2021全球重大數據泄露事件研究
中國曾發布的《全球數據安全倡議》中提出:“作為數字技術的關鍵要素,全球數據爆發增長,海量集聚,成為實現創新發展、重塑人們生活的重要力量,事關各國安全與經濟社會發展。”數據的重要性不言而喻。然而,近年來,全球數據被攻擊、竊取、劫持等現象又層出不窮,儼然成為安全的“重災區”,給經濟、政治、社會等領域帶來巨大風險。
2021年,新冠疫情仍然肆虐全球,全球各行業數字化轉型加速,數據的價值在進一步凸顯,數據泄露也在持續高頻發生,也不斷地登上頭條新聞,涉及從醫療信息、賬戶憑證、個人信息、企業電子郵件及企業內部敏感數據等各種信息,涉及的領域包括工業制造、政務、醫療、金融、交通等等,不一而足,面臨的形勢依然非常嚴峻。
一 整體態勢
根據身份盜竊資源中心(ITRC)的數據,今年迄今為止公開報告的數據泄露數量已經超過2020年的總數,2021年有望創下歷史新高。
該非營利組織的2021年第三季度違規量數據為446起事件。盡管這低于第二季度報告的491起違規事件,但今年迄今為止的總數現在為1291起,而2020年為1108起。其中,云的數量有明顯的增長,個人信息的占比有所增加,業務信息占比較大。
根據Canalys的最新報告“網絡安全的下一步”,2020年數據泄露呈現爆炸式增長,短短12個月內泄露的記錄比過去15年的總和還多。勒索軟件攻擊激增,并且首次奪取生命,報告的勒索軟件攻擊事件數量與2019年相比增長了60%。
信息化程度越高的行業,數據泄漏事件越多,且泄漏所造成的危害越大。信息化使得現實世界在網絡空間中的映射愈加具體,物理空間中受到層層保護的信息在網絡空間中卻唾手可得,信息化建設和信息安全之間仍存在脫節。
內部人員仍然是數據泄漏的首要因素,其主要目的仍然是獲利,這說明組織機構在數據安全教育、風險監控等方面還需要提高。泄漏的數據又對其它的數據形成威脅,這種鏈式反應加速了數據泄漏,使越來越多的機構和個人遭受損失。
二 呈現特點
1、企業承包商遭受攻擊趨勢明顯
全球企業通過其承包商遭受攻擊已經成為一個明顯的趨勢。企業的業務數據通常分布在多個第三方,包括服務提供商、合作伙伴、供應商和子公司。因此,組織不僅需要考慮影響其IT基礎設施的網絡安全風險,還需要考慮那些可能來自外部的風險。
根據調查,三分之一 (32%) 的大型組織遭受了涉及與供應商共享數據的攻擊。這個數字自2020年的報告以來,沒有明顯變化(當時是33%)。這種形式的財務影響也與去年相同——即140萬美元——但是當時,它在所有形式的攻擊造成的平均損失排名中位列第13位。
2、人為疏忽依然是安全的最大威脅
威瑞森發布《2021年數據泄露調查報告》發現,61%的數據泄露與憑證數據有關。與上一年的報告一脈相承,人為疏忽依然是安全的最大威脅。
數據泄露調查報告中的每個行業在安全上都存在自身特有的細微差異。例如,金融和保險行業被盜數據中83%都是個人數據。醫療保健行業深受電子病歷或紙質文件誤投的困擾。而在公營產業中,社會工程是攻擊者的技術之選。
按地區劃分,亞太地區的數據泄露通常出于金融動機,由網絡釣魚攻擊造成。在歐洲、中東和非洲,Web應用攻擊、系統入侵和社會工程攻擊是常態。
3、數據泄露成本增幅較大
IBM發布了“2021年數據泄露成本報告”,2020-2021年平均數據泄露總成本將增長10%,這是過去七年來最大的增幅。
107萬美元的成本差異,遠程工作是導致數據泄露的一個因素。由于新冠疫情,遠程工作和數字轉換增加了數據泄露的平均總成本。醫療行業的數據泄露成本連續11年保持最高。醫療保健機構連續第11年保持其數據泄露平均成本榜首位置。
數據泄露成本中有38%是業務損失。損失業務占數據泄露成本的份額最大,平均為159萬美元。個人識別信息的泄露成本為180美元。客戶個人識別信息(PII)是最常見的數據泄露類型,占44%的數據泄露事件。20%的數據泄露最初是由憑據泄露造成的。憑證是最常見的初始攻擊媒介,占20%的數據泄露事件。發現到遏制數據泄露平均需要287天。識別和控制的時間越長,違規的成本就越高。
4、泄漏數據記錄數量增幅明顯
根據Imperva發布的最新報告,自2017年以來,全球網絡攻擊泄漏數據記錄的數量平均每年增長高達224%。僅2021年1月報告的泄露記錄(8.78億)就超過了2017年全年(8.26億)。
Imperva安全研究員Ofir Shaty表示,在過去四年中,此數字有所增加,與此同時,報告的攻擊事件數量也增加了34%,每個事件的平均泄露記錄數量增加了131%。
