《網路安全2022：守望高質量》報告之資料安全熱點事件與趨勢解讀

全文共2576字，閱讀大約需5分鐘。

近日，綠盟科技釋出《網路安全2022：守望高質量》報告，報告集合了綠盟科技在區域威脅、漏洞態勢、惡意軟體、資料安全、物聯網安全、工業網際網路安全和5G安全等方向的網路安全觀察。其中，資料安全是國內外討論的熱點話題，2021年有太多資料安全事件值得回顧和盤點，如大規模洩露與國內原始碼洩露、《資料安全法》和《個人資訊保護法》雙雙實施、國內資料安全執法“重拳出擊”、“隱私增強計算”技術發展迅速。本文基於報告資料安全觀察相關章節，從國內外資料洩露、資料安全監管及資料安全技術三個維度進行解讀。

資料洩露事件頻發，資料安全形勢嚴峻

觀察1：2021年全球大規模資料洩露事件頻發，駭客攻擊、網際網路暴露與配置錯誤等成為造成該問題的主要元兇。

據Risk Based Security（RBS）機構的資料洩露報告顯示，2021年度全球公開披露的資料洩露事件有4145起，共導致227.7億條資料洩露。龐大的數字觸目驚心，安全問題不可忽視。從RBS報告披露情況來看，大部分事件與駭客攻擊、病毒、Web暴露和郵件洩露等原因有關。

資料安全洩露事件的原因分析[1]

其中，大規模資料洩露事件頻頻發生，其中包含億級別的個人資訊和敏感資料。究其緣由，駭客攻擊和Web暴露也是主要原因。

大規模資料洩露事件

建議：為了降低資料洩露風險，企業可採取以下多重安全措施：(1) 定期開展安全意識培訓，提高員工對資料安全風險的認知和警覺；(2) 梳理重要資料伺服器與資產，圍繞資料資產開展安全防護措施，如定期進行漏洞掃描與配置檢查、更新軟體補丁、進行身份許可權管控、部署資料庫防火牆等；(3) 對敏感資料進行全生命週期的安全防護，如採取敏感資料發現、分類分級、資料脫敏與效果評估、資料加密、隱私計算等安全措施。

觀察2：根據綠盟威脅情報中心統計，在2021年的原始碼洩露事件中，金融和政府行業洩露形勢最為嚴峻，其中絕大部分為包含賬號密碼、業務程式碼、伺服器金鑰洩露的高風險事件。

根據綠盟威脅情報中心統計，金融行業位居2021年涉及國內政府和企事業單位的原始碼洩露事件首位，佔比44%，其次是政府和能源行業，分別佔比27%和9%。這些洩露程式碼會對組織和機構造成持續性威脅，攻擊者可能利用洩露的原始碼分析發現漏洞，並對系統安全進行滲透，上傳惡意程式獲取訪問許可權，從而竊取關鍵敏感資訊，或進行勒索攻擊，這些威脅隱患都將給組織帶來不可預計的損失。

原始碼洩露事件行業分佈

資料安全立法監管不斷強化

觀察3：新的資料安全與隱私立法成為全球趨勢。

根據聯合國貿易發展組織（UNCTAD）統計，截至2022年2月21日，全球約80%的國家（共194個國家）已完成資料安全和隱私立法，或已提出法律草案，其中包括歐盟成員國、美國、中國、俄羅斯、印度、澳大利亞、加拿大和日本等。隨著數字化轉型的不斷深入，資料安全與隱私問題形勢越來越嚴峻，現代化的資料安全與隱私保護立法成為全球趨勢。

全球資料隱私立法分佈圖[2]

