數(shù)據(jù)泄露是我們現(xiàn)在每天都能聽聞的安全事件，它深遠(yuǎn)影響著每一個(gè)行業(yè)、每一個(gè)公司、每一個(gè)人，受害組織可能覆蓋小微企業(yè)到世界500強(qiáng)，其中，用戶個(gè)人信息的泄露是最突出也是最嚴(yán)重的。

　　IBM《2022年數(shù)據(jù)泄露成本報(bào)告》估計(jì)，2022年的數(shù)據(jù)泄露成本將達(dá)到歷史新高，平均為435萬美元，這無疑是一個(gè)令人生畏的統(tǒng)計(jì)數(shù)據(jù)。

　　然而，人們更多討論的是在事后，企業(yè)將花費(fèi)巨額成本來修復(fù)受損系統(tǒng)、進(jìn)行網(wǎng)絡(luò)調(diào)查取證、改善防御措施和支付法律費(fèi)用。這些固然重要，但并不一定包含了涉及數(shù)據(jù)泄露的用戶個(gè)人所感受到的所有成本。以及最關(guān)鍵的，如果不是被曝光（比如在暗網(wǎng)倒賣），大多數(shù)企業(yè)和用戶個(gè)人甚至都不知道發(fā)生了數(shù)據(jù)泄露。

　　對于個(gè)人而言，成本可能更加個(gè)人化。私人信息被曝光只是第一步，經(jīng)濟(jì)損失可能以營銷騷擾、網(wǎng)絡(luò)詐騙等方式出現(xiàn)，還附帶嚴(yán)重的長尾效應(yīng)，對受害人產(chǎn)生持續(xù)的影響。

　　對于企業(yè)而言，事后的止損、修復(fù)和加固是必須的，但是為了更長久、更徹底地解決問題，事前發(fā)現(xiàn)風(fēng)險(xiǎn)、盡量規(guī)避事件的發(fā)生，全程滿足監(jiān)管的要求、保證信息及時(shí)而透明，才能最大限度改善數(shù)據(jù)安全態(tài)勢。

　　數(shù)據(jù)泄露是如何發(fā)生的？

　　根據(jù)IBM的調(diào)研，攻擊者用來入侵企業(yè)網(wǎng)絡(luò)的最常見的初始攻擊手段是使用受損的憑據(jù)，這種方法造成了 20%的數(shù)據(jù)泄露事件。這些憑據(jù)可能包括在線泄露的賬戶用戶名和密碼，在單獨(dú)的安全事件中被盜，或通過暴力破解、撞庫等方式獲得。

　　其他潛在的攻擊方法包括：

　　● Magecart攻擊：

　　像英國航空和Ticketmaster等公司都經(jīng)歷過這類攻擊，惡意代碼被悄悄注入電商支付頁面，以獲取用戶個(gè)人的支付卡信息。

　　● 注入網(wǎng)站域和表單的惡意代碼：

　　相同的策略可用于從客戶和訪問者那里獲取其他形式的數(shù)據(jù)，當(dāng)不知情的受害者訪問合法服務(wù)時(shí)，就可以竊取數(shù)據(jù)。

　　● BEC詐騙：

　　攻擊者偽裝成公司員工、承包商或服務(wù)提供商，或直接盜取了他們的賬戶，發(fā)送釣魚郵件，欺騙內(nèi)部人員提供關(guān)鍵信息或者轉(zhuǎn)賬。

　　● 內(nèi)部威脅：

　　人是最大的不可控變量，內(nèi)鬼泄密在近年來愈加頻繁，員工的身份和訪問權(quán)限管理變得尤為重要。此外還包括供應(yīng)鏈上的威脅，第三方人員和供應(yīng)商的安全風(fēng)險(xiǎn)會(huì)連帶影響企業(yè)的數(shù)據(jù)安全。

　　● 疏忽大意：

　　由于配置錯(cuò)誤而保持開放和在線暴露的服務(wù)應(yīng)用，是攻擊面暴露和數(shù)據(jù)泄露的主要原因。同時(shí)，員工的意外操作，比如隨意傳輸存儲(chǔ)，也造成了相當(dāng)比例的數(shù)據(jù)泄露。

