數(shù)據(jù)泄露是我們現(xiàn)在每天都能聽聞的安全事件，它深遠影響著每一個行業(yè)、每一個公司、每一個人，受害組織可能覆蓋小微企業(yè)到世界500強，其中，用戶個人信息的泄露是最突出也是最嚴重的。

　　IBM《2022年數(shù)據(jù)泄露成本報告》估計，2022年的數(shù)據(jù)泄露成本將達到歷史新高，平均為435萬美元，這無疑是一個令人生畏的統(tǒng)計數(shù)據(jù)。

　　然而，人們更多討論的是在事后，企業(yè)將花費巨額成本來修復(fù)受損系統(tǒng)、進行網(wǎng)絡(luò)調(diào)查取證、改善防御措施和支付法律費用。這些固然重要，但并不一定包含了涉及數(shù)據(jù)泄露的用戶個人所感受到的所有成本。以及最關(guān)鍵的，如果不是被曝光（比如在暗網(wǎng)倒賣），大多數(shù)企業(yè)和用戶個人甚至都不知道發(fā)生了數(shù)據(jù)泄露。

　　對于個人而言，成本可能更加個人化。私人信息被曝光只是第一步，經(jīng)濟損失可能以營銷騷擾、網(wǎng)絡(luò)詐騙等方式出現(xiàn)，還附帶嚴重的長尾效應(yīng)，對受害人產(chǎn)生持續(xù)的影響。

　　對于企業(yè)而言，事后的止損、修復(fù)和加固是必須的，但是為了更長久、更徹底地解決問題，事前發(fā)現(xiàn)風險、盡量規(guī)避事件的發(fā)生，全程滿足監(jiān)管的要求、保證信息及時而透明，才能最大限度改善數(shù)據(jù)安全態(tài)勢。

　　數(shù)據(jù)泄露是如何發(fā)生的？

　　根據(jù)IBM的調(diào)研，攻擊者用來入侵企業(yè)網(wǎng)絡(luò)的最常見的初始攻擊手段是使用受損的憑據(jù)，這種方法造成了 20%的數(shù)據(jù)泄露事件。這些憑據(jù)可能包括在線泄露的賬戶用戶名和密碼，在單獨的安全事件中被盜，或通過暴力破解、撞庫等方式獲得。

　　其他潛在的攻擊方法包括：

　　● Magecart攻擊：

　　像英國航空和Ticketmaster等公司都經(jīng)歷過這類攻擊，惡意代碼被悄悄注入電商支付頁面，以獲取用戶個人的支付卡信息。

　　● 注入網(wǎng)站域和表單的惡意代碼：

　　相同的策略可用于從客戶和訪問者那里獲取其他形式的數(shù)據(jù)，當不知情的受害者訪問合法服務(wù)時，就可以竊取數(shù)據(jù)。

　　● BEC詐騙：

　　攻擊者偽裝成公司員工、承包商或服務(wù)提供商，或直接盜取了他們的賬戶，發(fā)送釣魚郵件，欺騙內(nèi)部人員提供關(guān)鍵信息或者轉(zhuǎn)賬。

　　● 內(nèi)部威脅：

　　人是最大的不可控變量，內(nèi)鬼泄密在近年來愈加頻繁，員工的身份和訪問權(quán)限管理變得尤為重要。此外還包括供應(yīng)鏈上的威脅，第三方人員和供應(yīng)商的安全風險會連帶影響企業(yè)的數(shù)據(jù)安全。

　　● 疏忽大意：

　　由于配置錯誤而保持開放和在線暴露的服務(wù)應(yīng)用，是攻擊面暴露和數(shù)據(jù)泄露的主要原因。同時，員工的意外操作，比如隨意傳輸存儲，也造成了相當比例的數(shù)據(jù)泄露。

　　攻擊者究竟會做什么？

　　攻擊者可能首先進行監(jiān)視，映射網(wǎng)絡(luò)以找出最有價值的資源在哪里，或者發(fā)現(xiàn)潛在的途徑以跳入其他系統(tǒng)。

　　Verizon表示，71%的數(shù)據(jù)泄露相關(guān)事件是出于經(jīng)濟動機。攻擊者可能會部署勒索軟件來勒索受害者支付費以重新獲得對網(wǎng)絡(luò)的訪問權(quán)限。在現(xiàn)在流行的“雙重勒索”策略中，黑客組織可能首先竊取機密信息，然后要挾會將其在網(wǎng)上泄露或轉(zhuǎn)賣。

　　或者，有些競爭對手授意的攻擊可能會直接拿走重要的知識產(chǎn)權(quán)和商業(yè)機密，然后抹去他們的蹤跡。其他人可能會測試他們的接入點，并通過暗網(wǎng)將其出售給其他網(wǎng)絡(luò)攻擊者。

