數(shù)據(jù)泄露是我們現(xiàn)在每天都能聽聞的安全事件,，它深遠影響著每一個行業(yè),、每一個公司,、每一個人，受害組織可能覆蓋小微企業(yè)到世界500強,，其中,，用戶個人信息的泄露是最突出也是最嚴重的。

　　IBM《2022年數(shù)據(jù)泄露成本報告》估計,，2022年的數(shù)據(jù)泄露成本將達到歷史新高,，平均為435萬美元，這無疑是一個令人生畏的統(tǒng)計數(shù)據(jù),。

　　然而,，人們更多討論的是在事后，企業(yè)將花費巨額成本來修復(fù)受損系統(tǒng),、進行網(wǎng)絡(luò)調(diào)查取證,、改善防御措施和支付法律費用。這些固然重要,，但并不一定包含了涉及數(shù)據(jù)泄露的用戶個人所感受到的所有成本,。以及最關(guān)鍵的，如果不是被曝光（比如在暗網(wǎng)倒賣）,，大多數(shù)企業(yè)和用戶個人甚至都不知道發(fā)生了數(shù)據(jù)泄露,。

　　對于個人而言，成本可能更加個人化,。私人信息被曝光只是第一步,，經(jīng)濟損失可能以營銷騷擾、網(wǎng)絡(luò)詐騙等方式出現(xiàn),，還附帶嚴重的長尾效應(yīng),，對受害人產(chǎn)生持續(xù)的影響。

　　對于企業(yè)而言,，事后的止損,、修復(fù)和加固是必須的，但是為了更長久,、更徹底地解決問題,，事前發(fā)現(xiàn)風(fēng)險、盡量規(guī)避事件的發(fā)生,，全程滿足監(jiān)管的要求,、保證信息及時而透明，才能最大限度改善數(shù)據(jù)安全態(tài)勢,。

　　數(shù)據(jù)泄露是如何發(fā)生的,？

　　根據(jù)IBM的調(diào)研，攻擊者用來入侵企業(yè)網(wǎng)絡(luò)的最常見的初始攻擊手段是使用受損的憑據(jù),，這種方法造成了 20%的數(shù)據(jù)泄露事件,。這些憑據(jù)可能包括在線泄露的賬戶用戶名和密碼，在單獨的安全事件中被盜,，或通過暴力破解,、撞庫等方式獲得。

　　其他潛在的攻擊方法包括：

　　● Magecart攻擊：

　　像英國航空和Ticketmaster等公司都經(jīng)歷過這類攻擊,，惡意代碼被悄悄注入電商支付頁面,，以獲取用戶個人的支付卡信息。

　　● 注入網(wǎng)站域和表單的惡意代碼：

　　相同的策略可用于從客戶和訪問者那里獲取其他形式的數(shù)據(jù),，當(dāng)不知情的受害者訪問合法服務(wù)時,，就可以竊取數(shù)據(jù)。

　　● BEC詐騙：

　　攻擊者偽裝成公司員工,、承包商或服務(wù)提供商,，或直接盜取了他們的賬戶，發(fā)送釣魚郵件,，欺騙內(nèi)部人員提供關(guān)鍵信息或者轉(zhuǎn)賬,。

　　● 內(nèi)部威脅：

　　人是最大的不可控變量，內(nèi)鬼泄密在近年來愈加頻繁,，員工的身份和訪問權(quán)限管理變得尤為重要,。此外還包括供應(yīng)鏈上的威脅,，第三方人員和供應(yīng)商的安全風(fēng)險會連帶影響企業(yè)的數(shù)據(jù)安全。

　　● 疏忽大意：

　　由于配置錯誤而保持開放和在線暴露的服務(wù)應(yīng)用,，是攻擊面暴露和數(shù)據(jù)泄露的主要原因,。同時，員工的意外操作,，比如隨意傳輸存儲,，也造成了相當(dāng)比例的數(shù)據(jù)泄露。

　　攻擊者究竟會做什么,？

　　攻擊者可能首先進行監(jiān)視,，映射網(wǎng)絡(luò)以找出最有價值的資源在哪里，或者發(fā)現(xiàn)潛在的途徑以跳入其他系統(tǒng),。

