Theo báo cáo, trong các năm 2015 và 2018, số lượng vi phạm được thống kê là ít hơn 200 sự cố. Trong sáu tháng đầu năm 2019, số lượng vi phạm này đã tăng lên 54% so với cùng kỳ năm ngoái.

Tuy nhiên, số lượng hồ sơ về các vi phạm đã tiếp nhận trong nửa đầu năm 2019 thấp hơn 30% so với cùng kỳ năm 2017, điều này có thể thay đổi trong nửa cuối năm 2019. Đặc biệt, gần đây vụ vi phạm dữ liệu của Capital One, hacker đã sở hữu nhiều terabyte dữ liệu bị đánh cắp từ hơn 30 công ty, tổ chức giáo dục và các tổ chức khác.

Mặc dù có nhiều lo ngại trong cộng đồng an ninh mạng về những mối đe dọa nội bộ trong các tổ chức, 89% các vi phạm là kết quả của các cuộc tấn công bên ngoài, mặc dù báo cáo lưu ý rằng dữ liệu ngày càng nhạy cảm, bị lộ khi người trong cuộc không xử lý đúng hoặc bảo mật thông tin kém.

Risk Based Security cũng chỉ ra sự nguy hiểm của việc đặt dữ liệu nhạy cảm cho bên thứ ba quản lý. Mới đây, vi phạm an ninh tại Cơ quan Thu thập Y tế Mỹ (AMCA - nhà cung cấp dịch vụ thanh toán cho ngành chăm sóc sức khỏe tại Mỹ), bị tin tặc xâm nhập vào mạng của công ty này và đánh cắp hơn 22 triệu hồ sơ bao gồm: thông tin cá nhân, số an sinh xã hội và chi tiết về tài chính của các bệnh nhân. Những vi phạm này khó quản lý hơn bởi vì do nhiều bên liên quan, họ cũng có thể gây ra hậu quả tai hại hơn cho các cá nhân có dữ liệu bị lộ trong báo cáo này, hậu quả là công ty AMCA đã buộc phải nộp đơn xin phá sản chỉ hai tuần sau khi tin tức về vụ vi phạm được tiết lộ.

Risk Based Security cho biết thêm, dịch vụ chăm sóc sức khỏe là ngành công nghiệp bị ảnh hưởng cao nhất, tiếp theo là các nhà bán lẻ, tài chính, bảo hiểm, hành chính công và cuối cùng là ngành công nghệ thông tin.