　　在一些情況下，網(wǎng)絡(luò)入侵僅出于一個原因：破壞正常的業(yè)務(wù)和服務(wù)，損害企業(yè)的命脈。

　　數(shù)據(jù)泄露對企業(yè)和個人有什么影響？

　　當企業(yè)發(fā)生數(shù)據(jù)泄露時，用戶會對企業(yè)產(chǎn)生不信任感，進而影響用戶的選擇，因此，數(shù)據(jù)泄露事故可能會令企業(yè)失去一批客戶，包括潛在客戶。比如，雅虎郵箱曝出泄密事件后，大批用戶棄用，正在商談收購事宜的雅虎甚至一度難以賣出。

　　經(jīng)濟受損也是最直接的，一方面，數(shù)據(jù)本身就是企業(yè)資產(chǎn)的一部分，當數(shù)據(jù)泄露，這部分數(shù)據(jù)資產(chǎn)拱手讓給別人，對企業(yè)的競爭力會產(chǎn)生威脅，間接提高了成本且減少收益。另一方面，聲譽受損會導(dǎo)致企業(yè)股價下跌、用戶流失，這都將對企業(yè)經(jīng)濟利益產(chǎn)生直接影響。

　　同時還將面臨監(jiān)管處罰甚至是法律訴訟。我國法律明確規(guī)定了企業(yè)的安全合規(guī)義務(wù)，發(fā)生這類安全事件，罰款和整改必不可少，出海業(yè)務(wù)還將面臨GDPR等全球不同地區(qū)的法律監(jiān)管。而受害者除了企業(yè)自身，也可能包括下游客戶或遭受數(shù)據(jù)泄露影響的其他合作者。美國征信巨頭EquiFax發(fā)生1.43億用戶泄露后，面臨一場美國波特蘭聯(lián)邦法庭的集體訴訟，賠償金額高達700億美元。

　　有些數(shù)據(jù)泄露是由于員工惡意行為或內(nèi)部管理不善造成的，通常會引發(fā)高層震蕩，如Uber曝出支付黑客10萬封口費后，時任CSO被罷免。員工對企業(yè)的不信任感和疏離感隨之產(chǎn)生，繼而影響企業(yè)整體的發(fā)展。

　　企業(yè)數(shù)據(jù)泄露事件很大一部分涉及用戶的隱私，個人身份信息（PII）包括姓名、身份證、地址、電子郵件、工作經(jīng)歷、電話號碼、性別以及包括護照和駕照在內(nèi)的文件副本，都可用于進行身份盜用，即有人未經(jīng)許可使用您的信息冒充您。

　　他們可能會使用您的身份或財務(wù)數(shù)據(jù)進行欺詐和犯罪，包括與稅務(wù)有關(guān)的欺詐、以您的名義開設(shè)信貸額度和貸款、醫(yī)療欺詐以及在線進行欺詐性購買。犯罪分子還可能給您使用的應(yīng)用或平臺（例如運營商）打電話，并假裝是您來欺騙客服泄露信息或更改服務(wù)。勒索也是一種可能，當婚外情網(wǎng)站 Ashley Madison 在 遭遇數(shù)據(jù)泄露時，犯罪分子以重金威脅一些用戶要告訴他們的伴侶、朋友和同事他們的活動。

　　這些情況可能會造成財產(chǎn)損失、精神壓力、社交工作生活的受阻、并影響您的財務(wù)信用評分。由于網(wǎng)絡(luò)犯罪是全球性的，執(zhí)法部門可能也很難起訴肇事者。

　　企業(yè)接下來應(yīng)該怎么辦？

　　我們將從技術(shù)和合規(guī)兩個方面給予建議?；ヂ?lián)網(wǎng)企業(yè)以及大部分正在進行數(shù)字化轉(zhuǎn)型的傳統(tǒng)企業(yè)，在網(wǎng)絡(luò)安全與數(shù)據(jù)保護方面并未給予足夠的重視及投入，并且伴隨數(shù)據(jù)價值的凸顯以及數(shù)據(jù)應(yīng)用環(huán)境的變化，許多傳統(tǒng)安全策略已經(jīng)不具備有效的保障。

　　遺憾的是，目前許多企業(yè)的策略非常被動，當事件被曝光或已經(jīng)出現(xiàn)了連帶的受害人事件才知道自身發(fā)生了數(shù)據(jù)泄露，被迫啟動排查和響應(yīng)，僅僅針對單次事件作出必要的交代。

