《报告》通过统计分析2021年国内所发生的数据泄漏事件,结合全球数据泄漏事件的趋势,从数据泄漏事件、时间、人员、动机、数据源以及个人信息泄漏态势进行总结分析,多维度呈现2021年国内数据泄漏的态势全景,并提供2022年数据泄漏的研判预测。
数据泄漏:
2021年数据泄漏事件呈现不断增长的宏观态势,尤其在2021年下半年,数据泄漏事件发生的频率较高,这与《数据安全法》《个人信息保护法》在这期间相继出台有一定的关系,数据安全相关法律法规将数据的安全级别做出清晰划分,前期没有意识到的情景也纳入了数据泄漏范畴。
与2020年相比,2021年数据泄漏所占比例进一步上升,占所有数据安全事件类型的80%,其中以获利为目的的数据泄漏事件占比最高,同为80%,可见造成数据泄漏,仍然是利益驱动。
从数据的全生命周期阶段分析数据泄漏发现,2021年数据泄漏发生在存储阶段的占比最高,接近40%,其次是数据使用阶段,占比接近30%,都属于数据泄漏的高风险阶段和数据安全防御的重点阶段,应给予重视。
个人信息泄漏:
通过对各大行业的个人信息泄漏态势调查分析发现,个人信息泄漏最严重的是互联网行业,占比为27%,互联网行业数据安全建设实质性投入少,成为个人信息泄漏的重灾区。另外,个人信息的泄漏,还会通过地下市场流向黑灰产业,对社会造成二次危害。
本报告将泄漏的个人信息进行危险等级评估,分为低等危害、中等危害、高等危害和严重危害,这样的分类分级有助于组织机构根据评估等级选择不同级别的响应措施。
分析总结:
风险监测能力不足:目前大多数组织机构对数据泄漏事件的风险监测能力不足,未能在发生数据泄漏事件时,及时采取应急措施减少损失。
数据云端化趋势:业务上云这样的新型IT架构让很多组织机构不能及时了解其安全风险,数据存放在传统的网络安全边界之外,责任边界、安全风险对组织机构来说都模糊不清。
双重勒索常态化:数据泄漏事件同时伴随勒索攻击行为,发生勒索攻击+数据泄漏事件占比正逐年递增,攻击者以公开敏感数据为要挟,比以加密的数据为筹码更具杀伤力。
数据安全能力需要体系化建设:数据安全风险存在于数据全生命周期中,任何一个环节的漏洞将会导致整个数据安全防护体系功亏一篑,若仅依赖若干孤立产品进行安全防护,已不能应对当前复杂的数据泄漏场景。
降低数据安全风险的建议
加强全流程数据安全风险监控:尽早发现数据安全风险并进行处置,是减少安全事件,降低损失的最佳办法。对数据安全的风险监控应重点从安全措施稽核、操作行为监测、系统漏洞监测三个维度考虑,对监测数据分类分级,进行风险评估和处置。
加强企业云上数据防护:没有实施保护措施而将数据上云,几乎等同于直接把数据公开。建议数据上云的企业对上云的数据进行分类分级、对业务数据进行梳理,明确数据使用场景,同时提升员工的数据安全保护意识。
数据防泄漏与数据防勒索并重:传统的数据防勒索方案无法发现数据泄漏行为,更完善的防勒索方案除了防止数据被加密、不可用,还需要能够识别并防范数据泄漏行为,真正杜绝被勒索。
对数据进行分类分级保护:数据分级分类是建设合理数据安全体系的前提基础,对数据分类分级能够正确地评估数据所面临的风险,制订差异化的防护策略。
回顾2021年发生的多起数据泄漏事件,不论是从数据泄漏的规模、数量、影响程度,都呈现扩张的趋势,数据泄漏场景愈加复杂多变,闪捷信息安全与战略研究中心建议,组织机构应密切关注数据安全局势,不断排查数据安全隐患,做好整体数据安全规划,防患于未然。