疑似45億條個人資訊洩露的背後:危機之下的資料安全建設之痛
最近,一則疑似45億條國內個人資訊遭到洩露的新聞,掀起一片軒然。
2月12日晚,據稱在即時通訊軟體Telegram上某機器人洩露國內45億條快遞資訊,資料包大小達435GB!
使用者僅需輸入手機號,即可透過該機器人查詢相關資料。國內網友查詢得知,這些資料涉及姓名、手機號碼、收貨地址,洩露來源直指國內多家知名電商平臺/快遞物流行業。
而這一事件還在進步發酵,相關訊息稱,2月15日,快遞股今日出現閃崩,某上市快遞公司疑似受到該事件影響,股價暴跌。
觸目驚心的資料洩露
數字化時代的最大隱憂之一
近年來,資料洩露事件一路狂飆,資料被攻擊、竊取、劫持等事件一波接一波,比比皆是,我們常常可以看到這樣的新聞,某某物流員工洩露使用者資訊獲取利益被查、某某大型製造商被勒索超千萬美金、某某集團資料在暗網售賣牟利......
最近,國際數字化運營服務提供商Proxyrack基於2022年度的觀測資料,對全球主要國家和地區的資料洩露情況進行了統計和分析。在主要國家中:
-
俄羅斯在2022年的資料洩露總數最高,洩露事件數量為96724450起。
-
美國的資料洩露事件數量緊隨其後,為63716758起。
-
而 我國在2022年共被Proxyrack統計到51309972起資料洩露事件,排名第三。
儘管該報告對該資料的準確性仍需要進一步確認,但該資料在一定程度上顯示出,當前我國資料安全的發展態勢仍然嚴峻。
2020年,我國在釋出的《全球資料安全倡議》中提出:“作為數字技術的關鍵要素,全球資料爆發增長,海量集聚,成為實現創新發展、重塑人們生活的重要力量,事關各國安全與經濟社會發展。”
目前,我國正處於數字基礎設施與傳統產業加速融合發展的新階段,線上化、數字化、智慧化的發展,萬物互聯時代的到來,資料體量呈現爆發增長態勢,無論是個人隱私資料,還是企業資料,都承載著巨大的價值。 然而與之相伴的一系列資料安全問題正深刻影響著每個個人、組織、乃至國家數字經濟長遠健康發展,帶來巨大的經濟損失。 《2022年資料洩露成本報告》 ,資料洩露的平均成本創下435萬美元的歷史新高,比2021年增長了2.6%,自2020年以來增長了12.7%。
美創科技結合近年來發生的造成實質性安全損失的重大安全事件發現,導致資料洩漏的主因往往有以下原因造成:
從外部來看: 在顯著黑產利益驅動下,以勒索病毒為主的外部攻擊正在向大規模資料竊取轉變,新時期外部攻擊呈現:專業犯罪集團介入、定向化程度更高、勒索金額更高、發生頻次更高、攻防級別更高、影響更惡劣等特點。
(勒索軟體攻擊進入多樣化、精準化階段)
數 據洩露事件持續上升,洩露成本越來越高,隱性的損失不可估算, 應對資料安全威脅濤濤之勢,國家及監管部門已高度重視,2021年,《資料安全法》、《個人資訊保護法》相繼釋出實施,一系列資料安全政策法規密集頒佈,給資料安全如何建設 提供了充分的法律依據和頂層思路。
但從實際建設效果來看,絕大多數企業在 資料安全保護工作上依然存在不少的困擾和問題:
資料安全建設依然缺少行業層面的建設指南、建設標準。 國家雖然頒佈了一系列的法律法規,包括《網路安全法》、《資料安全法》,但在很多行業領域缺少針對性的法律法規和建設指南,且由於缺少統一的標準,各家資料安全廠商對資料安全的理解和側重也有所不同,資料安全產品和能力參差不齊,產品之間存在壁壘,不利於客戶選擇。
資料安全建設缺少組織架構,專業人才以及資金支援。 各單位在進行資料安全建設時,普遍存在沒有專業的資料安全團隊負責建設和運營的尷尬處境,並且單位內部人員缺乏資料安全意識,導致從管理部門到個人,對資料保護缺乏主動性、積極性,存在“重用輕管”的問題。
不清楚資料在哪裡,資料安全風險有哪些,資料安全建設無從下手。 各單位業務多、涉及系統多、流程複雜,資料各類多、格式多、數量大,有些單位與第三方對接需求多。經年累月下來,很難理清有哪些資料,資料都存在哪裡,為哪些人員開放了哪些資料操作許可權,存在哪些資料安全風險,資料安全建設無從下手。
資料安全建設思路尚停留在傳統網路安全層面,缺乏合理規劃。 在啟動資料安全建設前,很多企業認為做好網路安全就能擁有資料安全,缺乏合理有效的規劃,常常“頭痛醫頭,腳痛醫腳”,導致後期升級難、擴充套件難、重複建設甚至推倒重建,造成客戶成本的提升,失去對資料安全建設的信心。
資料安全沒有“銀彈”
需構建體系化安全防線
在解決資料安全問題的過程中,不可能有一勞永逸,也不能存有僥倖心理,要知道,再嚴苛法律法規也鎮不住所有的利益驅動者。對於每一家企業單位而言,都需要著眼當下、務實建設資料安全體系。
以制度為準則,建立完善資料安全管理體系
管理制度與機制的建立與最佳化是資料安全工作的基礎。企業在開展資料安全建設中,應
