СТОИМОСТЬ УТЕЧКИ ДАННЫХ В МИРЕ СНИЗИЛАСЬ ВПЕРВЫЕ ЗА ПЯТЬ ЛЕТ

Изображение: Freepik

Впервые за пять лет средняя стоимость утечки данных в мире снизилась до $4,44 млн. Отчёт IBM «О стоимости утечки данных 2025» показывает, что использование ИИ становится двусторонним процессом в сфере кибербезопасности. С одной стороны, ИИ и автоматизация помогают организациям быстрее и эффективнее справляться с угрозами, что приводит к снижению глобальных затрат на устранение последствий. С другой стороны, злоумышленники активно применяют ИИ для создания более изощрённых и масштабных атак. Главной проблемой остаётся отсутствие должного контроля и управления в отношении ИИ в самих компаниях, особенно в части теневого ИИ, что делает их уязвимыми и ведёт к значительным финансовым потерям. Организации, которые инвестируют в надёжные меры безопасности, основанные на ИИ и чёткой политике управления, получают существенные преимущества и сокращают потенциальные убытки.

Средняя глобальная стоимость утечки снизилась до $4,44 млн с $4,88 млн в 2024 году. Это означает снижение на 9% и возвращение к уровню затрат 2023 года. Более быстрое выявление и устранение утечек (во многом благодаря собственным группам безопасности и службам безопасности организаций с помощью ИИ и автоматизации) привело к этому снижению. Средний глобальный показатель был бы ещё ниже, если бы не США, где средняя стоимость выросла на 9% до $10,22 млн, что является абсолютным максимумом для любого региона. Этому всплеску способствовали более высокие нормативные штрафы и более высокие расходы на обнаружение и эскалацию в Штатах.

Инциденты безопасности, связанные с ИИ в организации, пока что случаются нечасто. В среднем 13% организаций сообщили об утечках, связанных с их моделями или приложениями ИИ. Однако среди тех, кто сообщил об утечке, почти у всех (97%) отсутствовал надлежащий контроль доступа к ИИ. Наиболее распространённые из этих инцидентов безопасности произошли в цепочке поставок ИИ из-за скомпрометированных приложений, API или плагинов. Эти инциденты имели цепную реакцию: они привели к широкомасштабной компрометации данных (60%) и сбоям в работе (31%). Полученные данные свидетельствуют о том, что ИИ становится ценной целью.

Второй год подряд атаки со стороны вредоносных инсайдеров приводят к самым высоким средним убыткам от утечек среди первоначальных векторов угроз: $4,92 млн. За ними вплотную следуют компрометация сторонних поставщиков и цепочки поставок ($4,91 млн). Другие дорогостоящие векторы атак включали использование уязвимостей и фишинг. Однако самым частым типом вектора атаки на организации был фишинг (16%), который в среднем обходился в $4,8 млн.

Среди организаций, участвовавших в исследовании в этом году, 20% заявили, что они столкнулись с утечкой из-за инцидентов безопасности, связанных с теневым ИИ. Для организаций с высоким уровнем теневого ИИ эти утечки добавили $670 тыс. к средней стоимости утечки по сравнению с теми, у которых уровень теневого ИИ был низким или отсутствовал. Эти инциденты также привели к компрометации большего количества персональных данных (65%) и данных об интеллектуальной собственности (40%). И эти данные чаще всего хранились в нескольких средах, что показывает, что даже одна неконтролируемая система ИИ может привести к масштабному раскрытию информации. Стремительный рост теневого ИИ вытеснил нехватку специалистов по безопасности из тройки самых дорогостоящих факторов утечек, которые отслеживаются в отчёте.

Команды безопасности, активно использующие ИИ и автоматизацию, сократили время на устранение утечек на 80 дней и снизили среднюю стоимость утечек на $1,9 млн по сравнению с организациями, которые не использовали эти решения. Почти треть организаций заявила, что они активно использовали эти инструменты на протяжении всего жизненного цикла безопасности — при предотвращении, обнаружении, расследовании и реагировании. Однако этот показатель лишь немного выше, чем в предыдущем году, что говорит о возможном застое во внедрении ИИ. Это также показывает, что большинство всё ещё не используют ИИ и автоматизацию и, следовательно, не получают выгоды от снижения затрат.

В 2025 году больше жертв программ-вымогателей отказались платить выкуп (63%), чем в 2024 году (59%). Однако средняя стоимость инцидента с вымогательством или программой-вымогателем остаётся высокой, особенно когда о нём сообщает злоумышленник ($5,08 млн). В то же время меньше жертв программ-вымогателей сообщали о привлечении правоохранительных органов: в этом году 40% организаций по сравнению с 53% в прошлом году.

Произошло значительное сокращение числа организаций, которые планируют инвестировать в безопасность после утечки: 49% в этом году по сравнению с 63% в прошлом году. Менее половины из тех, кто планирует инвестировать в план безопасности, намерены сосредоточиться на решениях или услугах безопасности на базе ИИ, таких как обнаружение угроз и реагирование на них, планирование и тестирование реагирования на инциденты (IR), а также инструменты для обеспечения безопасности или защиты данных.

