最近,一則疑似45億條國內個人信息遭到泄露的新聞,掀起一片軒然。
2月12日晚,據稱在即時通訊軟件Telegram上某機器人泄露國內45億條快遞信息,數據包大小達435GB!
用戶僅需輸入手機號,即可通過該機器人查詢相關數據。國內網友查詢得知,這些數據涉及姓名、手機號碼、收貨地址,泄露來源直指國內多家知名電商平臺/快遞物流行業。
而這一事件還在進步發酵,相關消息稱,2月15日,快遞股今日出現閃崩,某上市快遞公司疑似受到該事件影響,股價暴跌。
近年來,數據泄露事件一路狂飆,數據被攻擊、竊取、劫持等事件一波接一波,比比皆是,我們常常可以看到這樣的新聞,某某物流員工泄露用戶信息獲取利益被查、某某大型制造商被勒索超千萬美金、某某集團數據在暗網售賣牟利......
最近,國際數字化運營服務提供商Proxyrack基于2022年度的觀測數據,對全球主要國家和地區的數據泄露情況進行了統計和分析。在主要國家中:
俄羅斯在2022年的數據泄露總數最高,泄露事件數量為96724450起。
美國的數據泄露事件數量緊隨其后,為63716758起。
而我國在2022年共被Proxyrack統計到51309972起數據泄露事件,排名第三。
盡管該報告對該數據的準確性仍需要進一步確認,但該數據在一定程度上顯示出,當前我國數據安全的發展態勢仍然嚴峻。
2020年,我國在發布的《全球數據安全倡議》中提出:“作為數字技術的關鍵要素,全球數據爆發增長,海量集聚,成為實現創新發展、重塑人們生活的重要力量,事關各國安全與經濟社會發展。”
目前,我國正處于數字基礎設施與傳統產業加速融合發展的新階段,線上化、數字化、智能化的發展,萬物互聯時代的到來,數據體量呈現爆發增長態勢,無論是個人隱私數據,還是企業數據,都承載著巨大的價值。然而與之相伴的一系列數據安全問題正深刻影響著每個個人、組織、乃至國家數字經濟長遠健康發展,帶來巨大的經濟損失。《2022年數據泄露成本報告》,數據泄露的平均成本創下435萬美元的歷史新高,比2021年增長了2.6%,自2020年以來增長了12.7%。
美創科技結合近年來發生的造成實質性安全損失的重大安全事件發現,導致數據泄漏的主因往往有以下原因造成:
從外部來看:在顯著黑產利益驅動下,以勒索病毒為主的外部攻擊正在向大規模數據竊取轉變,新時期外部攻擊呈現:專業犯罪集團介入、定向化程度更高、勒索金額更高、發生頻次更高、攻防級別更高、影響更惡劣等特點。
(勒索軟件攻擊進入多樣化、精準化階段)
從內部來看:企業數據安全保護工作開展得并不理想,甚至不少行業數據安全在基礎防護上尚存在不足,導致數據泄露。比如:面對數字化轉型以及業務模式的創新,企業沒有進行相匹配的數據安全管控計劃以及系統化的方法;數據的安全訪問控制不力導致機密數據的丟失;各行業開展大數據建設,數據匯集至數據中心,并在“云”中存儲,數據安全保護難度提升;產品的敏捷開發以及微服務化,使得API接口風險暴露面放大;數字化應用產生的個人隱私保護以及流動風險;大多數企業數據安全建設僅以滿足合規和監管為主,缺少常態化運營與相應機制,導致數據泄漏后知后覺……
數據泄露事件持續上升,泄露成本越來越高,隱性的損失不可估算,應對數據安全威脅濤濤之勢,國家及監管部門已高度重視,2021年,《數據安全法》、《個人信息保護法》相繼發布實施,一系列數據安全政策法規密集出臺,給數據安全如何建設提供了充分的法律依據和頂層思路。
但從實際建設效果來看,絕大多數企業在數據安全保護工作上依然存在不少的困擾和問題:
