根据IBM Security的2020年数据泄露成本报告，2020年全球医疗数据泄露平均成本高达713万美元，这比去年增长了10%以上，去年的行业平均数据泄露成本为645万美元。该报告对去年17个行业发生的500多起数据泄露事件进行了调查，结果显示，医疗行业仍然面临着与数据泄露相关的最高成本。

在所有行业中，数据泄露会给公司平均造成386万美元的损失，或者每条记录损失1.49美元。IBM的研究发现，80%的此类事件导致客户个人识别信息（personally identifiable information ，PII）暴露。在这些漏洞暴露的所有类型的数据中，客户PII也是企业需要支付的成本最高的。

该报告揭示，随着越来越多的公司通过新的远程工作和基于云的业务操作访问敏感数据，这些数据如果遭到泄露，组织可能遭受财务损失。

根据IBM的研究，数据泄露事件的财务影响通常会持续多年。业务损失成本占数据泄露平均总成本的近40%，从2019年研究的140万美元增加到2020年研究的150万美元。损失的业务成本包括客户周转率增加、系统停机造成的收入损失以及声誉下降导致的获取新业务的成本增加。

报告发现，公司正在为员工凭证泄露支付额外费用。全球平均数据泄露成本达到480万美元，而在攻击者通过使用被盗或泄露的凭证访问公司网络的事件中，数据泄露成本还要高出近100万美元，利用第三方恶意漏洞是第二大成本根源（450万美元）。

研究还发现，使用智能技术可以将泄漏成本削减一半。全面部署安全自动化技术的公司利用人工智能、分析和自动化处理来识别和响应安全事件，与没有部署这些工具的公司相比，数据泄露成本不到一半——平均为250万美元，而未使用的数据泄露成本平均为600万美元。但是医疗公司对这些技术的采用率很低。只有23%的医疗机构完全部署了安全自动化工具。

IBM X-Force Threat Intelligence副总裁Wendi Whitmore在一份声明中说：“在企业降低数据泄露影响的能力方面，我们开始看到投资于自动化技术的公司拥有明显的优势。在企业加速扩张数字足迹、安全行业人才持续短缺之际，团队需要保护更多设备、系统和数据，很可能会不堪重负。安全自动化有助于解决这一负担，不仅支持更快的安全风险响应，而且还支持更具成本效益的响应。”

研究发现，医疗保健公司数据泄露缓冲的时间也更长。2019年在所有行业中，公司平均需要207天来确定泄露行为，73天来防控泄露行为进一步蔓延，加起来平均“生命周期”为280天。在医疗保健行业，这一生命周期平均为329天。

在医疗行业中，50%的漏洞是由恶意攻击造成的，27%的违规事件是由人为错误引起的，23%是由系统故障引起的。以下是报告的五个主要发现：

远程工作会带来泄露风险：由于混合工作模式创造的环境控制较少，报告发现，70%在大流行病期间采用远程工作的公司预计将会增加数据泄露成本。

尽管决策权有限，但首席信息安全官CISO仍应对泄露负责：46%的受访者表示，CISO最终应对泄露行为负责，尽管只有27%的受访者表示CISO/CSO是安全政策和技术决策者。报告发现，与泄露的平均成本相比，任命CISO可节省14.5万美元的成本。

大多数网络保险企业使用第三方索赔费用：与全球386万美元的平均水平相比，拥有网络保险的组织机构在解决数据泄露问题上平均花费少了近20万美元。事实上，在使用网络保险的这些组织中，51%的组织将其用于支付第三方咨询费和法律服务，而36%的组织将其用于受害者赔偿费用。只有10%用索赔来支付勒索费用。

巨大的泄露成本以数百万级飙升：超过5000万条记录被泄露，导致成本从上一年的3.88亿美元飙升至3.92亿美元。4000万到5000万条记录被泄露让公司平均损失3.64亿美元，与2019年报告相比，成本增加了1900万美元。

国家攻击--最具破坏性的泄露事件：与报告中研究的其他威胁行为体相比，源于民族、国家攻击的数据泄露成本最高。国家资助的攻击平均造成440万美元的数据泄露成本，超过了有经济动机的网络罪犯和黑客活动主义者。