　　攻擊者究竟會(huì)做什么？

　　攻擊者可能首先進(jìn)行監(jiān)視，映射網(wǎng)絡(luò)以找出最有價(jià)值的資源在哪里，或者發(fā)現(xiàn)潛在的途徑以跳入其他系統(tǒng)。

　　Verizon表示，71%的數(shù)據(jù)泄露相關(guān)事件是出于經(jīng)濟(jì)動(dòng)機(jī)。攻擊者可能會(huì)部署勒索軟件來勒索受害者支付費(fèi)以重新獲得對網(wǎng)絡(luò)的訪問權(quán)限。在現(xiàn)在流行的“雙重勒索”策略中，黑客組織可能首先竊取機(jī)密信息，然后要挾會(huì)將其在網(wǎng)上泄露或轉(zhuǎn)賣。

　　或者，有些競爭對手授意的攻擊可能會(huì)直接拿走重要的知識(shí)產(chǎn)權(quán)和商業(yè)機(jī)密，然后抹去他們的蹤跡。其他人可能會(huì)測試他們的接入點(diǎn)，并通過暗網(wǎng)將其出售給其他網(wǎng)絡(luò)攻擊者。

　　在一些情況下，網(wǎng)絡(luò)入侵僅出于一個(gè)原因：破壞正常的業(yè)務(wù)和服務(wù)，損害企業(yè)的命脈。

　　數(shù)據(jù)泄露對企業(yè)和個(gè)人有什么影響？

　　當(dāng)企業(yè)發(fā)生數(shù)據(jù)泄露時(shí)，用戶會(huì)對企業(yè)產(chǎn)生不信任感，進(jìn)而影響用戶的選擇，因此，數(shù)據(jù)泄露事故可能會(huì)令企業(yè)失去一批客戶，包括潛在客戶。比如，雅虎郵箱曝出泄密事件后，大批用戶棄用，正在商談收購事宜的雅虎甚至一度難以賣出。

　　經(jīng)濟(jì)受損也是最直接的，一方面，數(shù)據(jù)本身就是企業(yè)資產(chǎn)的一部分，當(dāng)數(shù)據(jù)泄露，這部分?jǐn)?shù)據(jù)資產(chǎn)拱手讓給別人，對企業(yè)的競爭力會(huì)產(chǎn)生威脅，間接提高了成本且減少收益。另一方面，聲譽(yù)受損會(huì)導(dǎo)致企業(yè)股價(jià)下跌、用戶流失，這都將對企業(yè)經(jīng)濟(jì)利益產(chǎn)生直接影響。

　　同時(shí)還將面臨監(jiān)管處罰甚至是法律訴訟。我國法律明確規(guī)定了企業(yè)的安全合規(guī)義務(wù)，發(fā)生這類安全事件，罰款和整改必不可少，出海業(yè)務(wù)還將面臨GDPR等全球不同地區(qū)的法律監(jiān)管。而受害者除了企業(yè)自身，也可能包括下游客戶或遭受數(shù)據(jù)泄露影響的其他合作者。美國征信巨頭EquiFax發(fā)生1.43億用戶泄露后，面臨一場美國波特蘭聯(lián)邦法庭的集體訴訟，賠償金額高達(dá)700億美元。

　　有些數(shù)據(jù)泄露是由于員工惡意行為或內(nèi)部管理不善造成的，通常會(huì)引發(fā)高層震蕩，如Uber曝出支付黑客10萬封口費(fèi)后，時(shí)任CSO被罷免。員工對企業(yè)的不信任感和疏離感隨之產(chǎn)生，繼而影響企業(yè)整體的發(fā)展。

　　企業(yè)數(shù)據(jù)泄露事件很大一部分涉及用戶的隱私，個(gè)人身份信息（PII）包括姓名、身份證、地址、電子郵件、工作經(jīng)歷、電話號碼、性別以及包括護(hù)照和駕照在內(nèi)的文件副本，都可用于進(jìn)行身份盜用，即有人未經(jīng)許可使用您的信息冒充您。

