數據泄露是我們現在每天都能聽聞的安全事件，它深遠影響著每一個行業(yè)、每一個公司、每一個人，受害組織可能覆蓋小微企業(yè)到世界500強，其中，用戶個人信息的泄露是最突出也是最嚴重的。

　　IBM《2022年數據泄露成本報告》估計，2022年的數據泄露成本將達到歷史新高，平均為435萬美元，這無疑是一個令人生畏的統(tǒng)計數據。

　　然而，人們更多討論的是在事后，企業(yè)將花費巨額成本來修復受損系統(tǒng)、進行網絡調查取證、改善防御措施和支付法律費用。這些固然重要，但并不一定包含了涉及數據泄露的用戶個人所感受到的所有成本。以及最關鍵的，如果不是被曝光（比如在暗網倒賣），大多數企業(yè)和用戶個人甚至都不知道發(fā)生了數據泄露。

　　對于個人而言，成本可能更加個人化。私人信息被曝光只是第一步，經濟損失可能以營銷騷擾、網絡詐騙等方式出現，還附帶嚴重的長尾效應，對受害人產生持續(xù)的影響。

　　對于企業(yè)而言，事后的止損、修復和加固是必須的，但是為了更長久、更徹底地解決問題，事前發(fā)現風險、盡量規(guī)避事件的發(fā)生，全程滿足監(jiān)管的要求、保證信息及時而透明，才能最大限度改善數據安全態(tài)勢。

　　數據泄露是如何發(fā)生的？

　　根據IBM的調研，攻擊者用來入侵企業(yè)網絡的最常見的初始攻擊手段是使用受損的憑據，這種方法造成了 20%的數據泄露事件。這些憑據可能包括在線泄露的賬戶用戶名和密碼，在單獨的安全事件中被盜，或通過暴力破解、撞庫等方式獲得。

　　其他潛在的攻擊方法包括：

　　● Magecart攻擊：

　　像英國航空和Ticketmaster等公司都經歷過這類攻擊，惡意代碼被悄悄注入電商支付頁面，以獲取用戶個人的支付卡信息。

　　● 注入網站域和表單的惡意代碼：

　　相同的策略可用于從客戶和訪問者那里獲取其他形式的數據，當不知情的受害者訪問合法服務時，就可以竊取數據。

　　● BEC詐騙：

　　攻擊者偽裝成公司員工、承包商或服務提供商，或直接盜取了他們的賬戶，發(fā)送釣魚郵件，欺騙內部人員提供關鍵信息或者轉賬。

　　● 內部威脅：

　　人是最大的不可控變量，內鬼泄密在近年來愈加頻繁，員工的身份和訪問權限管理變得尤為重要。此外還包括供應鏈上的威脅，第三方人員和供應商的安全風險會連帶影響企業(yè)的數據安全。

　　● 疏忽大意：

　　由于配置錯誤而保持開放和在線暴露的服務應用，是攻擊面暴露和數據泄露的主要原因。同時，員工的意外操作，比如隨意傳輸存儲，也造成了相當比例的數據泄露。

　　攻擊者究竟會做什么？

　　攻擊者可能首先進行監(jiān)視，映射網絡以找出最有價值的資源在哪里，或者發(fā)現潛在的途徑以跳入其他系統(tǒng)。

　　Verizon表示，71%的數據泄露相關事件是出于經濟動機。攻擊者可能會部署勒索軟件來勒索受害者支付費以重新獲得對網絡的訪問權限。在現在流行的“雙重勒索”策略中，黑客組織可能首先竊取機密信息，然后要挾會將其在網上泄露或轉賣。

　　或者，有些競爭對手授意的攻擊可能會直接拿走重要的知識產權和商業(yè)機密，然后抹去他們的蹤跡。其他人可能會測試他們的接入點，并通過暗網將其出售給其他網絡攻擊者。

　　在一些情況下，網絡入侵僅出于一個原因：破壞正常的業(yè)務和服務，損害企業(yè)的命脈。

　　數據泄露對企業(yè)和個人有什么影響？

　　當企業(yè)發(fā)生數據泄露時，用戶會對企業(yè)產生不信任感，進而影響用戶的選擇，因此，數據泄露事故可能會令企業(yè)失去一批客戶，包括潛在客戶。比如，雅虎郵箱曝出泄密事件后，大批用戶棄用，正在商談收購事宜的雅虎甚至一度難以賣出。

　　經濟受損也是最直接的，一方面，數據本身就是企業(yè)資產的一部分，當數據泄露，這部分數據資產拱手讓給別人，對企業(yè)的競爭力會產生威脅，間接提高了成本且減少收益。另一方面，聲譽受損會導致企業(yè)股價下跌、用戶流失，這都將對企業(yè)經濟利益產生直接影響。

