2023中国政企机构数据安全风险研究报告
VIP专享
1
主要观点
数据泄露是数据安全领域的核心问题。在 2023 年全球公开报道的 246 起数据安全事件
中,数据泄露事件占比高达 67.5%,泄露数据超过 51.8TB,共计 103.8 亿条。不过,媒
体公开报道的数据泄露事件可能只是数据泄露问题的冰山一角。奇安信威胁情报中心监
测显示,2023 年1~11 月,仅在暗网及黑产平台上交易的境内机构泄露数据就多达 60.8TB,
共计 720.4 亿条,两项指标双双超过全球媒体公开报道事件的统计数据。
数据勒索的高额收益可能进一步推高政企机构数据泄露安全风险。研究显示,越来越多
的勒索团伙正在抛弃“加密勒索”这种传统攻击方式,而是转向单纯的“数据勒索”,
即单纯的以窃取机密数据并威胁将之公开的方式向政企机构进行勒索。2023 年,全球
赎金最高的 10 起勒索组织攻击事件,平均勒索赎金高达 2397 万美元,其中 7起事件都
是单纯的数据勒索事件。数据勒索带来的巨大收益很有可能会吸引越来越多的黑产团伙
参与其中。
个人信息是数据泄露和黑产交易的主要数据类型,严重危害公民和社会安全。在境内机
构泄露的数据中,涉及个人信息的数据多达 586.8 亿条,相当于 14 亿中国人平均每人
泄露了约 42 条个人信息数据。其中,互联网、IT 信息技术和能源行业是泄露数据量最
多的行业。
网盘、文库、代码托管等互联网知识共享平台也是数据泄露的重要渠道,但尚未得到绝
大多数政企机构的充分重视。其中,金融行业对此类问题最为重视,而医疗卫生、互联
网和教育行业,通过互联网知识共享平台泄露数据的风险相对于其他行业更高。研究显
示,合作伙伴和内部人员是互联网知识共享平台数据泄露事件的主要“元凶”,二者之
和占比达到 54.6%。加强合作伙伴管理和员工安全意识培训,是数据安全的重要保障。
API 安全是数据安全的重要一环,平均每家机构约有 206 个API 接口会用来传输敏感数
据。汽车制造业的“潜在”数据安全风险最大,其传输敏感数据的 API 接口数平均超过
900 个,传输敏感字段多达 332 个,这两项指标均是其他行业的 3~7倍。同时,汽车制
造业 API 接口传输的个人信息也最多,其中涉及的自然人的数量,是金融、能源、医疗
等行业的 30~70 倍,可谓“遥遥领先”。由此可见,在智能网联汽车的发展中,数据安
全至关重要。
解决数据跨境流转问题,需要科学的规划和必要的技术手段。调查显示,尽管很多存在
海外业务的机构已经在积极开展跨境数据流转的治理工作,但仍普遍缺乏科学的、整体
的数据安全规划,特别是严重缺乏必要的技术手段。而对于绝大多数没有海外分支机构
的政企单位而言,往往没有意识到其可能存在的跨境数据流转风险。
数据安全建设,应当遵循内生安全原则,从设计规划之初就把数据分类分级、数据防泄
露、防勒索、API 安全、跨境数据治理等关键问题列入整体规划,确保数据安全工作与
数字化建设同步规划、同步建设、同步运行,用系统性的方法解决数字系统的安全问题。
摘 要
2023 年1月~12 月,《安全内参》共收录全球政企机构重大数据安全新闻事件 246 起,
平均每月 20.5 起,其中,数据泄露事件为166 起,占比 67.4%,泄露数据超过 51.8TB,
共计 103.8 亿条。
2023 年1月~12 月,全球政企机构重大数据安全公开事件中,18.6%为政府机构;其次
是制造业,占比 15.9%为;生活服务行业排第三,占比 11.8%。
数据安全事件发生的原因来看,将近八成安全事件是由于外部攻击导致的,但也有 8.0%
的重大数据安全事件是由于政企机构存在内鬼。
在全球重大数据安全公开事件中,44.1%的事件涉及个人信息;26.8%的事件涉及商业机
密;9.1%的事件涉及政府机密。
2023 年,奇安信威胁情报中心累计监测到境内政企机构数据泄露事件 144 起,共泄露
数据超过 720.4 亿条,合计约有 60.8TB。其中 61.1%的事件,泄露的数据涉及个人信息,
合计约有 586.8 亿条,相当于 14 亿中国人平均每人泄露了约 42 条个人信息数据。另有
41.7%的事件涉及商业机密。
2023 年,网络安全威胁情报生态联盟(CEATI 联盟)成员天际友盟共监测到互联网知识
共享平台数据泄露事件 4760 起,涉及 16 个行业的 112 个家机构。其中,金融行业对此
类问题最为重视,而医疗卫生、互联网和教育行业机构存在此类问题的风险更高。
合作伙伴和内部人员是互联网知识共享平台数据泄露事件的主要“元凶”,二者之和占
比达到 54.6%。
2023 年,奇安信集团共为 128 家大型政企机构提供了 API 安全检测服务。抽样分析显
示,平均每家机构约有 206 个API 接口会用来传输敏感数据,约占 API 接口总数的 2.5%。
不同行业机构的敏感数据传输情况有很大差异。其中,汽车制造业企业传输敏感数据的
API 接口多达 931 个,涉及敏感字段多达 332 个,是其他行业的 3~7倍。
在针对 90 余个大型综合性系统的跨境数据合规检测中发现,从数据规模来看,在所有
跨境传输的数据中,个人一般信息占比约为 66.7%,敏感个人信息占比约为 3.7%,重要
数据占比约为 29.6%。
在跨境传输的敏感个人信息中,姓名、手机号、车架号、电子邮件地址、家庭住址、身
份证号等敏感关键字段出现最为频繁。
关键词:数据安全、数据要素、公开事件、互联网平台、数据泄露、数据破坏、数据篡
改、勒索、商业机密、个人信息
摘要:
展开>>
收起<<
1主要观点数据泄露是数据安全领域的核心问题。在2023年全球公开报道的246起数据安全事件中,数据泄露事件占比高达67.5%,泄露数据超过51.8TB,共计103.8亿条。不过,媒体公开报道的数据泄露事件可能只是数据泄露问题的冰山一角。奇安信威胁情报中心监测显示,2023年1~11月,仅在暗网及黑产平台上交易的境内机构泄露数据就多达60.8TB,共计720.4亿条,两项指标双双超过全球媒体公开报道事件的统计数据。数据勒索的高额收益可能进一步推高政企机构数据泄露安全风险。研究显示,越来越多的勒索团伙正在抛弃“加密勒索”这种传统攻击方式,而是转向单纯的“数据勒索”,即单纯的以窃取机密数据并威胁...
相关推荐
-
免费2024-03-09 84
-
免费2024-03-09 32
-
免费2024-04-15 51
-
免费2024-04-24 41
-
免费2024-05-19 51
-
免费2024-05-19 98
-
免费2024-05-19 87
-
免费2024-05-30 87
-
VIP专享2024-08-04 44
-
VIP专享2024-08-12 95
作者:波段之刀2024
分类:电子书
价格:免费
属性:44 页
大小:4.14MB
格式:PDF
时间:2024-10-26