　　他們可能會(huì)使用您的身份或財(cái)務(wù)數(shù)據(jù)進(jìn)行欺詐和犯罪，包括與稅務(wù)有關(guān)的欺詐、以您的名義開設(shè)信貸額度和貸款、醫(yī)療欺詐以及在線進(jìn)行欺詐性購買。犯罪分子還可能給您使用的應(yīng)用或平臺(tái)（例如運(yùn)營商）打電話，并假裝是您來欺騙客服泄露信息或更改服務(wù)。勒索也是一種可能，當(dāng)婚外情網(wǎng)站 Ashley Madison 在 遭遇數(shù)據(jù)泄露時(shí)，犯罪分子以重金威脅一些用戶要告訴他們的伴侶、朋友和同事他們的活動(dòng)。

　　這些情況可能會(huì)造成財(cái)產(chǎn)損失、精神壓力、社交工作生活的受阻、并影響您的財(cái)務(wù)信用評分。由于網(wǎng)絡(luò)犯罪是全球性的，執(zhí)法部門可能也很難起訴肇事者。

　　企業(yè)接下來應(yīng)該怎么辦？

　　我們將從技術(shù)和合規(guī)兩個(gè)方面給予建議。互聯(lián)網(wǎng)企業(yè)以及大部分正在進(jìn)行數(shù)字化轉(zhuǎn)型的傳統(tǒng)企業(yè)，在網(wǎng)絡(luò)安全與數(shù)據(jù)保護(hù)方面并未給予足夠的重視及投入，并且伴隨數(shù)據(jù)價(jià)值的凸顯以及數(shù)據(jù)應(yīng)用環(huán)境的變化，許多傳統(tǒng)安全策略已經(jīng)不具備有效的保障。

　　遺憾的是，目前許多企業(yè)的策略非常被動(dòng)，當(dāng)事件被曝光或已經(jīng)出現(xiàn)了連帶的受害人事件才知道自身發(fā)生了數(shù)據(jù)泄露，被迫啟動(dòng)排查和響應(yīng)，僅僅針對單次事件作出必要的交代。

　　無論是監(jiān)管層面還是專業(yè)安全廠商，都極力明確事前的、與時(shí)俱進(jìn)的風(fēng)險(xiǎn)評估、安全部署、主動(dòng)防御永遠(yuǎn)是安全建設(shè)工作最有用也最省錢的做法，不能抱有攻擊不一定會(huì)發(fā)生的僥幸心理而拒絕安全投入，一旦發(fā)生安全事故，所需付出的成本可能已不在企業(yè)能承受的范圍內(nèi)。

　　具體的最佳安全實(shí)踐沒有標(biāo)準(zhǔn)答案，且會(huì)隨著外部環(huán)境與市場需求的變化而變化。安全419長期關(guān)注數(shù)據(jù)安全領(lǐng)域技術(shù)與趨勢發(fā)展，《安全419編輯推薦 | 2021年度優(yōu)秀安全廠商》數(shù)據(jù)安全篇介紹了目前國內(nèi)市場中的部分優(yōu)秀廠商，為企業(yè)滿足合規(guī)要求、保護(hù)重要數(shù)據(jù)資產(chǎn)及個(gè)人信息提供一定的安全建設(shè)思路。

　　如安恒信息，其提倡以咨詢規(guī)劃創(chuàng)建框架，制定戰(zhàn)略目標(biāo)，設(shè)計(jì)對應(yīng)的組織架構(gòu)和權(quán)責(zé)，并填補(bǔ)制度體系的空白。落地階段，以“CAPE數(shù)據(jù)安全能力框架”構(gòu)建風(fēng)險(xiǎn)核查（Check）、數(shù)據(jù)梳理（Assort）、數(shù)據(jù)保護(hù)（Protect）以及數(shù)據(jù)威脅監(jiān)控預(yù)警（Examine）四位一體的數(shù)據(jù)安全技術(shù)體系，實(shí)現(xiàn)對數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷毀全生命周期的安全管理和防護(hù)。后期，以“運(yùn)營服務(wù)”實(shí)現(xiàn)穩(wěn)定運(yùn)行和持續(xù)改進(jìn)，提升項(xiàng)目建設(shè)的價(jià)值。

