數據安全僵局:數據泄露了?我不知道啊!
數據泄露是我們現在每天都能聽聞的安全事件,它深遠影響著每一個行業、每一個公司、每一個人,受害組織可能覆蓋小微企業到世界500強,其中,用戶個人信息的泄露是最突出也是最嚴重的。
IBM《2022年數據泄露成本報告》估計,2022年的數據泄露成本將達到歷史新高,平均為435萬美元,這無疑是一個令人生畏的統計數據。
然而,人們更多討論的是在事后,企業將花費巨額成本來修復受損系統、進行網絡調查取證、改善防御措施和支付法律費用。這些固然重要,但并不一定包含了涉及數據泄露的用戶個人所感受到的所有成本。以及最關鍵的,如果不是被曝光(比如在暗網倒賣),大多數企業和用戶個人甚至都不知道發生了數據泄露。
對于個人而言,成本可能更加個人化。私人信息被曝光只是第一步,經濟損失可能以營銷騷擾、網絡詐騙等方式出現,還附帶嚴重的長尾效應,對受害人產生持續的影響。
對于企業而言,事后的止損、修復和加固是必須的,但是為了更長久、更徹底地解決問題,事前發現風險、盡量規避事件的發生,全程滿足監管的要求、保證信息及時而透明,才能最大限度改善數據安全態勢。
數據泄露是如何發生的?
根據IBM的調研,攻擊者用來入侵企業網絡的最常見的初始攻擊手段是使用受損的憑據,這種方法造成了 20%的數據泄露事件。 這些憑據可能包括在線泄露的賬戶用戶名和密碼,在單獨的安全事件中被盜,或通過暴力破解、撞庫等方式獲得。
其他潛在的攻擊方法包括:
Magecart攻擊:像英國航空和Ticketmaster等公司都經歷過這類攻擊,惡意代碼被悄悄注入電商支付頁面,以獲取用戶個人的支付卡信息。
注入網站域和表單的惡意代碼:相同的策略可用于從客戶和訪問者那里獲取其他形式的數據,當不知情的受害者訪問合法服務時,就可以竊取數據。
BEC詐騙:攻擊者偽裝成公司員工、承包商或服務提供商,或直接盜取了他們的賬戶,發送釣魚郵件,欺騙內部人員提供關鍵信息或者轉賬。
內部威脅:人是最大的不可控變量,內鬼泄密在近年來愈加頻繁,員工的身份和訪問權限管理變得尤為重要。此外還包括供應鏈上的威脅,第三方人員和供應商的安全風險會連帶影響企業的數據安全。
疏忽大意:由于配置錯誤而保持開放和在線暴露的服務應用,是攻擊面暴露和數據泄露的主要原因。同時,員工的意外操作,比如隨意傳輸存儲,也造成了相當比例的數據泄露。
攻擊者究竟會做什么?
攻擊者可能首先進行監視,映射網絡以找出最有價值的資源在哪里,或者發現潛在的途徑以跳入其他系統。
Verizon表示,71%的數據泄露相關事件是出于經濟動機。攻擊者可能會部署勒索軟件來勒索受害者支付費以重新獲得對網絡的訪問權限。在現在流行的“雙重勒索”策略中,黑客組織可能首先竊取機密信息,然后要挾會將其在網上泄露或轉賣。
或者,有些競爭對手授意的攻擊可能會直接拿走重要的知識產權和商業機密,然后抹去他們的蹤跡。其他人可能會測試他們的接入點,并通過暗網將其出售給其他網絡攻擊者。
在一些情況下,網絡入侵僅出于一個原因:破壞正常的業務和服務,損害企業的命脈。
數據泄露對企業和個人有什么影響?