Большинство организаций, столкнувшихся с утечками (63%), либо не имеют политики управления ИИ, либо всё ещё разрабатывают её. Даже когда у них есть политика, менее чем у половины есть процесс утверждения для развёртывания ИИ, а у 61% отсутствуют технологии управления ИИ. Среди организаций, у которых есть политика управления, лишь меньшинство (34%) проводят регулярные проверки на предмет несанкционированного ИИ. Это показывает, что ИИ остаётся в значительной степени неконтролируемым, поскольку его внедрение опережает как безопасность, так и управление.

Злоумышленники могут использовать генеративный ИИ как для совершенствования, так и для масштабирования своих фишинговых кампаний и других атак с применением социальной инженерии. Ранее IBM обнаружила, что genAI сократил время, необходимое для создания убедительного фишингового письма, с 16 часов до всего лишь пяти минут. Отчёт за этот год показывает последствия: в среднем 16% утечек данных были связаны с использованием злоумышленниками ИИ, чаще всего для фишинга, созданного ИИ (37%), и атак с использованием дипфейков (35%).

Несмотря на глобальное снижение, средняя стоимость утечек данных в мире остаётся высокой. Среднее время на ликвидацию утечек сократилось до 241 дня. Однако эта позитивная тенденция не распространяется на все регионы: в США, например, затраты на утечки достигли рекордных $10,22 млн из-за высоких нормативных штрафов. Отрасль здравоохранения по-прежнему является самой уязвимой и несёт самые большие убытки, в среднем $7,42 млн за инцидент.

Безопасность данных

Анализ утечек данных показывает, что их стоимость и время устранения сильно зависят от места хранения информации. Самыми дорогими и сложными оказались утечки данных, распределённых по нескольким средам (публичные и частные облака, локальные серверы), их стоимость составила в среднем $5,05 млн, а на их устранение ушло 276 дней. При этом утечки данных, хранившихся только локально, обошлись дешевле ($4,01 млн) и были устранены быстрее (217 дней). За последний год доля утечек из локальных сред выросла, а из распределённых — сократилась.

Среди первоначальных векторов атак лидируют фишинг (16%) и компрометация цепочки поставок (15%). При этом самые дорогие утечки связаны с атаками вредоносных инсайдеров ($4,92 млн) и компрометацией цепочки поставок ($4,91 млн). Последние также требуют больше всего времени на устранение — 267 дней. Атаки с помощью фишинга обходятся в среднем в $4,8 млн.

Основной причиной утечек по-прежнему остаются вредоносные или криминальные атаки (51%). Оставшиеся случаи вызваны человеческими ошибками (26%) и сбоями в ИТ-системах (23%). Это подчёркивает важность как технических средств защиты, так и обучения персонала.

Утечки, связанные с ИИ и сбои в работе

Отчёт выявил, что, хотя инциденты безопасности, связанные с ИИ, пока невелики (13% организаций), они создают серьёзные риски. Подавляющее большинство пострадавших компаний (97%) не имели надлежащего контроля доступа к своим ИИ-системам. Самой распространённой причиной инцидентов стала компрометация цепочки поставок (30%). Наибольшие последствия таких атак — сбои в работе, несанкционированный доступ к данным и потеря их целостности.

Особую опасность представляет «теневой ИИ» — использование ИИ без одобрения руководства. Инциденты с его участием обходятся дороже и чаще приводят к утечкам, чем атаки на санкционированные системы. В случае утечек с использованием теневого ИИ чаще всего компрометируются персональные данные клиентов, что приводит к дополнительным убыткам в размере $200 тыс. к средней стоимости утечки.

К сожалению, внедрение ИИ опережает создание систем управления. 87% организаций не имеют политик для снижения рисков, связанных с ИИ. Две трети пострадавших компаний не проводили регулярные аудиты ИИ-моделей. При этом атаки, связанные с ИИ, обходятся дороже: если утечка была вызвана теневым ИИ, её средняя стоимость составила $4,63 млн.

Ключевые факторы, снижающие затраты на утечки, — это использование ИИ и машинного обучения в безопасности, подход DevSecOps и платформы SIEM. В то же время сложность систем, утечки в цепочке поставок и теневой ИИ увеличивают расходы. Нехватка квалифицированных специалистов по кибербезопасности также остаётся дорогостоящим фактором, увеличивающим убытки.

Инвестиции в безопасность

После утечки данных руководители служб безопасности и ИТ-отделов часто обращают внимание на усиление своих средств защиты. Каждый год организации спрашивают, планируют ли они инвестировать в новые меры безопасности и, если да, то куда. Организациям в исследовании разрешили выбрать более одной области для инвестиций.

Менее половины организаций (49%) заявили, что они увеличат инвестиции в безопасность после утечки, что на 22% меньше, чем в прошлом году. В то время как в прошлом году наблюдалось больше ожидаемых инвестиций в безопасность после утечки, замедление в этом году аналитики объясняют тем, что организации стали более дисциплинированно подходить к оценке того, какие инициативы в области безопасности приносят результат. Для тех организаций, которые планируют увеличить расходы на безопасность, тремя основными областями инвестиций были: обнаружение угроз (43%), инструменты для обеспечения безопасности и защиты данных (37%), а также планирование и тестирование реагирования на инциденты (35%).

Среди организаций, которые планируют инвестировать в безопасность после утечки, 45% заявили, что выберут решения на базе ИИ. Они также заявили, что сделают это довольно равномерно по трём областям: обнаружение угроз и реагирование на них (36%), планирование и тестирование реагирования на инциденты (35%) и инструменты для обеспечения безопасности и защиты данных (31%).