　　Verizon表示,，71%的數(shù)據(jù)泄露相關(guān)事件是出于經(jīng)濟動機。攻擊者可能會部署勒索軟件來勒索受害者支付費以重新獲得對網(wǎng)絡(luò)的訪問權(quán)限,。在現(xiàn)在流行的“雙重勒索”策略中,，黑客組織可能首先竊取機密信息，然后要挾會將其在網(wǎng)上泄露或轉(zhuǎn)賣,。

　　或者,，有些競爭對手授意的攻擊可能會直接拿走重要的知識產(chǎn)權(quán)和商業(yè)機密，然后抹去他們的蹤跡,。其他人可能會測試他們的接入點,，并通過暗網(wǎng)將其出售給其他網(wǎng)絡(luò)攻擊者。

　　在一些情況下,，網(wǎng)絡(luò)入侵僅出于一個原因：破壞正常的業(yè)務(wù)和服務(wù),，損害企業(yè)的命脈。

　　數(shù)據(jù)泄露對企業(yè)和個人有什么影響,？

　　當(dāng)企業(yè)發(fā)生數(shù)據(jù)泄露時,，用戶會對企業(yè)產(chǎn)生不信任感，進而影響用戶的選擇,，因此,，數(shù)據(jù)泄露事故可能會令企業(yè)失去一批客戶，包括潛在客戶,。比如,，雅虎郵箱曝出泄密事件后，大批用戶棄用,，正在商談收購事宜的雅虎甚至一度難以賣出,。

　　經(jīng)濟受損也是最直接的，一方面，數(shù)據(jù)本身就是企業(yè)資產(chǎn)的一部分,，當(dāng)數(shù)據(jù)泄露,，這部分數(shù)據(jù)資產(chǎn)拱手讓給別人，對企業(yè)的競爭力會產(chǎn)生威脅,，間接提高了成本且減少收益,。另一方面，聲譽受損會導(dǎo)致企業(yè)股價下跌,、用戶流失,，這都將對企業(yè)經(jīng)濟利益產(chǎn)生直接影響,。

　　同時還將面臨監(jiān)管處罰甚至是法律訴訟,。我國法律明確規(guī)定了企業(yè)的安全合規(guī)義務(wù)，發(fā)生這類安全事件,，罰款和整改必不可少,，出海業(yè)務(wù)還將面臨GDPR等全球不同地區(qū)的法律監(jiān)管。而受害者除了企業(yè)自身,，也可能包括下游客戶或遭受數(shù)據(jù)泄露影響的其他合作者,。美國征信巨頭EquiFax發(fā)生1.43億用戶泄露后，面臨一場美國波特蘭聯(lián)邦法庭的集體訴訟,，賠償金額高達700億美元,。

　　有些數(shù)據(jù)泄露是由于員工惡意行為或內(nèi)部管理不善造成的，通常會引發(fā)高層震蕩,，如Uber曝出支付黑客10萬封口費后,，時任CSO被罷免。員工對企業(yè)的不信任感和疏離感隨之產(chǎn)生,，繼而影響企業(yè)整體的發(fā)展,。

　　企業(yè)數(shù)據(jù)泄露事件很大一部分涉及用戶的隱私，個人身份信息（PII）包括姓名,、身份證,、地址、電子郵件,、工作經(jīng)歷,、電話號碼、性別以及包括護照和駕照在內(nèi)的文件副本,，都可用于進行身份盜用,，即有人未經(jīng)許可使用您的信息冒充您。

　　他們可能會使用您的身份或財務(wù)數(shù)據(jù)進行欺詐和犯罪,，包括與稅務(wù)有關(guān)的欺詐,、以您的名義開設(shè)信貸額度和貸款、醫(yī)療欺詐以及在線進行欺詐性購買,。犯罪分子還可能給您使用的應(yīng)用或平臺（例如運營商）打電話,，并假裝是您來欺騙客服泄露信息或更改服務(wù),。勒索也是一種可能，當(dāng)婚外情網(wǎng)站 Ashley Madison 在 遭遇數(shù)據(jù)泄露時,，犯罪分子以重金威脅一些用戶要告訴他們的伴侶,、朋友和同事他們的活動。

