数据安全僵局:数据泄露了?我不知道啊!

首页 / 业界 / 资讯 /  正文
作者:安全419
来源:安全419
发布于:2022-08-12
数据泄露是我们现在每天都能听闻的安全事件,它深远影响着每一个行业、每一个公司、每一个人,受害组织可能覆盖小微企业到世界500强,其中,用户个人信息的泄露是最突出也是最严重的。
 
IBM《2022年数据泄露成本报告》估计,2022年的数据泄露成本将达到历史新高,平均为435万美元,这无疑是一个令人生畏的统计数据。
 
然而,人们更多讨论的是在事后,企业将花费巨额成本来修复受损系统、进行网络调查取证、改善防御措施和支付法律费用。这些固然重要,并不一定包含了涉及数据泄露的用户个人所感受到的所有成本以及最关键的,如果不是被曝光(比如在暗网倒卖),大多数企业和用户个人甚至都不知道发生了数据泄露。
 
对于个人而言,成本可能更加个人化。私人信息被曝光只是第一步,经济损失可能以营销骚扰、网络诈骗等方式出现,还附带严重的长尾效应,对受害人产生持续的影响。
 
对于企业而言,事后的止损、修复和加固是必须的,但是为了更长久、更彻底地解决问题,事前发现风险、尽量规避事件的发生,全程满足监管的要求、保证信息及时而透明,才能最大限度改善数据安全态势。
 

 
数据泄露是如何发生的?
 
根据IBM的调研,攻击者用来入侵企业网络的最常见的初始攻击手段是使用受损的凭据,这种方法造成了 20%的数据泄露事件。 这些凭据可能包括在线泄露的账户用户名和密码,在单独的安全事件中被盗,或通过暴力破解、撞库等方式获得。
 
其他潜在的攻击方法包括:
 
Magecart攻击:像英国航空和Ticketmaster等公司都经历过这类攻击,恶意代码被悄悄注入电商支付页面,以获取用户个人的支付卡信息。
 
注入网站域和表单的恶意代码:相同的策略可用于从客户和访问者那里获取其他形式的数据,当不知情的受害者访问合法服务时,就可以窃取数据。
 
BEC诈骗:攻击者伪装成公司员工、承包商或服务提供商,或直接盗取了他们的账户,发送钓鱼邮件,欺骗内部人员提供关键信息或者转账。
 
内部威胁:人是最大的不可控变量,内鬼泄密在近年来愈加频繁,员工的身份和访问权限管理变得尤为重要。此外还包括供应链上的威胁,第三方人员和供应商的安全风险会连带影响企业的数据安全。
 
疏忽大意由于配置错误而保持开放和在线暴露的服务应用,是攻击面暴露和数据泄露的主要原因。同时,员工的意外操作,比如随意传输存储,也造成了相当比例的数据泄露。
 
攻击者究竟会做什么?
 
攻击者可能首先进行监视,映射网络以找出最有价值的资源在哪里,或者发现潜在的途径以跳入其他系统。
 
Verizon表示,71%的数据泄露相关事件是出于经济动机。攻击者可能会部署勒索软件来勒索受害者支付费以重新获得对网络的访问权限。在现在流行的“双重勒索”策略中,黑客组织可能首先窃取机密信息,然后要挟会将其在网上泄露或转卖。
 
或者,有些竞争对手授意的攻击可能会直接拿走重要的知识产权和商业机密,然后抹去他们的踪迹。其他人可能会测试他们的接入点,并通过暗网将其出售给其他网络攻击者。
 
在一些情况下,网络入侵仅出于一个原因:破坏正常的业务和服务,损害企业的命脉。
 
数据泄露对企业和个人什么影响?
 
