《2021年度數據泄漏態勢分析報告》

近日，閃捷信息安全與戰略研究中心重磅發布《2021年度數據泄漏態勢分析報告》（以下簡稱“《報告》”），《報告》通過統計分析2021年國內所發生的數據泄漏事件，結合全球數據泄漏事件的趨勢，從數據泄漏事件、時間、人員、動機、數據源以及個人信息泄漏態勢進行總結分析，多維度呈現2021年國內數據泄漏的態勢全景，并提供2022年數據泄漏的研判預測。

2021數據泄漏態勢分析概況

【研究背景】

2021 年是十四五規劃的開局之年，依據《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》，“ 十四五 ”期間會注重數字經濟發展，以數據為關鍵要素，以數字技術與實體經濟深度融合為主線，加強數字基礎設施建設，完善數字經濟治理體系，協同推進數字產業化和產業數字化，賦能傳統產業轉型升級，培育新產業 新業態新模式，不斷做強做優做大我國數字經濟，為構建數字中國提供有力支撐。

數字經濟的健康發展，離不開數據安全的保駕護航。2021年，《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》和《關鍵信息基礎設施安全保護條例》相繼在下半年施行，數據安全行業邁入了有法可依的時代。

數據安全至關重要，通過對數據泄漏事件進行態勢分析，一方面可以了解數據泄漏事件的表現和特點，使社會各界意識到數據安全的危害;另一方面也可以幫助組織機構洞察數據安全的規律，預判數據安全威脅的發展趨勢，對機構的決策和行業發展有一定參考意義。

【數據泄漏】

2021年數據泄漏事件呈現不斷增長的宏觀態勢，尤其在2021年下半年，數據泄漏事件發生的頻率較高，這與《數據安全法》《個人信息保護法》在這期間相繼出臺有一定的關系，數據安全相關法律法規將數據的安全級別做出清晰劃分，前期沒有意識到的情景也納入了數據泄漏范疇。

• 要點1：與2020年相比，2021年數據泄漏所占比例進一步上升，占所有數據安全事件類型的80%，其中以獲利為目的的數據泄漏事件占比最高，同為80%，可見造成數據泄漏，仍然是利益驅動。

• 要點2：從數據的全生命周期階段分析數據泄漏發現，2021年數據泄漏發生在存儲階段的占比最高，接近40%，其次是數據使用階段，占比接近30%，都屬于數據泄漏的高風險階段和數據安全防御的重點階段，應給予重視。

• 要點3：2021年的數據統計表明，導致數據泄漏的原因中，內部人員和黑客攻擊所占比例大致相當，內部人員占比為42%，黑客攻擊的占比為39%，16%是對數據的越權訪問，10%是數據處置不當。

• 要點4：統計數據中，仍有近半數的數據泄漏事件無法確定數據源類型。在已知數據源的數據泄漏事件中，Elasticsearch占比最高，達到25%，S3 bucket 和 SQL數據庫的占比分別為9% 和6%，其余為Azure、Git 和 BlueKai 這一類云端存儲。

• 要點5：在所有數據泄漏事件中，泄漏數據包含個人信息的占比超過 60%，居首位。個人信息可細分為個人自然信息、個人行為信息、個人身份鑒別信息和個人關系信息等子類。其中，個人自然信息包括基本信息、財產信息、健康信息等個人本身具有的屬性，在數據泄漏事件中占比為 51%。

• 要點6：每一個數據泄漏事件背后，都是有實際操作人員的。統計發現，內部人員導致的數據泄漏事件占比接近 60%。包括主動的泄密和由于失誤造成的泄密。在主動的泄密類型中，內部人員受利益驅動泄漏數據，或者被外部人員欺騙泄漏，或者對企業有不滿情緒而泄漏。失誤造成的泄密類型中，由于安全意識或者流程的問題，造成安全策略配置錯誤，例如訪問權限控制缺失、安全管控粒度粗放、賬號憑據丟失等。

• 要點7：個人信息泄露行業占比

【個人信息泄漏】

通過對各大行業的個人信息泄漏態勢調查分析發現，個人信息泄漏最嚴重的是互聯網行業，占比為27%，互聯網行業數據安全建設實質性投入少，成為個人信息泄漏的重災區。另外，個人信息的泄漏，還會通過地下市場流向黑灰產業，對社會造成二次危害。

本報告將泄漏的個人信息進行危險等級評估，分為低等危害、中等危害、高等危害和嚴重危害，這樣的分類分級有助于組織機構根據評估等級選擇不同級別的響應措施。

【分析總結】

風險監測能力不足：目前大多數組織機構對數據泄漏事件的風險監測能力不足，未能在發生數據泄漏事件時，及時采取應急措施減少損失。

數據云端化趨勢：業務上云這樣的新型IT架構讓很多組織機構不能及時了解其安全風險，數據存放在傳統的網絡安全邊界之外，責任邊界、安全風險對組織機構來說都模糊不清。

雙重勒索常態化：數據泄漏事件同時伴隨勒索攻擊行為，發生勒索攻擊+數據泄漏事件占比正逐年遞增，攻擊者以公開敏感數據為要挾，比以加密的數據為籌碼更具殺傷力。

數據安全能力需要體系化建設：數據安全風險存在于數據全生命周期中，任何一個環節的漏洞將會導致整個數據安全防護體系功虧一簣，若僅依賴若干孤立產品進行安全防護，已不能應對當前復雜的數據泄漏場景。

【降低數據安全風險的建議】：

加強全流程數據安全風險監控：盡早發現數據安全風險并進行處置，是減少安全事件，降低損失的最佳辦法。對數據安全的風險監控應重點從安全措施稽核、操作行為監測、系統漏洞監測三個維度考慮，對監測數據分類分級，進行風險評估和處置。 

加強企業云上數據防護：沒有實施保護措施而將數據上云，幾乎等同于直接把數據公開。建議數據上云的企業對上云的數據進行分類分級、對業務數據進行梳理，明確數據使用場景，同時提升員工的數據安全保護意識。

數據防泄漏與數據防勒索并重：傳統的數據防勒索方案無法發現數據泄漏行為，更完善的防勒索方案除了防止數據被加密、不可用，還需要能夠識別并防范數據泄漏行為，真正杜絕被勒索。

對數據進行分類分級保護：數據分級分類是建設合理數據安全體系的前提基礎，對數據分類分級能夠正確地評估數據所面臨的風險，制訂差異化的防護策略。