報導摘要

根據IBM最新發布的《資料外洩成本報告》顯示，全球資料外洩的平均成本在五年內首次下降，降至444萬美元。然而，美國的平均成本卻逆勢飆升至1,022萬美元的歷史新高。這種顯著差異並非歸因於區域安全水準或AI影響，而是主要由於美國檢測與應變成本的年度增長14%，以及更高的勞動成本和監管罰款所致。
報告的一個關鍵發現是人工智慧（AI）在網路攻擊與防禦兩端日益增長的影響力。儘管目前AI相關的資料外洩事件佔比不高，但隨著AI應用的普及，預計此類事件將會增加。AI不僅成為攻擊目標，也同時是攻擊的助力者和防禦的解決方案。值得注意的是，運用AI於防禦的企業，其資料外洩成本呈現下降趨勢。然而，在保護AI模型方面存在顯著弱點，13%的資料外洩事件涉及AI模型或應用程式，其中高達97%缺乏適當的存取控制，這往往源於企業為追求自動化和降低成本而倉促導入AI所致。
此外，「影子AI」（未受監管的AI使用）也導致資料外洩成本增加，並造成個人身分資訊（PII）與智慧財產的損失。許多AI相關的資料外洩是供應鏈事件（佔30%），而透過提示注入、模型規避和模型反轉等方式直接操控AI機器人也佔據了相當比例。個人身分資訊仍然是主要的攻擊目標，佔被洩露數據的53%。網路釣魚已取代竊取憑證，成為最常見的初始攻擊向量，這可能與生成式AI能迅速創建具有說服力的網路釣魚郵件有關。

資安風險

1. 檢測與應變成本高昂：美國高昂的勞動成本和嚴格的監管框架，導致資料外洩後的檢測、圍堵、根除和復原等環節的開支劇增。
2. AI 應用帶來的未經管控風險：企業在快速導入AI以追求自動化和成本效益時，往往忽略了對AI模型本身的安全性考量，導致缺乏存取控制，使AI模型成為新的漏洞。
3. 「影子AI」風險：未經資訊部門批准或監管的AI應用，可能在企業內部形成安全盲點，增加PII和智慧財產外洩的風險。
4. 新型攻擊向量：生成式AI的普及，使得網路釣魚攻擊變得更為精密和難以識別，取代傳統憑證竊取成為主要初始攻擊手段。
5. 供應鏈風險持續：供應鏈攻擊仍然是AI相關資料外洩的重要來源，顯示企業對第三方風險的管控仍需加強。

安全影響

1. 巨額經濟損失：直接成本包括罰款、法律訴訟費、應變開支，間接損失則包含業務中斷、客戶流失、聲譽損害等，尤其在美國市場，監管罰款和勞動成本的影響更為顯著。
2. 品牌聲譽受損：資料外洩會嚴重損害企業在客戶和市場中的信任度與品牌形象，重建信任需要漫長的時間和資源。
3. 營運中斷：攻擊可能導致關鍵系統停擺，影響日常營運，進而造成生產力下降和收入損失。
4. 智慧財產損失：企業的核心技術、商業機密等智慧財產一旦洩露，可能導致競爭優勢喪失和長期市場劣勢。
5. 監管與法律壓力：嚴格的資料保護法規（如GDPR、CCPA等）將對企業施加更重的罰款和法律責任。

行動建議

1. AI安全納入開發生命週期： 確保AI模型和應用在設計、開發和部署的各階段都納入嚴格的安全控制，特別是強化存取管理。
2. 識別並管理「影子AI」：建立機制以偵測和管理企業內部未經授權的AI使用，將其納入資安監管範圍。
3. 加強網路釣魚防禦：實施多層次的網路釣魚防護，包括先進的電子郵件過濾、員工資安意識培訓，以及模擬網路釣魚演練。
4. 強化供應鏈資安審查：對所有第三方供應商進行嚴格的資安評估和風險管理，確保其遵循最高安全標準。
5. 投資自動化與AI輔助防禦：雖然AI帶來新風險，但其在加速檢測和應變方面的潛力巨大。企業應策略性投資AI驅動的資安解決方案，以降低平均修復時間（MTTR）。
6. 持續監控與事件應變：建立強大的安全營運中心（SOC）和事件應變團隊，進行24/7監控，並定期演練資料外洩應變計畫。
7. 實施零信任架構：不信任任何內部或外部的用戶或設備，所有存取請求都需經過嚴格驗證。

結論

IBM的最新報告向全球，特別是美國企業發出了明確的警訊：資料外洩的經濟影響正變得前所未有的巨大，而AI雖能提供防禦優勢，卻也同時帶來新的攻擊面。在快速數位化和AI普及的時代，企業不能再將資安視為單純的IT成本，而應將其視為一項戰略性投資，關乎企業的韌性、品牌聲譽和長期生存。
從強化AI模型安全、打擊「影子AI」，到提升對新型網路釣魚和供應鏈攻擊的防禦能力，再到投資先進的自動化資安解決方案，企業必須採取全面的、以風險為基礎的方法。建立強固的資安文化，並將技術、流程和人員的防禦能力同步提升，是降低資料外洩風險和控制其成本的唯一途徑。這不僅是技術挑戰，更是企業領導層必須面對並優先解決的營運挑戰。