　　這些情況可能會造成財產(chǎn)損失,、精神壓力,、社交工作生活的受阻、并影響您的財務(wù)信用評分,。由于網(wǎng)絡(luò)犯罪是全球性的,，執(zhí)法部門可能也很難起訴肇事者。

　　企業(yè)接下來應(yīng)該怎么辦,？

　　我們將從技術(shù)和合規(guī)兩個方面給予建議,。互聯(lián)網(wǎng)企業(yè)以及大部分正在進行數(shù)字化轉(zhuǎn)型的傳統(tǒng)企業(yè),，在網(wǎng)絡(luò)安全與數(shù)據(jù)保護方面并未給予足夠的重視及投入,，并且伴隨數(shù)據(jù)價值的凸顯以及數(shù)據(jù)應(yīng)用環(huán)境的變化，許多傳統(tǒng)安全策略已經(jīng)不具備有效的保障,。

　　遺憾的是,，目前許多企業(yè)的策略非常被動，當(dāng)事件被曝光或已經(jīng)出現(xiàn)了連帶的受害人事件才知道自身發(fā)生了數(shù)據(jù)泄露,，被迫啟動排查和響應(yīng),，僅僅針對單次事件作出必要的交代。

　　無論是監(jiān)管層面還是專業(yè)安全廠商,，都極力明確事前的,、與時俱進的風(fēng)險評估、安全部署,、主動防御永遠是安全建設(shè)工作最有用也最省錢的做法,，不能抱有攻擊不一定會發(fā)生的僥幸心理而拒絕安全投入，一旦發(fā)生安全事故,，所需付出的成本可能已不在企業(yè)能承受的范圍內(nèi),。

　　具體的最佳安全實踐沒有標準答案，且會隨著外部環(huán)境與市場需求的變化而變化,。安全419長期關(guān)注數(shù)據(jù)安全領(lǐng)域技術(shù)與趨勢發(fā)展,，《安全419編輯推薦 | 2021年度優(yōu)秀安全廠商》數(shù)據(jù)安全篇介紹了目前國內(nèi)市場中的部分優(yōu)秀廠商，為企業(yè)滿足合規(guī)要求,、保護重要數(shù)據(jù)資產(chǎn)及個人信息提供一定的安全建設(shè)思路,。

　　如安恒信息，其提倡以咨詢規(guī)劃創(chuàng)建框架，制定戰(zhàn)略目標,，設(shè)計對應(yīng)的組織架構(gòu)和權(quán)責(zé),，并填補制度體系的空白。落地階段,，以“CAPE數(shù)據(jù)安全能力框架”構(gòu)建風(fēng)險核查（Check）,、數(shù)據(jù)梳理（Assort）、數(shù)據(jù)保護（Protect）以及數(shù)據(jù)威脅監(jiān)控預(yù)警（Examine）四位一體的數(shù)據(jù)安全技術(shù)體系,，實現(xiàn)對數(shù)據(jù)采集,、傳輸、存儲,、處理,、交換、銷毀全生命周期的安全管理和防護,。后期,，以“運營服務(wù)”實現(xiàn)穩(wěn)定運行和持續(xù)改進,，提升項目建設(shè)的價值,。

　　昂楷科技，打破“以外防為主建立防護邊界系統(tǒng)”的老思路,，提出建立終端,、外防、內(nèi)審內(nèi)控的三級聯(lián)動聯(lián)防主動積極防御體系,。將安全元數(shù)據(jù)應(yīng)用于數(shù)據(jù)安全治理中,，通過安全控制數(shù)據(jù)與生產(chǎn)數(shù)據(jù)的分離，保障數(shù)據(jù)安全的同時,，實現(xiàn)安全策略的一致性,。方案涵蓋資產(chǎn)梳理、風(fēng)險評估,、主動防御,、監(jiān)控審計、態(tài)勢感知,、數(shù)據(jù)溯源,、數(shù)據(jù)處理等能力，這些數(shù)據(jù)安全能力單元搭配SOC平臺,、應(yīng)用安全,、終端安全、網(wǎng)絡(luò)安全等其他安全能力單元,，集中到擁有自學(xué)習(xí)能力的數(shù)據(jù)安全綜合治理平臺上,，實現(xiàn)對復(fù)雜威脅的聯(lián)動聯(lián)防，可以覆蓋數(shù)據(jù)從采集到銷毀的全部流轉(zhuǎn)周期。

