字可能是由于美國組織的規模和復雜性以及該國廣泛的數字基礎設施以及數據泄露的敏感性造成的。他們持有的數據和監管環境。

中東地區

在中東，這一數字可能歸因于大量泄露記錄、高惡意攻擊率以及識別和遏制泄露的時間較長。

德國

在德國，統計數據可能是由于大量丟失或被盜記錄以及惡意或犯罪攻擊發生率很高。

加拿大和日本

在加拿大和日本，高成本可能歸因于高流失率（客戶停止與實體開展業務的比率）以及識別和遏制違規行為的時間較長。

數據泄露法律是否會導致前五個國家的成本高昂？

雖然該報告沒有將這些監管因素與排名前五的國家直接聯系起來，但它表明監管環境和對法規的遵守可以顯著影響數據泄露的成本。

例如，在美國，《加州消費者隱私法案》(CCPA)和《健康保險流通與責任法案》(HIPAA)等州數據隱私政策會對違規行為處以巨額罰款和處罰。同樣，在歐盟，《通用數據保護條例》(GDPR) 對數據泄露實施了嚴格的處罰，影響了德國和法國等國家。

美國現在披露的違規行為是否比過去更多？

該報告沒有得出結論，美國現在是否因不斷出臺的國家數據隱私政策而披露了比過去更多的違規行為。不過，它確實提供了一些相關信息：

• 美國已被列入《數據泄露成本報告》18 年，是所有參與該報告的國家或地區中時間最長的。
• 只有三分之一的公司通過自己的安全團隊發現了數據泄露事件，這突出表明需要更好的威脅檢測。大多數違規行為 (67%) 是由善意的第三方或攻擊者自己報告的。當攻擊者披露漏洞時，組織的損失比內部檢測高出近 100 萬美元。
• 大多數受訪者 (57%) 表示，數據泄露導致其業務產品定價上漲，將成本轉嫁給消費者。

這些數據表明，違規行為的披露是一個復雜的問題，涉及多種因素，包括檢測能力和財務影響。

然而，由于擔心聲譽受損、監管審查或法律責任，組織通常不會透露自己已被泄露。更常見的是，公司可能缺乏足夠的網絡安全措施或訓練有素的人員來處理違規行為。

事實上，FBI最近表示，只有約 20% 的勒索軟件事件被報告。

與其他國家相比，美國有哪些獨特的成本？

美國承擔了其他國家可能沒有的一些直接和間接成本，其中包括：

更高的業務損失成本。 美國的商業損失成本最高，其中包括客戶異常流失、客戶獲取活動增加、聲譽損失和商譽減少。

更高的數據泄露后響應。 響應活動有助于最大限度地減少違規的影響，例如幫助臺資源、入站通信、特殊調查資源、補救措施、法律支出、產品折扣、身份保護服務和監管干預措施。

通知費用。 在美國，在數據泄露后的某些情況下，組織必須通知受影響的個人、監管機構和媒體。這些通知成本可能會很高。

與其他國家相比，某些國家的公民是否更容易受到社會工程的影響？

IBM 報告沒有直接評論公民的技術精通程度或他們對社會工程的敏感性。它主要關注數據泄露的組織成本和影響，而不是個人行為。

然而，它確實提到了人為因素，包括社會工程攻擊，在數據泄露中發揮著重要作用。例如，它指出近六分之一的違規行為（17%）是由網絡釣魚造成的，這本質上是人為錯誤。

值得注意的是，對社會工程攻擊的敏感性并不一定反映了對技術的了解程度較低。這些攻擊通常依賴于操縱和欺騙，利用信任和權威而不是技術無知。

請記住，每個人都容易受到社會工程的影響——無論您多大、住在哪里。