　　昂楷科技，打破“以外防為主建立防護(hù)邊界系統(tǒng)”的老思路，提出建立終端、外防、內(nèi)審內(nèi)控的三級聯(lián)動(dòng)聯(lián)防主動(dòng)積極防御體系。將安全元數(shù)據(jù)應(yīng)用于數(shù)據(jù)安全治理中，通過安全控制數(shù)據(jù)與生產(chǎn)數(shù)據(jù)的分離，保障數(shù)據(jù)安全的同時(shí)，實(shí)現(xiàn)安全策略的一致性。方案涵蓋資產(chǎn)梳理、風(fēng)險(xiǎn)評估、主動(dòng)防御、監(jiān)控審計(jì)、態(tài)勢感知、數(shù)據(jù)溯源、數(shù)據(jù)處理等能力，這些數(shù)據(jù)安全能力單元搭配SOC平臺(tái)、應(yīng)用安全、終端安全、網(wǎng)絡(luò)安全等其他安全能力單元，集中到擁有自學(xué)習(xí)能力的數(shù)據(jù)安全綜合治理平臺(tái)上，實(shí)現(xiàn)對復(fù)雜威脅的聯(lián)動(dòng)聯(lián)防，可以覆蓋數(shù)據(jù)從采集到銷毀的全部流轉(zhuǎn)周期。

　　新興技術(shù)打破網(wǎng)絡(luò)安全邊界，讓傳統(tǒng)的基于內(nèi)外網(wǎng)的安全策略失效，這已經(jīng)成為安全建設(shè)工作中最重要的一個(gè)變化和趨勢，數(shù)據(jù)安全也深受影響，安全419報(bào)道《數(shù)據(jù)安全市場黃金年代開啟？三年內(nèi)該領(lǐng)域誕生多家初創(chuàng)公司》關(guān)注到一批新生代的數(shù)據(jù)安全廠商，通過前沿理念和技術(shù)創(chuàng)新為數(shù)據(jù)安全建設(shè)提供了新的思路。

　　如數(shù)安行，與國內(nèi)首先提出了DataSecOps理念，建立以AI驅(qū)動(dòng)的零信任數(shù)據(jù)運(yùn)營安全平臺(tái)，對業(yè)務(wù)及網(wǎng)絡(luò)無改造映射數(shù)據(jù)運(yùn)營全流程，為企業(yè)提供自動(dòng)化的數(shù)據(jù)價(jià)值發(fā)現(xiàn)及數(shù)據(jù)安全服務(wù)，實(shí)現(xiàn)隱私數(shù)據(jù)保護(hù)、商業(yè)秘密保護(hù)和數(shù)據(jù)運(yùn)營的有效平衡。平臺(tái)幫助用戶管理跟蹤各種類型、各種來源的個(gè)人隱私數(shù)據(jù)及商業(yè)數(shù)據(jù)，促進(jìn)數(shù)據(jù)的快速流動(dòng)及安全協(xié)作共享，滿足數(shù)據(jù)使用的法律合規(guī)要求，防范內(nèi)部數(shù)據(jù)濫用風(fēng)險(xiǎn)，打造以數(shù)據(jù)運(yùn)營為核心的多數(shù)據(jù)平臺(tái)、跨業(yè)務(wù)流程的數(shù)據(jù)安全生態(tài)體系。

　　安全建設(shè)體系之外，從法律合規(guī)角度，企業(yè)應(yīng)該聚焦以下幾點(diǎn)：

　　//正確理解監(jiān)管思維。

　　自凈網(wǎng)2018專項(xiàng)行動(dòng)以來，公安機(jī)關(guān)已全面實(shí)行一案雙查制度，指在對網(wǎng)絡(luò)違法犯罪案件開展偵查時(shí)，同步啟動(dòng)對涉案網(wǎng)絡(luò)服務(wù)提供者法定網(wǎng)絡(luò)安全義務(wù)履行情況的監(jiān)督檢查。對拒不履行法定網(wǎng)絡(luò)安全義務(wù)、為網(wǎng)絡(luò)違法犯罪活動(dòng)提供幫助的網(wǎng)絡(luò)服務(wù)提供者，將依法對其進(jìn)行嚴(yán)厲查處，努力從源頭遏制網(wǎng)絡(luò)違法犯罪案件發(fā)生。

　　也就是說，如果企業(yè)沒有履行網(wǎng)絡(luò)安全和數(shù)據(jù)安全義務(wù)，作為受害者的企業(yè)，不僅自身將承擔(dān)各項(xiàng)損失，同時(shí)將遭受監(jiān)管部門的處罰。值得注意的是，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》所有罰則均為“雙罰制”，企業(yè)及直接責(zé)任人都將遭受處罰。