当企业发生数据泄露时,用户会对企业产生不信任感,进而影响用户的选择,因此,数据泄露事故可能会令企业失去一批客户,包括潜在客户。比如,雅虎邮箱曝出泄密事件后,大批用户弃用,正在商谈收购事宜的雅虎甚至一度难以卖出。
 
经济受损也是最直接的,一方面,数据本身就是企业资产的一部分,当数据泄露,这部分数据资产拱手让给别人,对企业的竞争力会产生威胁,间接提高了成本且减少收益。另一方面,声誉受损会导致企业股价下跌、用户流失,这都将对企业经济利益产生直接影响。
 
同时还将面临监管处罚甚至是法律诉讼。我国法律明确规定了企业的安全合规义务,发生这类安全事件,罚款和整改必不可少,出海业务还将面临GDPR等全球不同地区的法律监管。而受害者除了企业自身,也可能包括下游客户或遭受数据泄露影响的其他合作者。美国征信巨头EquiFax发生1.43亿用户泄露后,面临一场美国波特兰联邦法庭的集体诉讼,赔偿金额高达700亿美元。
 
有些数据泄露是由于员工恶意行为或内部管理不善造成的,通常会引发高层震荡,如Uber曝出支付黑客10万封口费后,时任CSO被罢免。员工对企业的不信任感和疏离感随之产生,继而影响企业整体的发展。
 
企业数据泄露事件很大一部分涉及用户的隐私,个人身份信息(PII)包括姓名、身份证、地址、电子邮件、工作经历、电话号码、性别以及包括护照和驾照在内的文件副本,都可用于进行身份盗用,即有人未经许可使用您的信息冒充您。
 
他们可能会使用您的身份或财务数据进行欺诈和犯罪,包括与税务有关的欺诈、以您的名义开设信贷额度和贷款、医疗欺诈以及在线进行欺诈性购买。犯罪分子还可能给您使用的应用或平台(例如运营商)打电话,并假装是您来欺骗客服泄露信息或更改服务。勒索也是一种可能,当婚外情网站 Ashley Madison 在 遭遇数据泄露时,犯罪分子以重金威胁一些用户要告诉他们的伴侣、朋友和同事他们的活动。
 
这些情况可能会造成财产损失、精神压力、社交工作生活的受阻、并影响您的财务信用评分。由于网络犯罪是全球性的,执法部门可能也很难起诉肇事者。
 

 
企业接下来应该怎么办?
 
我们将从技术和合规两个方面给予建议。互联网企业以及大部分正在进行数字化转型的传统企业,在网络安全与数据保护方面并未给予足够的重视及投入,并且伴随数据价值的凸显以及数据应用环境的变化,许多传统安全策略已经不具备有效的保障。
 
遗憾的是,目前许多企业的策略非常被动,当事件被曝光或已经出现了连带的受害人事件才知道自身发生了数据泄露,被迫启动排查和响应,仅仅针对单次事件作出必要的交代。
 
无论是监管层面还是专业安全厂商,都极力明确事前的、与时俱进的风险评估、安全部署、主动防御永远是安全建设工作最有用也最省钱的做法,不能抱有攻击不一定会发生的侥幸心理而拒绝安全投入,一旦发生安全事故,所需付出的成本可能已不在企业能承受的范围内。
 
具体的最佳安全实践没有标准答案,且会随着外部环境与市场需求的变化而变化。安全419长期关注数据安全领域技术与趋势发展,《安全419编辑推荐 | 2021年度优秀安全厂商》数据安全篇介绍了目前国内市场中的部分优秀厂商,为企业满足合规要求、保护重要数据资产及个人信息提供一定的安全建设思路。
 
如安恒信息,其提倡以咨询规划创建框架,制定战略目标,设计对应的组织架构和权责,并填补制度体系的空白。落地阶段,以“CAPE数据安全能力框架”构建风险核查(Check)、数据梳理(Assort)、数据保护(Protect)以及数据威胁监控预警(Examine)四位一体的数据安全技术体系,实现对数据采集、传输、存储、处理、交换、销毁全生命周期的安全管理和防护。后期,以“运营服务”实现稳定运行和持续改进,提升项目建设的价值。
 
昂楷科技,打破“以外防为主建立防护边界系统”的老思路,提出建立终端、外防、内审内控的三级联动联防主动积极防御体系。将安全元数据应用于数据安全治理中,通过安全控制数据与生产数据的分离,保障数据安全的同时,实现安全策略的一致性。方案涵盖资产梳理、风险评估、主动防御、监控审计、态势感知、数据溯源、数据处理等能力,这些数据安全能力单元搭配SOC平台、应用安全、终端安全、网络安全等其他安全能力单元,集中到拥有自学习能力的数据安全综合治理平台上,实现对复杂威胁的联动联防,可以覆盖数据从采集到销毁的全部流转周期。
 
