疑似45亿条个人信息泄露的背后:危机之下的数据安全建设之痛
最近,一则疑似45亿条国内个人信息遭到泄露的新闻,掀起一片轩然。
2月12日晚,据称在即时通讯软件Telegram上某机器人泄露国内45亿条快递信息,数据包大小达435GB!
用户仅需输入手机号,即可通过该机器人查询相关数据。国内网友查询得知,这些数据涉及姓名、手机号码、收货地址,泄露来源直指国内多家知名电商平台/快递物流行业。
而这一事件还在进步发酵,相关消息称,2月15日,快递股今日出现闪崩,某上市快递公司疑似受到该事件影响,股价暴跌。
触目惊心的数据泄露
数字化时代的最大隐忧之一
近年来,数据泄露事件一路狂飙,数据被攻击、窃取、劫持等事件一波接一波,比比皆是,我们常常可以看到这样的新闻,某某物流员工泄露用户信息获取利益被查、某某大型制造商被勒索超千万美金、某某集团数据在暗网售卖牟利......
最近,国际数字化运营服务提供商Proxyrack基于2022年度的观测数据,对全球主要国家和地区的数据泄露情况进行了统计和分析。在主要国家中:
俄罗斯在2022年的数据泄露总数最高,泄露事件数量为96724450起。
美国的数据泄露事件数量紧随其后,为63716758起。
而我国在2022年共被Proxyrack统计到51309972起数据泄露事件,排名第三。
尽管该报告对该数据的准确性仍需要进一步确认,但该数据在一定程度上显示出,当前我国数据安全的发展态势仍然严峻。
2020年,我国在发布的《全球数据安全倡议》中提出:“作为数字技术的关键要素,全球数据爆发增长,海量集聚,成为实现创新发展、重塑人们生活的重要力量,事关各国安全与经济社会发展。”
目前,我国正处于数字基础设施与传统产业加速融合发展的新阶段,线上化、数字化、智能化的发展,万物互联时代的到来,数据体量呈现爆发增长态势,无论是个人隐私数据,还是企业数据,都承载着巨大的价值。然而与之相伴的一系列数据安全问题正深刻影响着每个个人、组织、乃至国家数字经济长远健康发展,带来巨大的经济损失。《2022年数据泄露成本报告》,数据泄露的平均成本创下435万美元的历史新高,比2021年增长了2.6%,自2020年以来增长了12.7%。
美创科技结合近年来发生的造成实质性安全损失的重大安全事件发现,导致数据泄漏的主因往往有以下原因造成:
从外部来看:在显著黑产利益驱动下,以勒索病毒为主的外部攻击正在向大规模数据窃取转变,新时期外部攻击呈现:专业犯罪集团介入、定向化程度更高、勒索金额更高、发生频次更高、攻防级别更高、影响更恶劣等特点。
(勒索软件攻击进入多样化、精准化阶段)
数据泄露事件持续上升,泄露成本越来越高,隐性的损失不可估算,应对数据安全威胁涛涛之势,国家及监管部门已高度重视,2021年,《数据安全法》、《个人信息保护法》相继发布实施,一系列数据安全政策法规密集出台,给数据安全如何建设提供了充分的法律依据和顶层思路。
但从实际建设效果来看,绝大多数企业在数据安全保护工作上依然存在不少的困扰和问题:
数据安全建设依然缺少行业层面的建设指南、建设标准。国家虽然出台了一系列的法律法规,包括《网络安全法》、《数据安全法》,但在很多行业领域缺少针对性的法律法规和建设指南,且由于缺少统一的标准,各家数据安全厂商对数据安全的理解和侧重也有所不同,数据安全产品和能力参差不齐,产品之间存在壁垒,不利于客户选择。
数据安全建设缺少组织架构,专业人才以及资金支持。各单位在进行数据安全建设时,普遍存在没有专业的数据安全团队负责建设和运营的尴尬处境,并且单位内部人员缺乏数据安全意识,导致从管理部门到个人,对数据保护缺乏主动性、积极性,存在“重用轻管”的问题。
不清楚数据在哪里,数据安全风险有哪些,数据安全建设无从下手。各单位业务多、涉及系统多、流程复杂,数据各类多、格式多、数量大,有些单位与第三方对接需求多。经年累月下来,很难理清有哪些数据,数据都存在哪里,为哪些人员开放了哪些数据操作权限,存在哪些数据安全风险,数据安全建设无从下手。
数据安全建设思路尚停留在传统网络安全层面,缺乏合理规划。在启动数据安全建设前,很多企业认为做好网络安全就能拥有数据安全,缺乏合理有效的规划,常常“头痛医头,脚痛医脚”,导致后期升级难、扩展难、重复建设甚至推倒重建,造成客户成本的提升,失去对数据安全建设的信心。
数据安全没有“银弹”
需构建体系化安全防线
在解决数据安全问题的过程中,不可能有一劳永逸,也不能存有侥幸心理,要知道,再严苛法律法规也镇不住所有的利益驱动者。对于每一家企业单位而言,都需要着眼当下、务实建设数据安全体系。
以制度为准则,建立完善数据安全管理体系
管理制度与机制的建立与优化是数据安全工作的基础。企业在开展数据安全建设中,应以安全合规为底线,基于国家、行业数据安全相关法律法规与标准要求,构建涵盖组织、制度、人员在内的完备的数据安全制度和管理体系,对数据收集、存储、处理、应用等关键环节的操作规范、管理部门职责分工、应急管理与安全检查机制、责任追究等进行全方位规定。
数据安全建设过程中,往往存在不同部门间的协作配合度弱,沟通阻力大等问题,对此,企业应组建贴合实际的安全组织架构,形成有公司领导班子参与,并覆盖各部门的安全组织架构,推动数据安全保障工作持续、稳定、有序开展。
以风险现状为依据,进行安全基础能力建设
开展数据安全资产梳理和风险评估,通过对企业组织实际情况进行现状分析,包括数据资产梳理、使用权限情况、内外部数据安全风险、合规差距梳理等,根据数据安全风险状况进行整体安全规划,进而针对数据不同的安全级别以及不同的应用场景采取不同的防护。
数据安全技术建设可遵“整体施策,分步实施;填平补齐、完善提高;系统可靠,安全优先”的原则,分阶段开展,包括数据内控合规、数据全域管控、风险全局可视:
数据内控合规阶段:通过敏感数据发现、数据动/静态脱敏、数据库日志审计、权限管控和数据资产保护、身份鉴别(人、终端、应用)、高危操作防护、访问控制、特权管理等,加强内部安全管控;
数据全域管控阶段:更加侧重数据安全全面可管理,基于已有的网络安全和内控安全保障,防御外部和数据流动风险,主要包括入侵防护、漏洞防御、访问控制、误操作恢复、数据加密、计算环境安全、溯源管理、数据加密等,通过数据安全管理平台整体实现数据全域管理;
风险全局可视阶段:以日志信息、风险操作、告警、数据库运行状态等大数据为基础,从全局视角提升对数据安全威胁的发现识别、理解、分析和响应能力的防护方式。
以持续化运营,实现安全能力持续优化
数据安全需要持续构建、不断改进、提升防护效果,数据安全运营是必不可少的一环,需要从预测、防御、检测、响应四个维度,建立可持续优化的数据安全监控和安全运营体系,对现有的数据安全能力进行审视,发现存在不足进行响应处置,实现数据安全状态持续保障和提升。