觀察4：2021年歐盟GDPR執法進入“深水區”，網際網路、電信行業成為重災區。

根據GDPR執法跟蹤網站enforcementtracker.com相關統計，截至2021年11月26日，歐盟成員國在2021年共開出362件罰單，而2018年至2020年三年僅有491件。此外，2021年GDPR罰單的總金額高達約10.6億歐元，而過去三年的罰款總額僅為2.4億歐元，相當於以往三年的4.42倍。同時據該網站統計，GDPR單次罰款金額的最高前十名可以看出，世界三家巨頭數字企業亞馬遜、Facebook、谷歌均被高額罰款。從罰款企業的所屬行業來看，網際網路和電信行業已經成為重災區，這與該行業的大型平臺企業儲存了大量個人隱私資料，以及面向使用者的豐富業務有關，同時也側面說明數字化和資訊化程度高的企業面臨著更大的合規壓力，需要進行系統資料安全與隱私合規的建設和投入。

GDPR單次罰款事件金額最高企業及罰款金額

觀察5：2021年國內《資料安全法》和《個人資訊保護法》雙雙實施，配套法規、標準密集釋出，相關法律法規逐步體系化。

我國分別於2021年9月1日和11月1日正式實施《中華人民共和國資料安全法》和《中華人民共和國個人資訊保護法》。作為兩部綜合性法律，《資料安全法》更強調總體國家安全觀，對國家利益、公共利益和個人、組織合法權益方面給予全面保護，《個人資訊保護法》則更加側重於對個人資訊、隱私等涉及公民自身安全方面進行個人資訊與權益保護。此外，2021年國內資料安全法規、政策、標準也密集釋出。

2021年國內資料安全法規事件

觀察6：2021年國內多部門、多領域開展資料安全執法，其中針對APP侵權和個人資訊犯罪的執法是重中之重。

2021年國內資料安全執法事件主要集中於App個人資訊侵權的整治和個人資訊非法售賣。從執法部門應用的執法依據來看，在《資料安全法》和《個人資訊保護法》釋出之前，執法依據是一些分散在各個法律法規的條款。而當綜合性的法規實施後，執法依據更加全面和具體，企業不得不重視資料安全與隱私的合規性要求。

2021年國內資料安全執法事件

資料安全創新技術不斷湧現

觀察7：資料隱私合規催生了豐富的資料安全需求與場景，同時給以聯邦學習、安全多方計算為代表的新興技術帶來了巨大的發展機遇。

Gartner在《2021年隱私成熟度曲線》報告中預測：2023年之前全球80%以上的企業將面臨至少一項以隱私為重點的資料安全保護規定；到2024年以資料隱私驅動的合規投入將突破150億美元。由此可見，資料安全合規未來擁有廣闊的市場需求與應用場景。

傳統網路安全技術與手段如防火牆、入侵檢測、身份認證等難以滿足現有資料安全的需求，近年來資料安全技術不斷推陳出新，新技術、新方法如雨後春筍一般不斷湧現。據Gartner再次預測，到2025年60%的大型企業組織將在分析、商業智慧或雲端計算中使用一種或多種隱私增強計算技術。其中，隱私增強計算（Privacy-enhancing Computing），在國內也通常稱為隱私計算技術，是具有隱私保護能力的技術體系，包括一系列密碼學和隱私保護技術，如安全多方計算 （Secure Multi-party Computation, SMPC）、聯邦學習（Federated Machine Learning, FML）、機密計算（Confidential Computing, CC）、同態加密（Homomorphic Encryption, HE）、差分隱私（Differential Privacy, DP）和零知識證明（Zero-Knowledge Proofs, ZKP）等。在Gartner2021的隱私成熟度曲線中，這些技術大部分處於創新觸發期，說明這些新興技術未來仍有較大的發展與應用空間。

Gartner 2021年隱私成熟度曲線[3]

報告下載

點選“閱讀原文”或在綠盟科技公眾號後臺回覆“網路安全2022”可獲取下載連結，在綠盟科技官方公眾號中點選【綠盟精選】-【綠盟書櫥】可直接閱讀。

    ·    參考文獻    ·    

[1]  RiskBasedSecurity, 2021 Year End Report: Data Breach QuickView.

[2]  https://unctad.org/page/data-protection-and-privacy-legislation-worldwide

[3]  Gartner, Hype Cycle for Privacy, 2021.