　　同時還將面臨監(jiān)管處罰甚至是法律訴訟。我國法律明確規(guī)定了企業(yè)的安全合規(guī)義務，發(fā)生這類安全事件，罰款和整改必不可少，出海業(yè)務還將面臨GDPR等全球不同地區(qū)的法律監(jiān)管。而受害者除了企業(yè)自身，也可能包括下游客戶或遭受數據泄露影響的其他合作者。美國征信巨頭EquiFax發(fā)生1.43億用戶泄露后，面臨一場美國波特蘭聯邦法庭的集體訴訟，賠償金額高達700億美元。

　　有些數據泄露是由于員工惡意行為或內部管理不善造成的，通常會引發(fā)高層震蕩，如Uber曝出支付黑客10萬封口費后，時任CSO被罷免。員工對企業(yè)的不信任感和疏離感隨之產生，繼而影響企業(yè)整體的發(fā)展。

　　企業(yè)數據泄露事件很大一部分涉及用戶的隱私，個人身份信息（PII）包括姓名、身份證、地址、電子郵件、工作經歷、電話號碼、性別以及包括護照和駕照在內的文件副本，都可用于進行身份盜用，即有人未經許可使用您的信息冒充您。

　　他們可能會使用您的身份或財務數據進行欺詐和犯罪，包括與稅務有關的欺詐、以您的名義開設信貸額度和貸款、醫(yī)療欺詐以及在線進行欺詐性購買。犯罪分子還可能給您使用的應用或平臺（例如運營商）打電話，并假裝是您來欺騙客服泄露信息或更改服務。勒索也是一種可能，當婚外情網站 Ashley Madison 在 遭遇數據泄露時，犯罪分子以重金威脅一些用戶要告訴他們的伴侶、朋友和同事他們的活動。

　　這些情況可能會造成財產損失、精神壓力、社交工作生活的受阻、并影響您的財務信用評分。由于網絡犯罪是全球性的，執(zhí)法部門可能也很難起訴肇事者。

　　企業(yè)接下來應該怎么辦？

　　我們將從技術和合規(guī)兩個方面給予建議?；ヂ摼W企業(yè)以及大部分正在進行數字化轉型的傳統(tǒng)企業(yè)，在網絡安全與數據保護方面并未給予足夠的重視及投入，并且伴隨數據價值的凸顯以及數據應用環(huán)境的變化，許多傳統(tǒng)安全策略已經不具備有效的保障。

　　遺憾的是，目前許多企業(yè)的策略非常被動，當事件被曝光或已經出現了連帶的受害人事件才知道自身發(fā)生了數據泄露，被迫啟動排查和響應，僅僅針對單次事件作出必要的交代。

　　無論是監(jiān)管層面還是專業(yè)安全廠商，都極力明確事前的、與時俱進的風險評估、安全部署、主動防御永遠是安全建設工作最有用也最省錢的做法，不能抱有攻擊不一定會發(fā)生的僥幸心理而拒絕安全投入，一旦發(fā)生安全事故，所需付出的成本可能已不在企業(yè)能承受的范圍內。

　　具體的最佳安全實踐沒有標準答案，且會隨著外部環(huán)境與市場需求的變化而變化。安全419長期關注數據安全領域技術與趨勢發(fā)展，《安全419編輯推薦 | 2021年度優(yōu)秀安全廠商》數據安全篇介紹了目前國內市場中的部分優(yōu)秀廠商，為企業(yè)滿足合規(guī)要求、保護重要數據資產及個人信息提供一定的安全建設思路。

　　如安恒信息，其提倡以咨詢規(guī)劃創(chuàng)建框架，制定戰(zhàn)略目標，設計對應的組織架構和權責，并填補制度體系的空白。落地階段，以“CAPE數據安全能力框架”構建風險核查（Check）、數據梳理（Assort）、數據保護（Protect）以及數據威脅監(jiān)控預警（Examine）四位一體的數據安全技術體系，實現對數據采集、傳輸、存儲、處理、交換、銷毀全生命周期的安全管理和防護。后期，以“運營服務”實現穩(wěn)定運行和持續(xù)改進，提升項目建設的價值。

　　昂楷科技，打破“以外防為主建立防護邊界系統(tǒng)”的老思路，提出建立終端、外防、內審內控的三級聯動聯防主動積極防御體系。將安全元數據應用于數據安全治理中，通過安全控制數據與生產數據的分離，保障數據安全的同時，實現安全策略的一致性。方案涵蓋資產梳理、風險評估、主動防御、監(jiān)控審計、態(tài)勢感知、數據溯源、數據處理等能力，這些數據安全能力單元搭配SOC平臺、應用安全、終端安全、網絡安全等其他安全能力單元，集中到擁有自學習能力的數據安全綜合治理平臺上，實現對復雜威脅的聯動聯防，可以覆蓋數據從采集到銷毀的全部流轉周期。