根據身份盜竊資源中心 (ITRC) 的數據,今年迄今為止公開報告的數據泄露數量已經超過 2020 年的總數,2021 年有望創下歷史新高。
該非營利組織的第三季度違規量數據為 446 起事件。盡管這低于第二季度報告的 491 起違規事件,但今年迄今為止的總數現在為 1291 起,而 2020 年為 1108 起。到目前為止,與 2020 年全年相比,2021 年數據泄露量增加了 27%。
IBM Security統計分析了全球 500 多家公司和組織的 10 萬條記錄,于今年8月發布的一份研究報告顯示,就攻擊的規模而言,有14家公司被確認遭受了重大的數據泄露,涉及1000多萬條記錄的泄露,造成5200萬美元損失,到涉及6500多萬條記錄的泄露事件,損失4.01億美元不等。所有的因素,如技術、法律、監管、員工生產力的損失、品牌資產和消費者損失都包括在內。
三 主要挑戰
在數據時代,數據是一種“泛在”性的存在,其安全的維護是一個非常復雜的系統,但按照涉及議題的屬性,大致可以將當前數據安全面臨的主要挑戰或問題劃分為以下四大類:
1、數據確權難題
有效維護數據安全,首要的問題是對數據進行確權。所謂數據確權,是對數據權內容、權屬、權利體系和治理機制等做出明確規范的過程。由于數據問題本身的特殊性,數據確權從不同主體層面均面臨不同程度的困難。
2、數據壟斷困境
互聯網行業以用戶量和數據量為導向形成“贏者通吃”的天然壟斷局面,絕大部分用戶份額控制在一個或幾個巨型互聯網公司之中。數據壟斷會帶來系列問題,一是隱私保護問題,用戶交付個人信息以換取互聯網企業免費服務的同時,所產生的大量行為數據也被互聯網企業所搜集。二是加大數據泄露風險,海量數據集中在少部分平臺和公司之中,也增大了大規模數據泄露的風險。三是市場壟斷問題。企業對于數據的排他性支配是否在事實上導致準入壁壘,進而使得互聯網市場趨向壟斷,長遠看會影響行業整體的良性發展態勢。
3、數據泄露危害
所謂數據泄露主要是指受保護的重要、敏感、核心數據丟失、被盜、或其他未經授權的訪問或公開。數據泄露侵犯網絡用戶個人信息和隱私,增大用戶被欺詐風險;企業數據泄露造成直接經濟損害,同時影響企業可信度;公共數據泄露影響社會治理,違法售賣數據等既是犯罪本身也可能引發其他類型的網絡犯罪;核心、機密數據以及大規模數據泄露同樣威脅著國家的政權安全和主權安全。
4、數據造假隱患
近年來,數據篡改或造假問題日益引起廣泛關注。數據造假已成為社會多領域內的問題,包括環境監測、金融數據造假。例如,在電商平臺、視頻網站以及社交平臺上的公開數據也有相關造假手段;如果基于被篡改的數據與作假的數據,人工智能算法的有效性與學習效果不難想象等等。
四 思維誤區
根據IBM與Ponemon Institute基于對全球17個國家500多家真實經歷過數據泄露企業進行的分析調研報告指出,2021年遭受數據泄露的企業單次數據泄露事件平均耗費成本為424萬美元,這個數字相比2020年增長了10%,成為了歷史上數據泄露成本的最高值。
分析報告指出,憑證泄露引發的數據泄露是最常見原因,也是企業被攻擊到發現用時最長的威脅,平均需要250天。調查發現,企業面對數據安全方面存在以下幾個誤區。
1、企業缺乏網絡安全要求
調查分析發現,81%的企業認為自身網絡安全高于平均水平,但很多企業實際缺乏網絡安全基本要求,41%的企業不要求進行復雜密碼管理和身份驗證。
2、企業存在僥幸心理
一些企業認為只要部署基本防御就沒問題,一般不會出現數據泄露問題,即使遭遇勒索攻擊只要支付贖金即可的認知誤區。事實上,在過去的一年中,有72%的受訪企業遭受過勒索軟件攻擊,其中13%的企業被攻擊了6-10次。
3、企業有意識但無行動
還有一個非常重要的問題,一些企業雖然意識到包括勒索軟件在內的安全威脅,把郵件攻擊列為攻擊風險最高的載體,但在實際安全行動上比較非常滯后。
五 整體趨勢
1、數據泄漏將會日趨嚴重
數據泄漏事件的數量以及單次泄漏的數據量都呈逐年增高的趨勢,泄漏的數據內容和影響的人數也在不斷刷新紀錄。在數字經濟時代,數據已經成為生產要素。受利益驅動,對數據的爭奪將會更加激烈。
2、數據安全挑戰不斷
線上業務的爆發、或業務上云都使得數據安全風險驟增。雖然數據安全技術在持續進步,但新技術的出現仍會對現有安全體系形成沖擊。例如大數據技術、5G、人工智能、云計算和物聯網使防護場景更復雜,數據交易使數據的流動更頻繁,這都要求數據安全技術和理念不斷演進。
3、對數據安全的認識不足
