內部風險的平均年成本已經增加到1620萬美元——在四年內增長了40%，與此同時，遏制內部事件的平均天數已增加到86天。

　　除了分析企業經歷內幕安全事件時產生的成本外，今年的研究還首次深入了解企業是如何為內幕風險計劃提供資金的。調查結果顯示，46%的企業計劃在2024年增加對內部風險計劃的投資。研究還發現，77%的企業計劃啟動內部風險計劃。

　　我們感到鼓舞的是，企業計劃增加對內部風險計劃的投資，因為這是客戶和新的行業法規的要求——而不僅僅是因為以前的事件。這是一個重大的變化，預示著早就應該關注和優先考慮的問題。“DtexSystems的CTORajanKoo說。

　　對內部風險管理的投資不足

　　圍繞內幕風險管理的勢頭出現之際，遏制與內幕相關的安全事件的成本、頻率和時間都在飆升。根據研究分析師Gartner的說法，內部風險管理是指“衡量、檢測和遏制企業內受信任賬戶的不良行為的工具和能力”。

　　盡管內部風險的成本不斷上升，88%的企業在內部風險管理上的支出不到其IT安全預算總額的10%。企業的IT安全預算為每名員工2437美元，但只有8.2%(相當于每名員工200美元)專門分配給內部風險計劃和政策。

　　IT安全預算的剩余91.8%花在了外部威脅上，盡管超過一半的企業將社會工程視為所有外部攻擊的主要原因。

　　Koo說，調查結果表明，盡管越來越多的證據表明根本原因是從內部開始的，但預算正在被浪費在被動的“癥狀管理”上。他說：“研究結果表明，表現為內部風險的人類是所有數據泄露的主要原因--包括社會工程人員。”“這突顯出對內幕風險類型的普遍誤解，以及未能主動保護客戶數據和知識產權。”

　　Ponemon研究所主席LarryPonemon博士評論說：“我們進行這項研究的目的是讓人們意識到，當員工在處理企業的敏感數據時疏忽、智取或惡意時，會產生巨大的成本。”我們認為這項研究是獨一無二的，因為它根據內部人員的類型、控制事件所需的時間以及最有效地降低成本的技術來分析成本。這些信息有助于制定一項戰略，以便在降低成本的同時更有效地應對內部風險。“。

　　內幕風險計劃資金將增加

　　四年來，內部風險的年平均成本上升了40%，達到1620萬美元，高于2022年的1540萬美元。2023年遏制內部事件的平均天數已增加到86天。響應時間越長，成本就越高(需要91天以上才能遏制的事件為1833萬美元)。

　　企業平均每位員工的IT安全預算為2437美元，但只有8.2%(相當于每位員工200美元)專門分配給內部風險管理計劃和政策。

　　只有10%的內部風險管理預算(每個事件平均63383美元)用于事前活動：33596美元用于監測和監督，29787美元用于事后分析(這包括將未來潛在的內部事件降至最低的活動，以及為與關鍵利益攸關方溝通建議而采取的步驟)。

　　其余90%(每個事件平均為565363美元)用于事件后活動成本中心：179209美元用于遏制，125221美元用于補救，117504美元用于調查，113635美元用于事件響應，29794美元用于升級。

　　盡管大多數企業平均將8.2%的IT安全預算分配給內部風險計劃，但58%的企業認為當前支出不足，46%的企業預計明年資金將增加。77%的企業已經開始或計劃開始內部風險計劃。

　　大多數內部事件都是由非惡意內部人士引起的

　　75%的受訪者表示，內部風險最有可能的原因是非惡意的：疏忽或錯誤的內部人員(55%)，或被外部攻擊或對手利用的聰明的內部人員(20%)。

　　53%的企業表示，社交工程(包括網絡釣魚、托詞和商業電子郵件泄露)是非內部或外部攻擊的主要原因。

　　金融服務業的平均活動成本為2068萬美元，服務業(包括會計、咨詢和專業服務公司)的平均活動成本為1909萬美元。

　　在已經或計劃擁有專門的內部風險計劃的企業中，52%的企業報告說，自上而下地支持和支持該計劃(例如，內部風險指導委員會)是一個關鍵特征。51%的受訪者擁有來自法律、人力資源、業務線和IT安全的專職跨職能團隊。

　　三分之一的企業認為AI和ML對于預防、調查、升級、遏制和補救內部事件至關重要，而31%的企業認為這非常重要。