　　新興技術打破網絡安全邊界，讓傳統(tǒng)的基于內外網的安全策略失效，這已經成為安全建設工作中最重要的一個變化和趨勢，數據安全也深受影響，安全419報道《數據安全市場黃金年代開啟？三年內該領域誕生多家初創(chuàng)公司》關注到一批新生代的數據安全廠商，通過前沿理念和技術創(chuàng)新為數據安全建設提供了新的思路。

　　如數安行，與國內首先提出了DataSecOps理念，建立以AI驅動的零信任數據運營安全平臺，對業(yè)務及網絡無改造映射數據運營全流程，為企業(yè)提供自動化的數據價值發(fā)現及數據安全服務，實現隱私數據保護、商業(yè)秘密保護和數據運營的有效平衡。平臺幫助用戶管理跟蹤各種類型、各種來源的個人隱私數據及商業(yè)數據，促進數據的快速流動及安全協作共享，滿足數據使用的法律合規(guī)要求，防范內部數據濫用風險，打造以數據運營為核心的多數據平臺、跨業(yè)務流程的數據安全生態(tài)體系。

　　安全建設體系之外，從法律合規(guī)角度，企業(yè)應該聚焦以下幾點：

　　//正確理解監(jiān)管思維。

　　自凈網2018專項行動以來，公安機關已全面實行一案雙查制度，指在對網絡違法犯罪案件開展偵查時，同步啟動對涉案網絡服務提供者法定網絡安全義務履行情況的監(jiān)督檢查。對拒不履行法定網絡安全義務、為網絡違法犯罪活動提供幫助的網絡服務提供者，將依法對其進行嚴厲查處，努力從源頭遏制網絡違法犯罪案件發(fā)生。

　　也就是說，如果企業(yè)沒有履行網絡安全和數據安全義務，作為受害者的企業(yè)，不僅自身將承擔各項損失，同時將遭受監(jiān)管部門的處罰。值得注意的是，《網絡安全法》《數據安全法》所有罰則均為“雙罰制”，企業(yè)及直接責任人都將遭受處罰。

　　//及時履行報告義務。

　　數據泄露屬于網絡安全事件，上述法律對于此類事件均規(guī)定了企業(yè)應依法向監(jiān)管部門報告的法定義務。如果發(fā)生重大的數據泄露事件，企業(yè)又沒有及時履行報告義務，大概率將遭到監(jiān)管部門的處罰。需要注意的是，數安法相關罰則較為嚴厲，并且新法施行后各地“首案”陸續(xù)出現，給企業(yè)帶來永遠抹不去的負面影響，執(zhí)法力度表明了國家監(jiān)管的決心。

　　//重視客戶數據泄露。

　　許多企業(yè)在發(fā)生數據泄露之初，并沒有意識到一些潛在的重大風險。比如說網絡系統(tǒng)內存儲的客戶數據，包括商務合同、財務資料、知識產權數據等可能包含重要商業(yè)秘密的內容。此外，如果相關客戶是上市企業(yè)，數據泄露很可能涉及信息披露的問題。

　　法律實踐中，不少發(fā)生數據泄露的企業(yè)，可能對自有數據發(fā)生泄露毫不在乎，但是，一旦涉及客戶數據泄露，相關客戶是不是這樣考量就很難一概而論了。如果由于自身怠于處置，給客戶帶來了巨大經濟損失，巨額索賠的風險恐怕很難避免。

　　//切忌盲目掩蓋事實。

　　不少企業(yè)在發(fā)生數據泄露后，企圖通過一定的手段掩蓋事實，主要目的是避免監(jiān)管調查和負面輿論。這樣的思路看似妙招，但現實中卻很難實現。

　　首先，《網絡安全法》明確規(guī)定國家建立網絡安全監(jiān)測預警和信息通報制度，全球各地無時無刻不在密切監(jiān)測網絡安全事件，重大數據泄露事件無疑是監(jiān)測的重點。而且，黑客一旦得手，必然會在網上主動披露相關事件，炫耀、勒索、倒賣都會向受害企業(yè)施加巨大的壓力，一旦在網絡上傳播，容易引發(fā)輿論炒作，將帶來更嚴重的危害性?；谖：π约觿?，監(jiān)管部門大概率會在裁量范圍內從嚴從重處罰瞞報企業(yè)。

　　總而言之，數據泄露是企業(yè)如今面臨的最嚴峻的安全風險之一，企業(yè)需要從滿足合規(guī)要求和流程、以及保障自身、用戶及合作伙伴的利益方面做出周全的考量和計劃。當我們總是與網友一道從互聯網上看到自家數據滿天飛的新聞，后知后覺地亡羊補牢，其實已經錯過了最佳的對抗機會。在下一次泄露事故爆發(fā)之前，請全面提高數據安全意識，制定匹配的安全計劃，積極推進實踐并持續(xù)優(yōu)化。

更多信息可以來這里獲取==>>電子技術應用-AET<<