根据 IBM Security 和 Ponemon 对近 500 家经历过数据泄露的公司进行了采访，他们收集了与数据泄露有关的数百个成本因素的信息，包括技术调查和恢复、通知、法律和监管要求、业务损失成本和声誉损失。

总体而言，研究发现，数据泄露中的隐性成本——比如业务损失、声誉的负面影响以及员工在恢复过程中花费的时间——难以统计，且成本高昂。例如，该研究发现，「大型违规」(超过 100 万份记录丢失) 的成本中，有三分之一来自于业务的损失。

2018 年由于全球数据泄露事件的平均成本为 386 万美元，比 2017 年的报告高出 6.4%。这项研究首次计算了与「大型违规」相关的成本。「突破 100 万份记录的损失为 4000 万美元，而突破 5000 万份记录则可能造成 3.5 亿美元的损失。」

IBM X-Force 事件响应和情报服务全球负责人Wendi Whitmore 在一份声明中说:「虽然公众高度关注的数据泄露事件往往会造成数百万人的损失，但这些数据的波动性很大，而且往往只关注一些容易量化的特定成本。」「事实上，有许多隐藏的费用是必须考虑的，比如声誉损失、客户损失和运营成本。知道成本在哪里，以及如何降低成本，可以帮助企业更有策略地投资资源，并降低所面临的巨大财务风险。

在过去 5 年里，大型泄露事件 (超过 100 万份) 的数量从 2013 年的 900 起增加到 2017 年的 1600 起。根据对过去两年发生重大数据泄露事件的 11 家公司的分析，今年的报告使用统计模型来预测违规行为的成本，从 100 万到 5000 万不等。绝大多数的攻击 (11 次中有 10 次) 来自恶意攻击和刑事攻击 (不是系统故障或人为错误)。

发现和包含大型入侵的平均时间是 365 天——几乎比规模较小的入侵时间 (266 天) 长 100 天。

对于大型数据泄露行为，最大的损失是与业务损失相关的损失，据估计，5000 万次违规行为的损失约为 1.18 亿美元，几乎是此类事件总成本的三分之一。IBM 分析了几起引人注目的大型违规事件的公开报告成本，发现报告的数据往往低于研究中发现的平均成本。这可能是由于公开报告的成本通常限于直接成本，如从违约中恢复的技术和服务、法律和监管费用，以及对客户的赔偿。

在过去的 13 年里，Ponemon Institute 研究了与数据泄露相关的成本，发现在研究过程中损失一直在稳步上升。

医疗保健机构的数据泄露造成的损失连续 8 年排名最高——每份丢失或被盗数据要损失 408 美元——几乎是跨行业平均水平 (148 美元) 的 3 倍。

Ponemon Institute 董事长兼创始人 Larry Ponemon 在一份声明中表示:「我们的研究目标是展示良好的数据保护实践的价值，以及在解决数据泄露问题时，公司支付的金额会产生实质性影响的因素。」「尽管数据泄露的成本在研究的历史中一直在稳步上升，但我们看到了通过使用更新技术节省成本的积极迹象。表明通过使用新技术以及对事故响应进行适当规划，可以大幅降低这些成本。」