根据基于AI的风险管理技术提供商Dtex Systems与安全研究公司Ponemon Institute合作发布的一份报告，公司普遍资金不足，花在每个员工上的安全支出约为200美元。这份报告基于对1000多名IT安全决策者的调查，发现58%的受访者认为这笔钱不够。

根据这份报告，这种支出不足的后果可能是严重的。内部风险的总平均成本从2022年的1540万美元上升到2023年的1620万美元，而在同一时期，遏制源自内部人员的安全威胁所需的平均天数从85天增加到86天。

Ponemon Institute将内部威胁分为三类。首先，由于恶意内部人士希望损害公司，比如心怀不满的员工，因此出现了威胁。其次，威胁的产生是因为外部攻击者利用了一名易受攻击的员工，而这名员工被网络钓鱼或类似的骗局所欺骗。最后，在成本最高的类别中，报告描述了疏忽的内部人员，他们忽视了来自安全系统的警告，或错误地配置了系统。

在内部事件响应上花费的资金中，超过一半(55%)用于疏忽或错误导致的问题，相比之下，20%的新型攻击利用了业务人员或IT员工，25%的资金是由活跃的恶意内部人员造成的。

报告作者断言，这意味着安全团队可以通过专注于检测和预防来节省大量资金，而不是被迫将资金花在补救上。最终，研究发现，内部风险管理预算中只有10%花在了事前支出上——每个事件约为64000美元。每起事件剩余的565363美元用于遏制、补救、调查、事件响应和升级。

报告称：“资金正被不经意间误导，部分原因是人们普遍忽视了内部风险，以及这些风险是如何根据早期预警行为表现出来的。”“在我们如何定义和讨论企业和政府实体的内部风险方面，需要一种全行业的方法来找到共同点。”