數據安全建設依然缺少行業層面的建設指南、建設標準。國家雖然出臺了一系列的法律法規,包括《網絡安全法》、《數據安全法》,但在很多行業領域缺少針對性的法律法規和建設指南,且由于缺少統一的標準,各家數據安全廠商對數據安全的理解和側重也有所不同,數據安全產品和能力參差不齊,產品之間存在壁壘,不利于客戶選擇。
數據安全建設缺少組織架構,專業人才以及資金支持。各單位在進行數據安全建設時,普遍存在沒有專業的數據安全團隊負責建設和運營的尷尬處境,并且單位內部人員缺乏數據安全意識,導致從管理部門到個人,對數據保護缺乏主動性、積極性,存在“重用輕管”的問題。
不清楚數據在哪里,數據安全風險有哪些,數據安全建設無從下手。各單位業務多、涉及系統多、流程復雜,數據各類多、格式多、數量大,有些單位與第三方對接需求多。經年累月下來,很難理清有哪些數據,數據都存在哪里,為哪些人員開放了哪些數據操作權限,存在哪些數據安全風險,數據安全建設無從下手。
數據安全建設思路尚停留在傳統網絡安全層面,缺乏合理規劃。在啟動數據安全建設前,很多企業認為做好網絡安全就能擁有數據安全,缺乏合理有效的規劃,常常“頭痛醫頭,腳痛醫腳”,導致后期升級難、擴展難、重復建設甚至推倒重建,造成客戶成本的提升,失去對數據安全建設的信心。
在解決數據安全問題的過程中,不可能有一勞永逸,也不能存有僥幸心理,要知道,再嚴苛法律法規也鎮不住所有的利益驅動者。對于每一家企業單位而言,都需要著眼當下、務實建設數據安全體系。
管理制度與機制的建立與優化是數據安全工作的基礎。企業在開展數據安全建設中,應以安全合規為底線,基于國家、行業數據安全相關法律法規與標準要求,構建涵蓋組織、制度、人員在內的完備的數據安全制度和管理體系,對數據收集、存儲、處理、應用等關鍵環節的操作規范、管理部門職責分工、應急管理與安全檢查機制、責任追究等進行全方位規定。
數據安全建設過程中,往往存在不同部門間的協作配合度弱,溝通阻力大等問題,對此,企業應組建貼合實際的安全組織架構,形成有公司領導班子參與,并覆蓋各部門的安全組織架構,推動數據安全保障工作持續、穩定、有序開展。
開展數據安全資產梳理和風險評估,通過對企業組織實際情況進行現狀分析,包括數據資產梳理、使用權限情況、內外部數據安全風險、合規差距梳理等,根據數據安全風險狀況進行整體安全規劃,進而針對數據不同的安全級別以及不同的應用場景采取不同的防護。
數據安全技術建設可遵“整體施策,分步實施;填平補齊、完善提高;系統可靠,安全優先”的原則,分階段開展,包括數據內控合規、數據全域管控、風險全局可視:
數據內控合規階段:通過敏感數據發現、數據動/靜態脫敏、數據庫日志審計、權限管控和數據資產保護、身份鑒別(人、終端、應用)、高危操作防護、訪問控制、特權管理等,加強內部安全管控;
數據全域管控階段:更加側重數據安全全面可管理,基于已有的網絡安全和內控安全保障,防御外部和數據流動風險,主要包括入侵防護、漏洞防御、訪問控制、誤操作恢復、數據加密、計算環境安全、溯源管理、數據加密等,通過數據安全管理平臺整體實現數據全域管理;
風險全局可視階段:以日志信息、風險操作、告警、數據庫運行狀態等大數據為基礎,從全局視角提升對數據安全威脅的發現識別、理解、分析和響應能力的防護方式。
數據安全需要持續構建、不斷改進、提升防護效果,數據安全運營是必不可少的一環,需要從預測、防御、檢測、響應四個維度,建立可持續優化的數據安全監控和安全運營體系,對現有的數據安全能力進行審視,發現存在不足進行響應處置,實現數據安全狀態持續保障和提升。
浙公網安備 33010502006954號 