新兴技术打破网络安全边界,让传统的基于内外网的安全策略失效,这已经成为安全建设工作中最重要的一个变化和趋势,数据安全也深受影响,安全419报道《数据安全市场黄金年代开启?三年内该领域诞生多家初创公司》关注到一批新生代的数据安全厂商,通过前沿理念和技术创新为数据安全建设提供了新的思路。
 
如数安行,与国内首先提出了DataSecOps理念,建立以AI驱动的零信任数据运营安全平台,对业务及网络无改造映射数据运营全流程,为企业提供自动化的数据价值发现及数据安全服务,实现隐私数据保护、商业秘密保护和数据运营的有效平衡。平台帮助用户管理跟踪各种类型、各种来源的个人隐私数据及商业数据,促进数据的快速流动及安全协作共享,满足数据使用的法律合规要求,防范内部数据滥用风险,打造以数据运营为核心的多数据平台、跨业务流程的数据安全生态体系。
 
安全建设体系之外,从法律合规角度,企业应该聚焦以下几点:
 
正确理解监管思维自净网2018专项行动以来,公安机关已全面实行一案双查制度,指在对网络违法犯罪案件开展侦查时,同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查。对拒不履行法定网络安全义务、为网络违法犯罪活动提供帮助的网络服务提供者,将依法对其进行严厉查处,努力从源头遏制网络违法犯罪案件发生。
 
也就是说,如果企业没有履行网络安全和数据安全义务,作为受害者的企业,不仅自身将承担各项损失,同时将遭受监管部门的处罚。值得注意的是,《网络安全法》《数据安全法》所有罚则均为“双罚制”,企业及直接责任人都将遭受处罚。
 
及时履行报告义务数据泄露属于网络安全事件,上述法律对于此类事件均规定了企业应依法向监管部门报告的法定义务。如果发生重大的数据泄露事件,企业又没有及时履行报告义务,大概率将遭到监管部门的处罚。需要注意的是,数安法相关罚则较为严厉,并且新法施行后各地“首案”陆续出现,给企业带来永远抹不去的负面影响,执法力度表明了国家监管的决心。
 
重视客户数据泄露许多企业在发生数据泄露之初,并没有意识到一些潜在的重大风险。比如说网络系统内存储的客户数据,包括商务合同、财务资料、知识产权数据等可能包含重要商业秘密的内容。此外,如果相关客户是上市企业,数据泄露很可能涉及信息披露的问题。
 
法律实践中,不少发生数据泄露的企业,可能对自有数据发生泄露毫不在乎,但是,一旦涉及客户数据泄露,相关客户是不是这样考量就很难一概而论了。如果由于自身怠于处置,给客户带来了巨大经济损失,巨额索赔的风险恐怕很难避免。
 
切忌盲目掩盖事实不少企业在发生数据泄露后,企图通过一定的手段掩盖事实,主要目的是避免监管调查和负面舆论。这样的思路看似妙招,但现实中却很难实现。
 
首先,《网络安全法》明确规定国家建立网络安全监测预警和信息通报制度,全球各地无时无刻不在密切监测网络安全事件,重大数据泄露事件无疑是监测的重点。而且,黑客一旦得手,必然会在网上主动披露相关事件,炫耀、勒索、倒卖都会向受害企业施加巨大的压力,一旦在网络上传播,容易引发舆论炒作,将带来更严重的危害性。基于危害性加剧,监管部门大概率会在裁量范围内从严从重处罚瞒报企业。
 
总而言之,数据泄露是企业如今面临的最严峻的安全风险之一,企业需要从满足合规要求和流程、以及保障自身、用户及合作伙伴的利益方面做出周全的考量和计划。当我们总是与网友一道从互联网上看到自家数据满天飞的新闻,后知后觉地亡羊补牢,其实已经错过了最佳的对抗机会。在下一次泄露事故爆发之前,请全面提高数据安全意识,制定匹配的安全计划,积极推进实践并持续优化。