很多起數據泄漏事件是因為員工對數據安全缺乏足夠重視。數據安全與網絡安全相比,尚未得到完全普及。很多組織機構無法判斷數據安全的范圍,認為做好網絡安全就能擁有數據安全。這導致組織機構的員工從未認真對待過數據安全風險。
4、流動數據發生泄漏的風險增加
數據泄漏在使用交換階段的占比增加,將會對數據流動產生負面影響。數據作為生產要素,自主有序流動是其本質要求。惟有數據安全先行,數據流通共享才能達到一個全新的高度,數據的價值才能得到充分發揮。沒有數據安全,不足以談數據要素的市場化配置。
5、當前的數據安全缺乏體系化防護
數據發生泄漏的原因多且復雜,有關聯的因素包括人員、應用、數據內容和使用方式等方面。企業機構目前僅依賴若干孤立產品進行安全防護,已不能應對當前復雜的應用場景,更談不上創新性和前瞻性。
六 防護建設
1、以數據為中心的安全防護要素
本文提出的大數據安全防護技術體系,基于威脅情報共享和采用大數據分析技術,實現大數據安全威脅的快速響應,集安全態勢感知、監測預警、快速響應和主動防御為一體,基于數據分級分類實施不同的安全防護策略,形成協同安全防護體系。圍繞以數據為核心,以安全機制為手段,以涉及數據的承載主體為目標,以數據參與者為關注點,構建大數據安全協同主動防護體系。以數據為中心進行安全防護的要素如圖1所示。
圖1 以數據為中心的安全防護要素組成
(1)數據是指需要防護的大數據對象,此處指大數據流轉的各個階段包括采集、傳輸、存儲、處理、共享、使用和銷毀。
(2)安全策略是指對大數據對象進行安全防護的流程、策略、配置和方法等,如根據數據的不同安全等級和防護需求,實施主動防御、訪問控制、授權、隔離、過濾、加密、脫敏等。
(3)安全產品指在對大數據進行安全防護時使用的具體產品,如數據庫防火墻、審計、主動防御系統、APT檢測、高速密碼機、數據脫敏系統、云密碼資源池、數據分級分類系統等。
(4)防護主體是指需要防護的承載大數據流轉過程的軟硬件載體,包括服務器、網絡設備、存儲設備,大數據平臺、應用系統等。(5)參與者是指參與大數據流轉過程中的改變大數據狀態和流轉過程的主體,主要包括大數據提供者、管理者、使用者和大數據平臺等。
2、主動防御的大數據協同安全防護體系
在大數據環境下需要構建具有主動防御能力的大數據協同安全防護體系,在總體上達到“協同聯動,體系防御”的安全防御效果。大數據協同安全防護體系必須具備威脅的自動發現、策略決策的智能分析、防御策略的全局協同、安全資源的自動控制調度以及安全執行效果的綜合評估等特征。
其中威脅的自動發現和防御策略的全局協同是實現具有主動防御能力大數據協同安全防護體系的基礎。大數據的安全并不僅僅是大數據平臺的安全,大數據的安全應該以數據生命周期為主線,兼顧滿足各個參與者的安全訴求。大數據的安全動態協同防護體系架構如圖2所示。
圖2 主動防御的大數據協同安全防護體系
3、大數據協同安全防護流程
大數據協同安全防護強調的是安全策略全局調配的協同性,安全防護手段的主動性,以威脅的自動發現和風險的智能分析為前提,采用大數據的分析技術通過安全策略的全局自動調配和防護手段的全局聯動。具有主動防御能力的大數據協同安全防護流程如圖3所示。
圖3 大數據協同安全防護流程
七 啟示思考
綜上所述,數據安全作為一個時代性議題,需要在發展中不斷探索。當前國際數據安全維護現狀與趨勢帶來的啟示在于以下幾點。
一是意識要適當“超前”。中國作為數據大國,考慮到數據戰略價值,尤其是未來數字經濟發展需要,不僅要考慮數據能夠“護得住”,更要考慮數據能夠“拿得來”,這就需要在制定國內數據安全維護政策措施時,要考慮是否達到安全與發展的最佳平衡點,是否能夠和其他具有數據潛力的國家或地區有效對接,促進數據的流動。
二是策略要足夠“豐富”。要深刻認識到數據安全是一個戰略問題,更是一個實踐問題,不僅要從國家層面制定相應的戰略,出臺相關法規,完善應有機制,更要在實踐中,發揮非國家主體,尤其是行業和企業的作用。一方面要聽取他們作為“落地一線”的反饋,不斷校準與修正相應政策,提升政策的有效性;另一方面要鼓勵他們尋求更加有效的技術或標準解決方案,以最佳實踐提升數據安全的話語權和影響力。
三是議程設置要足夠“主動”。當前數據規則還在發展初期,正是加緊“塑造”的戰略機遇期。不論是在雙邊、區域還是多邊場合,對于數據規則探討的議程設置都應該更加積極。一方面要在一些既有機制下,就重要議題拿出有影響力的主張或有說服力的案文;另一方面還要主動搭建相關渠道,以開放和促進數據流動的姿態,引導數據安全規則探討,從而全面提升話語權。