當企業發生數據泄露時,用戶會對企業產生不信任感,進而影響用戶的選擇,因此,數據泄露事故可能會令企業失去一批客戶,包括潛在客戶。比如,雅虎郵箱曝出泄密事件后,大批用戶棄用,正在商談收購事宜的雅虎甚至一度難以賣出。
經濟受損也是最直接的,一方面,數據本身就是企業資產的一部分,當數據泄露,這部分數據資產拱手讓給別人,對企業的競爭力會產生威脅,間接提高了成本且減少收益。另一方面,聲譽受損會導致企業股價下跌、用戶流失,這都將對企業經濟利益產生直接影響。
同時還將面臨監管處罰甚至是法律訴訟。我國法律明確規定了企業的安全合規義務,發生這類安全事件,罰款和整改必不可少,出海業務還將面臨GDPR等全球不同地區的法律監管。而受害者除了企業自身,也可能包括下游客戶或遭受數據泄露影響的其他合作者。美國征信巨頭EquiFax發生1.43億用戶泄露后,面臨一場美國波特蘭聯邦法庭的集體訴訟,賠償金額高達700億美元。
有些數據泄露是由于員工惡意行為或內部管理不善造成的,通常會引發高層震蕩,如Uber曝出支付黑客10萬封口費后,時任CSO被罷免。員工對企業的不信任感和疏離感隨之產生,繼而影響企業整體的發展。
企業數據泄露事件很大一部分涉及用戶的隱私,個人身份信息(PII)包括姓名、身份證、地址、電子郵件、工作經歷、電話號碼、性別以及包括護照和駕照在內的文件副本,都可用于進行身份盜用,即有人未經許可使用您的信息冒充您。
他們可能會使用您的身份或財務數據進行欺詐和犯罪,包括與稅務有關的欺詐、以您的名義開設信貸額度和貸款、醫療欺詐以及在線進行欺詐性購買。犯罪分子還可能給您使用的應用或平臺(例如運營商)打電話,并假裝是您來欺騙客服泄露信息或更改服務。勒索也是一種可能,當婚外情網站 Ashley Madison 在 遭遇數據泄露時,犯罪分子以重金威脅一些用戶要告訴他們的伴侶、朋友和同事他們的活動。
這些情況可能會造成財產損失、精神壓力、社交工作生活的受阻、并影響您的財務信用評分。由于網絡犯罪是全球性的,執法部門可能也很難起訴肇事者。
企業接下來應該怎么辦?
我們將從技術和合規兩個方面給予建議。互聯網企業以及大部分正在進行數字化轉型的傳統企業,在網絡安全與數據保護方面并未給予足夠的重視及投入,并且伴隨數據價值的凸顯以及數據應用環境的變化,許多傳統安全策略已經不具備有效的保障。
遺憾的是,目前許多企業的策略非常被動,當事件被曝光或已經出現了連帶的受害人事件才知道自身發生了數據泄露,被迫啟動排查和響應,僅僅針對單次事件作出必要的交代。
無論是監管層面還是專業安全廠商,都極力明確事前的、與時俱進的風險評估、安全部署、主動防御永遠是安全建設工作最有用也最省錢的做法,不能抱有攻擊不一定會發生的僥幸心理而拒絕安全投入,一旦發生安全事故,所需付出的成本可能已不在企業能承受的范圍內。
具體的最佳安全實踐沒有標準答案,且會隨著外部環境與市場需求的變化而變化。安全419長期關注數據安全領域技術與趨勢發展,《安全419編輯推薦 | 2021年度優秀安全廠商》數據安全篇介紹了目前國內市場中的部分優秀廠商,為企業滿足合規要求、保護重要數據資產及個人信息提供一定的安全建設思路。
如安恒信息,其提倡以咨詢規劃創建框架,制定戰略目標,設計對應的組織架構和權責,并填補制度體系的空白。落地階段,以“CAPE數據安全能力框架”構建風險核查(Check)、數據梳理(Assort)、數據保護(Protect)以及數據威脅監控預警(Examine)四位一體的數據安全技術體系,實現對數據采集、傳輸、存儲、處理、交換、銷毀全生命周期的安全管理和防護。后期,以“運營服務”實現穩定運行和持續改進,提升項目建設的價值。
