IBM算出440万漏洞后，30%的IT工单竟来自同一件事

IBM 2025年数据泄露成本报告把单次事故均价钉在440万美元。这个数字足够让任何CISO（首席信息安全官）失眠，也够让董事会批预算。但这份报告没讲的是：真正掏空IT团队精力的，是那些永远上不了新闻的"小事故"。

账户锁定、密码重置、凭证失效——它们不会触发应急响应，只会变成第47号工单、被搁置的项目、以及凌晨两点还在回邮件的工程师。单看一笔 negligible（可忽略），累加起来就是持续失血。

30%的IT工单，源头是同一种故障

Forrester 的估算让这个数字变得具体：密码重置占企业帮助台工单的20%到30%，单次处理成本约70美元。按人头摊，一个5000人的中型组织每年在这件事上烧掉的钱，够养一个完整的安全运营小组。

更隐蔽的成本在时间维度。用户被锁在系统外，工作流断裂；IT人员放下手头项目去救火；安全团队想推进的零信任架构、终端检测升级，永远在排队。

凭证事故的真正代价，不是你可能阻止的那次重大泄露，而是每天都在发生的、被默许的运营损耗。

但企业对此的标准应对——收紧密码策略——往往适得其反。

"不符合复杂度要求"正在制造更多漏洞

用户面对这种提示时的反应，和产品经理看到"系统错误，请重试"差不多：完全不知道错在哪。试了三次后，没人再试图理解规则，只想最快通关。

结果 predictable（可预测）：旧密码加数字、便签贴显示器、浏览器自动填充所有站点。这些行为没有恶意，却直接推高凭证事故的发生率——锁定、泄露、再锁定，循环往复。

没有泄露密码筛查机制的企业，只能靠定期强制重置来"管理风险"。但密码的危险从不来自年龄，而来自暴露。一个用了三年的强密码，可能比昨天刚换的、已在暗网流通的密码更安全。

短周期重置策略的真正产出，是运维负担：IT团队忙于处理本可避免的工单，却对真实风险视而不见。

被忽视的重复成本，正在吃掉安全预算

IBM 的440万是一个锚点，让"防止一次重大事故"成为投资决策的充分理由。但重复性凭证事故的账单从不集中呈现——它散落在各部门的工时记录、延迟上线的项目、以及员工对IT支持的负面反馈里。

安全团队容易陷入一种选择性失明：只追踪可能上新闻的事件，对慢性损耗习以为常。但这种"正常化"本身就是成本。当IT人员80%的时间用于消防而非建设，组织实际上在用自己的资源削弱自己的防御能力。

凭证安全的基础设施需要重新定价。不是单次泄露的保险逻辑，而是运营效率的账本逻辑——减少一次重置，就是释放70美元和20分钟；减少一万次，就是一套新方案的预算空间。

IBM 报告发布三个月后，一家金融服务公司的CISO在内部复盘会上提到：他们统计了过去一年的凭证相关工单，发现重复投诉用户占比不到5%，却贡献了超过40%的工单总量。这个数字没出现在任何对外披露的安全指标里，但正在决定他的团队明年能招几个人。

你的组织上次计算"小事故"的总账，是什么时候？