近日,閃捷信息安全與戰略研究中心重磅發布《2021年度數據泄漏態勢分析報告》(以下簡稱“《報告》”),《報告》通過統計分析2021年國內所發生的數據泄漏事件,結合全球數據泄漏事件的趨勢,從數據泄漏事件、時間、人員、動機、數據源以及個人信息泄漏態勢進行總結分析,多維度呈現2021年國內數據泄漏的態勢全景,并提供2022年數據泄漏的研判預測。
2021數據泄漏態勢分析概況
數據泄漏:
2021年數據泄漏事件呈現不斷增長的宏觀態勢,尤其在2021年下半年,數據泄漏事件發生的頻率較高,這與《數據安全法》《個人信息保護法》在這期間相繼出臺有一定的關系,數據安全相關法律法規將數據的安全級別做出清晰劃分,前期沒有意識到的情景也納入了數據泄漏范疇。
與2020年相比,2021年數據泄漏所占比例進一步上升,占所有數據安全事件類型的80%,其中以獲利為目的的數據泄漏事件占比最高,同為80%,可見造成數據泄漏,仍然是利益驅動。
從數據的全生命周期階段分析數據泄漏發現,2021年數據泄漏發生在存儲階段的占比最高,接近40%,其次是數據使用階段,占比接近30%,都屬于數據泄漏的高風險階段和數據安全防御的重點階段,應給予重視。
個人信息泄漏:
通過對各大行業的個人信息泄漏態勢調查分析發現,個人信息泄漏最嚴重的是互聯網行業,占比為27%,互聯網行業數據安全建設實質性投入少,成為個人信息泄漏的重災區。另外,個人信息的泄漏,還會通過地下市場流向黑灰產業,對社會造成二次危害。
本報告將泄漏的個人信息進行危險等級評估,分為低等危害、中等危害、高等危害和嚴重危害,這樣的分類分級有助于組織機構根據評估等級選擇不同級別的響應措施。
分析總結:
風險監測能力不足:目前大多數組織機構對數據泄漏事件的風險監測能力不足,未能在發生數據泄漏事件時,及時采取應急措施減少損失。
數據云端化趨勢:業務上云這樣的新型IT架構讓很多組織機構不能及時了解其安全風險,數據存放在傳統的網絡安全邊界之外,責任邊界、安全風險對組織機構來說都模糊不清。
雙重勒索常態化:數據泄漏事件同時伴隨勒索攻擊行為,發生勒索攻擊+數據泄漏事件占比正逐年遞增,攻擊者以公開敏感數據為要挾,比以加密的數據為籌碼更具殺傷力。
數據安全能力需要體系化建設:數據安全風險存在于數據全生命周期中,任何一個環節的漏洞將會導致整個數據安全防護體系功虧一簣,若僅依賴若干孤立產品進行安全防護,已不能應對當前復雜的數據泄漏場景。
降低數據安全風險的建議
加強全流程數據安全風險監控:盡早發現數據安全風險并進行處置,是減少安全事件,降低損失的最佳辦法。對數據安全的風險監控應重點從安全措施稽核、操作行為監測、系統漏洞監測三個維度考慮,對監測數據分類分級,進行風險評估和處置。
加強企業云上數據防護:沒有實施保護措施而將數據上云,幾乎等同于直接把數據公開。建議數據上云的企業對上云的數據進行分類分級、對業務數據進行梳理,明確數據使用場景,同時提升員工的數據安全保護意識。
數據防泄漏與數據防勒索并重:傳統的數據防勒索方案無法發現數據泄漏行為,更完善的防勒索方案除了防止數據被加密、不可用,還需要能夠識別并防范數據泄漏行為,真正杜絕被勒索。
對數據進行分類分級保護:數據分級分類是建設合理數據安全體系的前提基礎,對數據分類分級能夠正確地評估數據所面臨的風險,制訂差異化的防護策略。
回顧2021年發生的多起數據泄漏事件,不論是從數據泄漏的規模、數量、影響程度,都呈現擴張的趨勢,數據泄漏場景愈加復雜多變,閃捷信息安全與戰略研究中心建議,組織機構應密切關注數據安全局勢,不斷排查數據安全隱患,做好整體數據安全規劃,防患于未然。
《2021年度數據泄漏態勢分析報告》下載方式:可關注“閃捷信息”微信公眾號,后臺回復“下載”。
免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據。
關鍵詞:
營業執照公示信息