最近，一則疑似45億條國內個人資訊遭到洩露的新聞，掀起一片軒然。

2月12日晚，據稱在即時通訊軟體Telegram上某機器人洩露國內45億條快遞資訊，資料包大小達435GB！

使用者僅需輸入手機號，即可透過該機器人查詢相關資料。國內網友查詢得知，這些資料涉及姓名、手機號碼、收貨地址，洩露來源直指國內多家知名電商平臺/快遞物流行業。

而這一事件還在進步發酵，相關訊息稱，2月15日，快遞股今日出現閃崩，某上市快遞公司疑似受到該事件影響，股價暴跌。

觸目驚心的資料洩露

數字化時代的最大隱憂之一

近年來，資料洩露事件一路狂飆，資料被攻擊、竊取、劫持等事件一波接一波，比比皆是，我們常常可以看到這樣的新聞，某某物流員工洩露使用者資訊獲取利益被查、某某大型製造商被勒索超千萬美金、某某集團資料在暗網售賣牟利......

最近，國際數字化運營服務提供商Proxyrack基於2022年度的觀測資料，對全球主要國家和地區的資料洩露情況進行了統計和分析。在主要國家中：

俄羅斯在2022年的資料洩露總數最高，洩露事件數量為96724450起。
美國的資料洩露事件數量緊隨其後，為63716758起。
而 我國在2022年共被Proxyrack統計到51309972起資料洩露事件，排名第三。

儘管該報告對該資料的準確性仍需要進一步確認，但該資料在一定程度上顯示出，當前我國資料安全的發展態勢仍然嚴峻。

2020年，我國在釋出的《全球資料安全倡議》中提出：“作為數字技術的關鍵要素，全球資料爆發增長，海量集聚，成為實現創新發展、重塑人們生活的重要力量，事關各國安全與經濟社會發展。”

目前，我國正處於數字基礎設施與傳統產業加速融合發展的新階段，線上化、數字化、智慧化的發展，萬物互聯時代的到來，資料體量呈現爆發增長態勢，無論是個人隱私資料，還是企業資料，都承載著巨大的價值。 然而與之相伴的一系列資料安全問題正深刻影響著每個個人、組織、乃至國家數字經濟長遠健康發展，帶來巨大的經濟損失。 《2022年資料洩露成本報告》，資料洩露的平均成本創下435萬美元的歷史新高，比2021年增長了2.6%，自2020年以來增長了12.7%。

美創科技結合近年來發生的造成實質性安全損失的重大安全事件發現，導致資料洩漏的主因往往有以下原因造成：

從外部來看： 在顯著黑產利益驅動下，以勒索病毒為主的外部攻擊正在向大規模資料竊取轉變，新時期外部攻擊呈現：專業犯罪集團介入、定向化程度更高、勒索金額更高、發生頻次更高、攻防級別更高、影響更惡劣等特點。

（勒索軟體攻擊進入多樣化、精準化階段）

從內部來看： 企業資料安全保護工作開展得並不理想，甚至不少行業資料安全在基礎防護上尚存在不足，導致資料洩露。比如：面對數字化轉型以及業務模式的創新，企業沒有進行相匹配的資料安全管控計劃以及系統化的方法；資料的安全訪問控制不力導致機密資料的丟失；各行業開展大資料建設，資料彙集至資料中心，並在“雲”中儲存，資料安全保護難度提升；產品的敏捷開發以及微服務化，使得API介面風險暴露面放大；數字化應用產生的個人隱私保護以及流動風險；大多數企業資料安全建設僅以滿足合規和監管為主，缺少常態化運營與相應機制，導致資料洩漏後知後覺……

來勢洶洶的威脅之下

企業資料安全尚存建設之痛

數據洩露事件持續上升，洩露成本越來越高，隱性的損失不可估算，應對資料安全威脅濤濤之勢，國家及監管部門已高度重視，2021年，《資料安全法》、《個人資訊保護法》相繼釋出實施，一系列資料安全政策法規密集頒佈，給資料安全如何建設提供了充分的法律依據和頂層思路。

但從實際建設效果來看，絕大多數企業在資料安全保護工作上依然存在不少的困擾和問題：

資料安全建設依然缺少行業層面的建設指南、建設標準。 國家雖然頒佈了一系列的法律法規，包括《網路安全法》、《資料安全法》，但在很多行業領域缺少針對性的法律法規和建設指南，且由於缺少統一的標準，各家資料安全廠商對資料安全的理解和側重也有所不同，資料安全產品和能力參差不齊，產品之間存在壁壘，不利於客戶選擇。