以安全合規為底線,基於國家、行業資料安全相關法律法規與標準要求,構建涵蓋組織、制度、人員在內的完備的資料安全制度和管理體系
,對資料收集、儲存、處理、應用等關鍵環節的操作規範、管理部門職責分工、應急管理與安全檢查機制、責任追究等進行全方位規定。
資料安全建設過程中,往往存在不同部門間的協作配合度弱,溝通阻力大等問題,對此,企業應組建貼合實際的安全組織架構, 形成有公司領導班子參與,並覆蓋各部門的安全組織架構 ,推動資料安全保障工作持續、穩定、有序開展。
以風險現狀為依據,進行安全基礎能力建設
開展資料安全資產梳理和風險評估, 透過對 企業組織實際情況進行現狀分析, 包括資料資產梳理、使用許可權情況、內外部資料安全風險、合規差距梳理等, 根據資料安全風險狀況進行整體安全規劃,進而針對資料不同的安全級別以及不同的應用場景採取不同的防護。
資料安全技術建設可遵 “整體施策,分步實施;填平補齊、完善提高;系統可靠,安全優先” 的原則,分階段開展,包括資料內控合規、資料全域管控、風險全域性可視:
資料內控合規階段: 透過敏感資料發現、資料動/靜態脫敏、資料庫日誌審計、許可權管控和資料資產保護、身份鑑別(人、終端、應用)、高危操作防護、訪問控制、特權管理等,加強內部安全管控;
資料全域管控階段: 更加側重資料安全全面可管理,基於已有的網路安全和內控安全保障,防禦外部和資料流動風險,主要包括入侵防護、漏洞防禦、訪問控制、誤操作恢復、資料加密、計算環境安全、溯源管理、資料加密等,透過資料安全管理平臺整體實現資料全域管理;
風險全域性可視階段: 以日誌資訊、風險操作、告警、資料庫執行狀態等大資料為基礎,從全域性視角提升對資料安全威脅的發現識別、理解、分析和響應能力的防護方式。
以持續化運營,實現安全能力持續最佳化
資料安全需要持續構建、不斷改進、提升防護效果,資料安全運營是必不可少的一環,需要
從預測、防禦、檢測、響應四個維度,建立可持續最佳化的資料安全監控和安全運營體系,對現有的資料安全能力進行審視,發現存在不足進行響應處置,
實現資料安全狀態持續保障和提升。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69973247/viewspace-2935545/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 人民日報四問華住個人資訊疑似洩露
- 5億條開房資訊被拖庫洩露之後,網際網路企業該如何建設資料安全體系?
- 資料洩露的12個可能後果
- 一條個人資訊8毛錢 警方通報300萬條資訊洩露大案
- 防範重要資料和公民資訊洩露之資料庫安全資料庫
- 揭秘“資料咖啡”瑞幸背後的大資料危機大資料
- A站資料洩露的背後 你必須知道的那些點!
- 資訊洩露之web原始碼洩露Web原始碼
- 資訊洩露的後果很可怕
- 《資料安全法》之下,你的資料安全建設跟上了嗎?
- 幾乎無人倖免!疑似45億國內快遞資訊洩露
- 個人資訊的洩露到底嚴重到了什麼地步?
- 資訊洩露事件頻發,拷問AI時代的資料安全事件AI
- 警惕!移動支付最常見安全問題是個人資訊洩露
- 個人資訊洩露變"透明人" 檢察機關出手治理
- 男子非法獲取手機號惡意套現 洩露65萬餘條個人資訊
- 美國資料公司洩露4800萬網民資料:包含詳細個人資訊
- 涉密資訊的洩露方式
- 遊戲巨頭動視暴雪疑似員工敏感資訊及遊戲資料洩露遊戲
- 美國23.7萬政府員工的個人資訊遭到洩露
- ElasticSearch伺服器洩露 5700萬個人資料外洩Elasticsearch伺服器
- 安全研究人員發現中國網貸App漏洞洩露大量個人資訊APP
- 導致資料洩露的 6 個疏忽
- 南非再曝資料庫洩露事件:致百萬人資訊大白資料庫事件
- 任天堂疑似開發工具、原始碼等機密資料洩露!16歲駭客為幕後黑手原始碼
- 微軟資料洩露暴露全球111個國家超6.5萬實體的客戶個人資訊微軟
- 網站安全之使用者資訊洩露漏洞案例分享網站
- 黑客入侵重要政府機構!阿根廷政府公民資料庫疑似全部洩露黑客資料庫
- 網際網路時代,如何防止個人資訊洩露
- 每日安全資訊:Linksys 路由器可能洩露與之相連的任何裝置的大量資訊路由器
- 10億條資料、7100萬個郵箱,近些年最大的資料洩露事件之一事件
- 資料洩露的隱性成本
- 資訊保安之“小心你背後的眼睛”
- 2019年國內外資料洩露事件盤點——個人資訊保護刻不容緩事件
- 個人資訊頻繁被洩露 販賣、非法蒐集如何破解
- 避免資源洩露的一個方法
- 資料洩漏!我們的資訊還安全麼?
- 五種最讓人“難以預料”的資料洩露方式!