《報告》通過統計分析2021年國內所發生的資料洩漏事件,結合全球資料洩漏事件的趨勢,從資料洩漏事件、時間、人員、動機、資料來源以及個人資訊洩漏態勢進行總結分析,多維度呈現2021年國內資料洩漏的態勢全景,並提供2022年資料洩漏的研判預測。

資料洩漏:

2021年資料洩漏事件呈現不斷增長的巨集觀態勢,尤其在2021年下半年,資料洩漏事件發生的頻率較高,這與《資料安全法》《個人資訊保護法》在這期間相繼出臺有一定的關係,資料安全相關法律法規將資料的安全級別做出清晰劃分,前期沒有意識到的情景也納入了資料洩漏範疇。

與2020年相比,2021年資料洩漏所佔比例進一步上升,佔所有資料安全事件型別的80%,其中以獲利為目的的資料洩漏事件佔比最高,同為80%,可見造成資料洩漏,仍然是利益驅動。

從資料的全生命週期階段分析資料洩漏發現,2021年資料洩漏發生在儲存階段的佔比最高,接近40%,其次是資料使用階段,佔比接近30%,都屬於資料洩漏的高風險階段和資料安全防禦的重點階段,應給予重視。

個人資訊洩漏:

通過對各大行業的個人資訊洩漏態勢調查分析發現,個人資訊洩漏最嚴重的是網際網路行業,佔比為27%,網際網路行業資料安全建設實質性投入少,成為個人資訊洩漏的重災區。另外,個人資訊的洩漏,還會通過地下市場流向黑灰產業,對社會造成二次危害。

本報告將洩漏的個人資訊進行危險等級評估,分為低等危害、中等危害、高等危害和嚴重危害,這樣的分類分級有助於組織機構根據評估等級選擇不同級別的響應措施。

分析總結:

風險監測能力不足:目前大多陣列織機構對資料洩漏事件的風險監測能力不足,未能在發生資料洩漏事件時,及時採取應急措施減少損失。

資料雲端化趨勢:業務上雲這樣的新型IT架構讓很多組織機構不能及時瞭解其安全風險,資料存放在傳統的網路安全邊界之外,責任邊界、安全風險對組織機構來說都模糊不清。

雙重勒索常態化:資料洩漏事件同時伴隨勒索攻擊行為,發生勒索攻擊+資料洩漏事件佔比正逐年遞增,攻擊者以公開敏感資料為要挾,比以加密的資料為籌碼更具殺傷力。

資料安全能力需要體系化建設:資料安全風險存在於資料全生命週期中,任何一個環節的漏洞將會導致整個資料安全防護體系功虧一簣,若僅依賴若干孤立產品進行安全防護,已不能應對當前複雜的資料洩漏場景。

降低資料安全風險的建議

加強全流程資料安全風險監控:儘早發現資料安全風險並進行處置,是減少安全事件,降低損失的最佳辦法。對資料安全的風險監控應重點從安全措施稽核、操作行為監測、系統漏洞監測三個維度考慮,對監測資料分類分級,進行風險評估和處置。

加強企業雲上資料防護:沒有實施保護措施而將資料上雲,幾乎等同於直接把資料公開。建議資料上雲的企業對上雲的資料進行分類分級、對業務資料進行梳理,明確資料使用場景,同時提升員工的資料安全保護意識。

資料防洩漏與資料防勒索並重:傳統的資料防勒索方案無法發現資料洩漏行為,更完善的防勒索方案除了防止資料被加密、不可用,還需要能夠識別並防範資料洩漏行為,真正杜絕被勒索。

對資料進行分類分級保護:資料分級分類是建設合理資料安全體系的前提基礎,對資料分類分級能夠正確地評估資料所面臨的風險,制訂差異化的防護策略。

回顧2021年發生的多起資料洩漏事件,不論是從資料洩漏的規模、數量、影響程度,都呈現擴張的趨勢,資料洩漏場景愈加複雜多變,閃捷資訊保安與戰略研究中心建議,組織機構應密切關注資料安全域性勢,不斷排查資料安全隱患,做好整體資料安全規劃,防患於未然。

PDF版本將分享到199IT知識星球,掃描下面二維碼即可!