Preloader

هزینه نقض داده به ۴.۴۴ میلیون دلار رسید

هزینه نقض داده به ۴.۴۴ میلیون دلار رسید

هزینه نقض داده به ۴.۴۴ میلیون دلار رسید

گزارش تازه‌ی هزینه نقض داده‌های IBM نشان می‌دهد که سرعت به‌کارگیری هوش مصنوعی از توسعه‌ی امنیت و حکمرانی آن سبقت گرفته و همین مسئله AI را به هدفی جذاب و آسان‌تر برای مهاجمان تبدیل کرده است. برای نخستین‌بار، این گزارش به‌طور اختصاصی امنیت و کنترل‌های دسترسی مرتبط با هوش مصنوعی را بررسی کرده است.

شکاف خطرناک میان استفاده و نظارت بر AI

۱۳ درصد از سازمان‌ها اعلام کرده‌اند که تجربه نفوذ به مدل‌ها یا برنامه‌های هوش مصنوعی را داشته‌اند و ۸ درصد نیز نمی‌دانند آیا چنین حمله‌ای رخ داده یا نه. از میان واحدهایی که مورد نفوذ قرار گرفته‌اند، ۹۷ درصد هیچ کنترل دسترسی تعریف‌شده‌ای برای هوش مصنوعی نداشته‌اند. پیامدها نیز سنگین بوده: ۶۰ درصد این حوادث به افشای داده و ۳۱ درصد به اختلال عملیاتی منجر شده است.

به گفته سوجا ویسوسن، معاون واحد امنیت IBM، شکاف میان بهره‌گیری از AI و نظارت بر آن به‌قدری جدی شده که مهاجمان شروع به سوءاستفاده مستقیم از آن کرده‌اند. او هشدار می‌دهد که نبود کنترل‌های پایه، زمینه افشای داده‌های حساس و دستکاری مدل‌ها را فراهم کرده و امنیت هوش مصنوعی باید به‌عنوان زیرساخت حیاتی در سازمان‌ها دیده شود، نه یک گزینه اضافی.

با این حال، سازمان‌هایی که از هوش مصنوعی و اتوماسیون در عملیات امنیتی خود استفاده کرده‌اند، به‌طور میانگین ۱.۹ میلیون دلار صرفه‌جویی داشته و زمان رسیدگی به نقض را ۸۰ روز کاهش داده‌اند.

خطر فزاینده «هوش مصنوعی پنهان» یا Shadow AI

۶۳ درصد از سازمان‌هایی که به نقض داده دچار شده‌اند، یا فاقد سیاست حکمرانی هوش مصنوعی هستند یا هنوز در حال تدوین آن‌اند. حتی در میان سازمان‌هایی که چنین سیاستی دارند، تنها ۳۴ درصد به‌طور منظم استفاده غیرمجاز از AI را بررسی می‌کنند.

از هر پنج سازمان، یک واحد گزارش کرده که حمله‌ی امنیتی آنها به دلیل هوش مصنوعی سایه رخ داده؛ در حالی که تنها ۳۷ درصد سیاست مشخصی برای شناسایی یا مدیریت آن دارند. در شرکت‌هایی که استفاده بالایی از این نوع از هوش مصنوعی داشته‌اند، هزینه نقض داده به‌طور متوسط ۶۷۰ هزار دلار بیشتر بوده است. این حوادث بیش از میانگین، منجر به افشای اطلاعات هویتی و مالکیت فکری شده‌اند.

در ۱۶ درصد از کل نقض‌های داده، مهاجمان از ابزارهای مبتنی بر هوش مصنوعی اغلب برای فیشینگ یا جعل عمیق استفاده کرده‌اند.

وضعیت هزینه‌ها و تغییرات جهانی

میانگین جهانی هزینه نقض داده در سال ۲۰۲۵ به ۴.۴۴ میلیون دلار رسید؛ نخستین کاهش طی پنج سال اخیر. اما در آمریکا این رقم به رکورد ۱۰.۲۲ میلیون دلار افزایش یافته است.

چرخه زمانی شناسایی تا مهار حملات به ۲۴۱ روز کاهش یافته است؛ یعنی ۱۷ روز کمتر از سال قبل. سازمان‌هایی که توانسته‌اند حمله را داخلی شناسایی کنند، حدود ۹۰۰ هزار دلار کمتر از مواردی که حمله توسط مهاجم آشکار شده هزینه پرداخته‌اند.

بخش سلامت همچنان رکورددار هزینه نقض داده است: ۷.۴۲ میلیون دلار برای هر حادثه  با وجود کاهش ۲.۳۵ میلیون دلاری نسبت به سال قبل. شناسایی و مهار نقض در این بخش حدود ۲۷۹ روز طول می‌کشد؛ یعنی بیش از پنج هفته بیشتر از میانگین جهانی.

در سال گذشته، شمار بیشتری از سازمان‌ها از پرداخت باج به مهاجمان خودداری کرده‌اند (۶۳ درصد در برابر ۵۹ درصد سال قبل). با این وجود، هزینه حملات باج‌افزاری به‌ویژه زمانی که مهاجم داده‌ها را افشا کند،  همچنان بسیار بالاست.

نکته نگران‌کننده اینکه تنها ۴۹ درصد از سازمان‌ها پس از نقض، به تقویت بودجه امنیتی روی آورده‌اند؛ و کمتر از نیمی از این گروه، سرمایه‌گذاری در راهکارهای امنیتی مبتنی بر هوش مصنوعی را مدنظر قرار داده‌اند.

پیامدهای بلندمدت

تقریباً تمام سازمان‌های بررسی‌شده، پس از نقض داده با اختلال‌های عملیاتی روبه‌رو شده‌اند و بازیابی کامل اغلب بیش از ۱۰۰ روز به طول انجامیده است. با وجود بهبود نسبی نسبت به سال گذشته، تقریباً نیمی از سازمان‌ها اعلام کرده‌اند که برای جبران خسارت، قیمت کالا یا خدمات خود را افزایش خواهند داد  و حدود یک‌سوم گفته‌اند این افزایش بیش از ۱۵ درصد خواهد بود.