資料安全建設缺少組織架構，專業人才以及資金支援。 各單位在進行資料安全建設時，普遍存在沒有專業的資料安全團隊負責建設和運營的尷尬處境，並且單位內部人員缺乏資料安全意識，導致從管理部門到個人，對資料保護缺乏主動性、積極性，存在“重用輕管”的問題。

不清楚資料在哪裡，資料安全風險有哪些，資料安全建設無從下手。 各單位業務多、涉及系統多、流程複雜，資料各類多、格式多、數量大，有些單位與第三方對接需求多。經年累月下來，很難理清有哪些資料，資料都存在哪裡，為哪些人員開放了哪些資料操作許可權，存在哪些資料安全風險，資料安全建設無從下手。

資料安全建設思路尚停留在傳統網路安全層面，缺乏合理規劃。 在啟動資料安全建設前，很多企業認為做好網路安全就能擁有資料安全，缺乏合理有效的規劃，常常“頭痛醫頭，腳痛醫腳”，導致後期升級難、擴充套件難、重複建設甚至推倒重建，造成客戶成本的提升，失去對資料安全建設的信心。

資料安全沒有“銀彈”

需構建體系化安全防線

在解決資料安全問題的過程中，不可能有一勞永逸，也不能存有僥倖心理，要知道，再嚴苛法律法規也鎮不住所有的利益驅動者。對於每一家企業單位而言，都需要著眼當下、務實建設資料安全體系。

以制度為準則，建立完善資料安全管理體系

管理制度與機制的建立與最佳化是資料安全工作的基礎。企業在開展資料安全建設中，應 以安全合規為底線，基於國家、行業資料安全相關法律法規與標準要求，構建涵蓋組織、制度、人員在內的完備的資料安全制度和管理體系 ，對資料收集、儲存、處理、應用等關鍵環節的操作規範、管理部門職責分工、應急管理與安全檢查機制、責任追究等進行全方位規定。

資料安全建設過程中，往往存在不同部門間的協作配合度弱，溝通阻力大等問題，對此，企業應組建貼合實際的安全組織架構， 形成有公司領導班子參與，並覆蓋各部門的安全組織架構 ，推動資料安全保障工作持續、穩定、有序開展。

以風險現狀為依據，進行安全基礎能力建設

開展資料安全資產梳理和風險評估， 透過對企業組織實際情況進行現狀分析， 包括資料資產梳理、使用許可權情況、內外部資料安全風險、合規差距梳理等， 根據資料安全風險狀況進行整體安全規劃，進而針對資料不同的安全級別以及不同的應用場景採取不同的防護。

資料安全技術建設可遵 “整體施策，分步實施；填平補齊、完善提高；系統可靠，安全優先” 的原則，分階段開展，包括資料內控合規、資料全域管控、風險全域性可視：

資料內控合規階段： 透過敏感資料發現、資料動/靜態脫敏、資料庫日誌審計、許可權管控和資料資產保護、身份鑑別（人、終端、應用）、高危操作防護、訪問控制、特權管理等，加強內部安全管控；

資料全域管控階段： 更加側重資料安全全面可管理，基於已有的網路安全和內控安全保障，防禦外部和資料流動風險，主要包括入侵防護、漏洞防禦、訪問控制、誤操作恢復、資料加密、計算環境安全、溯源管理、資料加密等，透過資料安全管理平臺整體實現資料全域管理；

風險全域性可視階段： 以日誌資訊、風險操作、告警、資料庫執行狀態等大資料為基礎，從全域性視角提升對資料安全威脅的發現識別、理解、分析和響應能力的防護方式。

以持續化運營，實現安全能力持續最佳化

資料安全需要持續構建、不斷改進、提升防護效果，資料安全運營是必不可少的一環，需要從預測、防禦、檢測、響應四個維度，建立可持續最佳化的資料安全監控和安全運營體系，對現有的資料安全能力進行審視，發現存在不足進行響應處置，實現資料安全狀態持續保障和提升。

疑似45億條個人資訊洩露的背後：危機之下的資料安全建設之痛

相關文章