昂楷科技,打破“以外防為主建立防護邊界系統”的老思路,提出建立終端、外防、內審內控的三級聯動聯防主動積極防御體系。將安全元數據應用于數據安全治理中,通過安全控制數據與生產數據的分離,保障數據安全的同時,實現安全策略的一致性。方案涵蓋資產梳理、風險評估、主動防御、監控審計、態勢感知、數據溯源、數據處理等能力,這些數據安全能力單元搭配SOC平臺、應用安全、終端安全、網絡安全等其他安全能力單元,集中到擁有自學習能力的數據安全綜合治理平臺上,實現對復雜威脅的聯動聯防,可以覆蓋數據從采集到銷毀的全部流轉周期。
新興技術打破網絡安全邊界,讓傳統的基于內外網的安全策略失效,這已經成為安全建設工作中最重要的一個變化和趨勢,數據安全也深受影響,安全419報道《數據安全市場黃金年代開啟?三年內該領域誕生多家初創公司》關注到一批新生代的數據安全廠商,通過前沿理念和技術創新為數據安全建設提供了新的思路。
如數安行,與國內首先提出了DataSecOps理念,建立以AI驅動的零信任數據運營安全平臺,對業務及網絡無改造映射數據運營全流程,為企業提供自動化的數據價值發現及數據安全服務,實現隱私數據保護、商業秘密保護和數據運營的有效平衡。平臺幫助用戶管理跟蹤各種類型、各種來源的個人隱私數據及商業數據,促進數據的快速流動及安全協作共享,滿足數據使用的法律合規要求,防范內部數據濫用風險,打造以數據運營為核心的多數據平臺、跨業務流程的數據安全生態體系。
安全建設體系之外,從法律合規角度,企業應該聚焦以下幾點:
正確理解監管思維。自凈網2018專項行動以來,公安機關已全面實行一案雙查制度,指在對網絡違法犯罪案件開展偵查時,同步啟動對涉案網絡服務提供者法定網絡安全義務履行情況的監督檢查。對拒不履行法定網絡安全義務、為網絡違法犯罪活動提供幫助的網絡服務提供者,將依法對其進行嚴厲查處,努力從源頭遏制網絡違法犯罪案件發生。
也就是說,如果企業沒有履行網絡安全和數據安全義務,作為受害者的企業,不僅自身將承擔各項損失,同時將遭受監管部門的處罰。值得注意的是,《網絡安全法》《數據安全法》所有罰則均為“雙罰制”,企業及直接責任人都將遭受處罰。
及時履行報告義務。數據泄露屬于網絡安全事件,上述法律對于此類事件均規定了企業應依法向監管部門報告的法定義務。如果發生重大的數據泄露事件,企業又沒有及時履行報告義務,大概率將遭到監管部門的處罰。需要注意的是,數安法相關罰則較為嚴厲,并且新法施行后各地“首案”陸續出現,給企業帶來永遠抹不去的負面影響,執法力度表明了國家監管的決心。
重視客戶數據泄露。許多企業在發生數據泄露之初,并沒有意識到一些潛在的重大風險。比如說網絡系統內存儲的客戶數據,包括商務合同、財務資料、知識產權數據等可能包含重要商業秘密的內容。此外,如果相關客戶是上市企業,數據泄露很可能涉及信息披露的問題。
法律實踐中,不少發生數據泄露的企業,可能對自有數據發生泄露毫不在乎,但是,一旦涉及客戶數據泄露,相關客戶是不是這樣考量就很難一概而論了。如果由于自身怠于處置,給客戶帶來了巨大經濟損失,巨額索賠的風險恐怕很難避免。
切忌盲目掩蓋事實。不少企業在發生數據泄露后,企圖通過一定的手段掩蓋事實,主要目的是避免監管調查和負面輿論。這樣的思路看似妙招,但現實中卻很難實現。
首先,《網絡安全法》明確規定國家建立網絡安全監測預警和信息通報制度,全球各地無時無刻不在密切監測網絡安全事件,重大數據泄露事件無疑是監測的重點。而且,黑客一旦得手,必然會在網上主動披露相關事件,炫耀、勒索、倒賣都會向受害企業施加巨大的壓力,一旦在網絡上傳播,容易引發輿論炒作,將帶來更嚴重的危害性。基于危害性加劇,監管部門大概率會在裁量范圍內從嚴從重處罰瞞報企業。
總而言之,數據泄露是企業如今面臨的最嚴峻的安全風險之一,企業需要從滿足合規要求和流程、以及保障自身、用戶及合作伙伴的利益方面做出周全的考量和計劃。當我們總是與網友一道從互聯網上看到自家數據滿天飛的新聞,后知后覺地亡羊補牢,其實已經錯過了最佳的對抗機會。在下一次泄露事故爆發之前,請全面提高數據安全意識,制定匹配的安全計劃,積極推進實踐并持續優化。