　　無論是監(jiān)管層面還是專業(yè)安全廠商，都極力明確事前的、與時俱進的風險評估、安全部署、主動防御永遠是安全建設(shè)工作最有用也最省錢的做法，不能抱有攻擊不一定會發(fā)生的僥幸心理而拒絕安全投入，一旦發(fā)生安全事故，所需付出的成本可能已不在企業(yè)能承受的范圍內(nèi)。

　　具體的最佳安全實踐沒有標準答案，且會隨著外部環(huán)境與市場需求的變化而變化。安全419長期關(guān)注數(shù)據(jù)安全領(lǐng)域技術(shù)與趨勢發(fā)展，《安全419編輯推薦 | 2021年度優(yōu)秀安全廠商》數(shù)據(jù)安全篇介紹了目前國內(nèi)市場中的部分優(yōu)秀廠商，為企業(yè)滿足合規(guī)要求、保護重要數(shù)據(jù)資產(chǎn)及個人信息提供一定的安全建設(shè)思路。

　　如安恒信息，其提倡以咨詢規(guī)劃創(chuàng)建框架，制定戰(zhàn)略目標，設(shè)計對應(yīng)的組織架構(gòu)和權(quán)責，并填補制度體系的空白。落地階段，以“CAPE數(shù)據(jù)安全能力框架”構(gòu)建風險核查（Check）、數(shù)據(jù)梳理（Assort）、數(shù)據(jù)保護（Protect）以及數(shù)據(jù)威脅監(jiān)控預(yù)警（Examine）四位一體的數(shù)據(jù)安全技術(shù)體系，實現(xiàn)對數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀全生命周期的安全管理和防護。后期，以“運營服務(wù)”實現(xiàn)穩(wěn)定運行和持續(xù)改進，提升項目建設(shè)的價值。

　　昂楷科技，打破“以外防為主建立防護邊界系統(tǒng)”的老思路，提出建立終端、外防、內(nèi)審內(nèi)控的三級聯(lián)動聯(lián)防主動積極防御體系。將安全元數(shù)據(jù)應(yīng)用于數(shù)據(jù)安全治理中，通過安全控制數(shù)據(jù)與生產(chǎn)數(shù)據(jù)的分離，保障數(shù)據(jù)安全的同時，實現(xiàn)安全策略的一致性。方案涵蓋資產(chǎn)梳理、風險評估、主動防御、監(jiān)控審計、態(tài)勢感知、數(shù)據(jù)溯源、數(shù)據(jù)處理等能力，這些數(shù)據(jù)安全能力單元搭配SOC平臺、應(yīng)用安全、終端安全、網(wǎng)絡(luò)安全等其他安全能力單元，集中到擁有自學(xué)習能力的數(shù)據(jù)安全綜合治理平臺上，實現(xiàn)對復(fù)雜威脅的聯(lián)動聯(lián)防，可以覆蓋數(shù)據(jù)從采集到銷毀的全部流轉(zhuǎn)周期。

　　新興技術(shù)打破網(wǎng)絡(luò)安全邊界，讓傳統(tǒng)的基于內(nèi)外網(wǎng)的安全策略失效，這已經(jīng)成為安全建設(shè)工作中最重要的一個變化和趨勢，數(shù)據(jù)安全也深受影響，安全419報道《數(shù)據(jù)安全市場黃金年代開啟？三年內(nèi)該領(lǐng)域誕生多家初創(chuàng)公司》關(guān)注到一批新生代的數(shù)據(jù)安全廠商，通過前沿理念和技術(shù)創(chuàng)新為數(shù)據(jù)安全建設(shè)提供了新的思路。

　　如數(shù)安行，與國內(nèi)首先提出了DataSecOps理念，建立以AI驅(qū)動的零信任數(shù)據(jù)運營安全平臺，對業(yè)務(wù)及網(wǎng)絡(luò)無改造映射數(shù)據(jù)運營全流程，為企業(yè)提供自動化的數(shù)據(jù)價值發(fā)現(xiàn)及數(shù)據(jù)安全服務(wù)，實現(xiàn)隱私數(shù)據(jù)保護、商業(yè)秘密保護和數(shù)據(jù)運營的有效平衡。平臺幫助用戶管理跟蹤各種類型、各種來源的個人隱私數(shù)據(jù)及商業(yè)數(shù)據(jù)，促進數(shù)據(jù)的快速流動及安全協(xié)作共享，滿足數(shù)據(jù)使用的法律合規(guī)要求，防范內(nèi)部數(shù)據(jù)濫用風險，打造以數(shù)據(jù)運營為核心的多數(shù)據(jù)平臺、跨業(yè)務(wù)流程的數(shù)據(jù)安全生態(tài)體系。