　　//及時(shí)履行報(bào)告義務(wù)。

　　數(shù)據(jù)泄露屬于網(wǎng)絡(luò)安全事件，上述法律對于此類事件均規(guī)定了企業(yè)應(yīng)依法向監(jiān)管部門報(bào)告的法定義務(wù)。如果發(fā)生重大的數(shù)據(jù)泄露事件，企業(yè)又沒有及時(shí)履行報(bào)告義務(wù)，大概率將遭到監(jiān)管部門的處罰。需要注意的是，數(shù)安法相關(guān)罰則較為嚴(yán)厲，并且新法施行后各地“首案”陸續(xù)出現(xiàn)，給企業(yè)帶來永遠(yuǎn)抹不去的負(fù)面影響，執(zhí)法力度表明了國家監(jiān)管的決心。

　　//重視客戶數(shù)據(jù)泄露。

　　許多企業(yè)在發(fā)生數(shù)據(jù)泄露之初，并沒有意識(shí)到一些潛在的重大風(fēng)險(xiǎn)。比如說網(wǎng)絡(luò)系統(tǒng)內(nèi)存儲(chǔ)的客戶數(shù)據(jù)，包括商務(wù)合同、財(cái)務(wù)資料、知識(shí)產(chǎn)權(quán)數(shù)據(jù)等可能包含重要商業(yè)秘密的內(nèi)容。此外，如果相關(guān)客戶是上市企業(yè)，數(shù)據(jù)泄露很可能涉及信息披露的問題。

　　法律實(shí)踐中，不少發(fā)生數(shù)據(jù)泄露的企業(yè)，可能對自有數(shù)據(jù)發(fā)生泄露毫不在乎，但是，一旦涉及客戶數(shù)據(jù)泄露，相關(guān)客戶是不是這樣考量就很難一概而論了。如果由于自身怠于處置，給客戶帶來了巨大經(jīng)濟(jì)損失，巨額索賠的風(fēng)險(xiǎn)恐怕很難避免。

　　//切忌盲目掩蓋事實(shí)。

　　不少企業(yè)在發(fā)生數(shù)據(jù)泄露后，企圖通過一定的手段掩蓋事實(shí)，主要目的是避免監(jiān)管調(diào)查和負(fù)面輿論。這樣的思路看似妙招，但現(xiàn)實(shí)中卻很難實(shí)現(xiàn)。

　　首先，《網(wǎng)絡(luò)安全法》明確規(guī)定國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報(bào)制度，全球各地?zé)o時(shí)無刻不在密切監(jiān)測網(wǎng)絡(luò)安全事件，重大數(shù)據(jù)泄露事件無疑是監(jiān)測的重點(diǎn)。而且，黑客一旦得手，必然會(huì)在網(wǎng)上主動(dòng)披露相關(guān)事件，炫耀、勒索、倒賣都會(huì)向受害企業(yè)施加巨大的壓力，一旦在網(wǎng)絡(luò)上傳播，容易引發(fā)輿論炒作，將帶來更嚴(yán)重的危害性。基于危害性加劇，監(jiān)管部門大概率會(huì)在裁量范圍內(nèi)從嚴(yán)從重處罰瞞報(bào)企業(yè)。

　　總而言之，數(shù)據(jù)泄露是企業(yè)如今面臨的最嚴(yán)峻的安全風(fēng)險(xiǎn)之一，企業(yè)需要從滿足合規(guī)要求和流程、以及保障自身、用戶及合作伙伴的利益方面做出周全的考量和計(jì)劃。當(dāng)我們總是與網(wǎng)友一道從互聯(lián)網(wǎng)上看到自家數(shù)據(jù)滿天飛的新聞，后知后覺地亡羊補(bǔ)牢，其實(shí)已經(jīng)錯(cuò)過了最佳的對抗機(jī)會(huì)。在下一次泄露事故爆發(fā)之前，請全面提高數(shù)據(jù)安全意識(shí)，制定匹配的安全計(jì)劃，積極推進(jìn)實(shí)踐并持續(xù)優(yōu)化。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<