生成式AI加速滲透企業工作流程、提升效率,卻也同步引爆資安隱憂。IBM最新《2025數據洩漏成本報告》指出,全球企業部署AI應用的速度,遠遠超前了其資安防護與治理機制的建置,97%遭駭企業未設AI存取控管,20%更則因「影子AI」導致數據外洩。面對AI風險成長與攻擊手法進化,企業若無及早應對,恐將付出沉重代價。
IBM與Ponemon Institute調查2024年3月至2025年2月間,全球600家遭遇數據洩漏的企業,發現企業普遍在AI治理與資安部署上顯著落後。在發生AI相關安全事件的企業中,高達97%的公司未建立AI存取控管機制;即使制定了AI治理政策,僅有34%會定期審查未經授權的AI工具使用狀況。
IBM安全與營運產品副總裁Suja Viswesan表示,企業在部署AI時追求效率「先行一步」,但若忽略資安與治理,將成為駭客輕鬆滲透的缺口。這不僅是技術問題,更是關於信任、透明度與企業主權的挑戰。
影子AI成潛在破口 資安與商譽雙重受損
該報告特別點出企業最常忽略的高風險因素之一:影子AI(Shadow AI)。這類工具常由部門或員工私下導入、未經公司批准,缺乏資安審核與治理機制。
調查顯示,20%的企業曾因影子AI導致數據外洩,其中洩漏資料以客戶個資(PII)與智慧財產權(IP)為主,比例分別為65%與40%,高於全球平均值。
此外,影子AI每起事件平均損失金額高出67萬美元,並常伴隨營運中斷(39%)、資安支出增加(41%)及品牌信任損害(23%)。此現象已被IBM列為推升數據外洩成本的三大因子之一,與供應鏈攻擊、系統複雜性並列。
生成式AI也成駭客武器 攻擊更精準、更難防
該報告同時警示,16%的數據洩漏事件與駭客運用AI有關,包含生成式AI製作的釣魚郵件、深偽語音或假冒影片等新型社交工程手法。
IBM指出,AI技術讓駭客從過去需時16小時才能製作一封精緻釣魚信件,如今只需5分鐘,攻擊成本下降,滲透成功率卻升高,成為企業資安的新壓力來源。
資安導入AI正面迎戰 可降低損失、縮短復原時間
儘管AI帶來新風險,報告也提供明確對策。企業若在資安防護中廣泛導入AI與自動化技術,可將處理資安事件的平均週期縮短80天,並降低平均損失190萬美元。
具備AI資安部署的企業,其數據外洩平均成本降至362萬美元,遠低於未使用者的552萬美元;處理時間也從平均284天下降至204天,顯著提升應變速度與損害控制能力。
然而,IBM也指出,在經歷資安事件後仍選擇強化資安投資的企業僅剩49%,較去年的63%明顯下降,顯示出企業防守意識仍有待提升。
五大行動 建立AI世代資安韌性
為協助企業因應AI世代的資安挑戰,IBM在報告中提出以下五大行動方針:
1、強化身分與存取安全:全面盤點人類與AI代理(agent)的權限控管,防止被濫用或竄改。
2、落實資料安全治理:包含分類、加密、金鑰管理與資料可視化控管,確保敏感資訊不外洩。
3、建構AI治理機制:制定政策、流程與技術工具,偵測與控管影子AI的使用風險。
4、擁抱AI資安自動化:導入AI驅動的威脅偵測與事件回應工具,強化資安反應速度與精準度。
5、提升整體資安韌性:打破部門間壁壘,促進CISO、CRO、CCO協同合作,推動資安與治理融合。 (相關報導: 台灣20%關稅1》扣件、鋼鐵、汽車零組件產業稅率最高50% 一行業意外成少數受惠者 | 更多文章 )
隨著AI應用成為企業核心競爭力,資安與治理也必須同步成為策略核心。IBM此份報告不僅揭露企業現階段的結構性弱點,也提供清晰可行的行動框架。在AI加速的時代,唯有治理與資安同步前行,企業才能穩健邁向下一個成長曲線。