　　安全建設(shè)體系之外，從法律合規(guī)角度，企業(yè)應(yīng)該聚焦以下幾點：

　　//正確理解監(jiān)管思維。

　　自凈網(wǎng)2018專項行動以來，公安機關(guān)已全面實行一案雙查制度，指在對網(wǎng)絡(luò)違法犯罪案件開展偵查時，同步啟動對涉案網(wǎng)絡(luò)服務(wù)提供者法定網(wǎng)絡(luò)安全義務(wù)履行情況的監(jiān)督檢查。對拒不履行法定網(wǎng)絡(luò)安全義務(wù)、為網(wǎng)絡(luò)違法犯罪活動提供幫助的網(wǎng)絡(luò)服務(wù)提供者，將依法對其進行嚴厲查處，努力從源頭遏制網(wǎng)絡(luò)違法犯罪案件發(fā)生。

　　也就是說，如果企業(yè)沒有履行網(wǎng)絡(luò)安全和數(shù)據(jù)安全義務(wù)，作為受害者的企業(yè)，不僅自身將承擔各項損失，同時將遭受監(jiān)管部門的處罰。值得注意的是，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》所有罰則均為“雙罰制”，企業(yè)及直接責任人都將遭受處罰。

　　//及時履行報告義務(wù)。

　　數(shù)據(jù)泄露屬于網(wǎng)絡(luò)安全事件，上述法律對于此類事件均規(guī)定了企業(yè)應(yīng)依法向監(jiān)管部門報告的法定義務(wù)。如果發(fā)生重大的數(shù)據(jù)泄露事件，企業(yè)又沒有及時履行報告義務(wù)，大概率將遭到監(jiān)管部門的處罰。需要注意的是，數(shù)安法相關(guān)罰則較為嚴厲，并且新法施行后各地“首案”陸續(xù)出現(xiàn)，給企業(yè)帶來永遠抹不去的負面影響，執(zhí)法力度表明了國家監(jiān)管的決心。

　　//重視客戶數(shù)據(jù)泄露。

　　許多企業(yè)在發(fā)生數(shù)據(jù)泄露之初，并沒有意識到一些潛在的重大風險。比如說網(wǎng)絡(luò)系統(tǒng)內(nèi)存儲的客戶數(shù)據(jù)，包括商務(wù)合同、財務(wù)資料、知識產(chǎn)權(quán)數(shù)據(jù)等可能包含重要商業(yè)秘密的內(nèi)容。此外，如果相關(guān)客戶是上市企業(yè)，數(shù)據(jù)泄露很可能涉及信息披露的問題。

　　法律實踐中，不少發(fā)生數(shù)據(jù)泄露的企業(yè)，可能對自有數(shù)據(jù)發(fā)生泄露毫不在乎，但是，一旦涉及客戶數(shù)據(jù)泄露，相關(guān)客戶是不是這樣考量就很難一概而論了。如果由于自身怠于處置，給客戶帶來了巨大經(jīng)濟損失，巨額索賠的風險恐怕很難避免。

　　//切忌盲目掩蓋事實。

　　不少企業(yè)在發(fā)生數(shù)據(jù)泄露后，企圖通過一定的手段掩蓋事實，主要目的是避免監(jiān)管調(diào)查和負面輿論。這樣的思路看似妙招，但現(xiàn)實中卻很難實現(xiàn)。

　　首先，《網(wǎng)絡(luò)安全法》明確規(guī)定國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度，全球各地無時無刻不在密切監(jiān)測網(wǎng)絡(luò)安全事件，重大數(shù)據(jù)泄露事件無疑是監(jiān)測的重點。而且，黑客一旦得手，必然會在網(wǎng)上主動披露相關(guān)事件，炫耀、勒索、倒賣都會向受害企業(yè)施加巨大的壓力，一旦在網(wǎng)絡(luò)上傳播，容易引發(fā)輿論炒作，將帶來更嚴重的危害性?；谖：π约觿?，監(jiān)管部門大概率會在裁量范圍內(nèi)從嚴從重處罰瞞報企業(yè)。

　　總而言之，數(shù)據(jù)泄露是企業(yè)如今面臨的最嚴峻的安全風險之一，企業(yè)需要從滿足合規(guī)要求和流程、以及保障自身、用戶及合作伙伴的利益方面做出周全的考量和計劃。當我們總是與網(wǎng)友一道從互聯(lián)網(wǎng)上看到自家數(shù)據(jù)滿天飛的新聞，后知后覺地亡羊補牢，其實已經(jīng)錯過了最佳的對抗機會。在下一次泄露事故爆發(fā)之前，請全面提高數(shù)據(jù)安全意識，制定匹配的安全計劃，積極推進實踐并持續(xù)優(yōu)化。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<