　　新興技術(shù)打破網(wǎng)絡(luò)安全邊界,，讓傳統(tǒng)的基于內(nèi)外網(wǎng)的安全策略失效,，這已經(jīng)成為安全建設(shè)工作中最重要的一個變化和趨勢，數(shù)據(jù)安全也深受影響,，安全419報道《數(shù)據(jù)安全市場黃金年代開啟,？三年內(nèi)該領(lǐng)域誕生多家初創(chuàng)公司》關(guān)注到一批新生代的數(shù)據(jù)安全廠商，通過前沿理念和技術(shù)創(chuàng)新為數(shù)據(jù)安全建設(shè)提供了新的思路,。

　　如數(shù)安行,，與國內(nèi)首先提出了DataSecOps理念，建立以AI驅(qū)動的零信任數(shù)據(jù)運營安全平臺,，對業(yè)務(wù)及網(wǎng)絡(luò)無改造映射數(shù)據(jù)運營全流程,，為企業(yè)提供自動化的數(shù)據(jù)價值發(fā)現(xiàn)及數(shù)據(jù)安全服務(wù)，實現(xiàn)隱私數(shù)據(jù)保護,、商業(yè)秘密保護和數(shù)據(jù)運營的有效平衡,。平臺幫助用戶管理跟蹤各種類型、各種來源的個人隱私數(shù)據(jù)及商業(yè)數(shù)據(jù),，促進數(shù)據(jù)的快速流動及安全協(xié)作共享,，滿足數(shù)據(jù)使用的法律合規(guī)要求，防范內(nèi)部數(shù)據(jù)濫用風(fēng)險,，打造以數(shù)據(jù)運營為核心的多數(shù)據(jù)平臺,、跨業(yè)務(wù)流程的數(shù)據(jù)安全生態(tài)體系。

　　安全建設(shè)體系之外,，從法律合規(guī)角度,，企業(yè)應(yīng)該聚焦以下幾點：

　　//正確理解監(jiān)管思維。

　　自凈網(wǎng)2018專項行動以來,，公安機關(guān)已全面實行一案雙查制度,，指在對網(wǎng)絡(luò)違法犯罪案件開展偵查時，同步啟動對涉案網(wǎng)絡(luò)服務(wù)提供者法定網(wǎng)絡(luò)安全義務(wù)履行情況的監(jiān)督檢查,。對拒不履行法定網(wǎng)絡(luò)安全義務(wù),、為網(wǎng)絡(luò)違法犯罪活動提供幫助的網(wǎng)絡(luò)服務(wù)提供者，將依法對其進行嚴厲查處,，努力從源頭遏制網(wǎng)絡(luò)違法犯罪案件發(fā)生,。

　　也就是說，如果企業(yè)沒有履行網(wǎng)絡(luò)安全和數(shù)據(jù)安全義務(wù),，作為受害者的企業(yè),，不僅自身將承擔(dān)各項損失，同時將遭受監(jiān)管部門的處罰,。值得注意的是,，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》所有罰則均為“雙罰制”,，企業(yè)及直接責(zé)任人都將遭受處罰。

　　//及時履行報告義務(wù),。

　　數(shù)據(jù)泄露屬于網(wǎng)絡(luò)安全事件,，上述法律對于此類事件均規(guī)定了企業(yè)應(yīng)依法向監(jiān)管部門報告的法定義務(wù)。如果發(fā)生重大的數(shù)據(jù)泄露事件,，企業(yè)又沒有及時履行報告義務(wù),，大概率將遭到監(jiān)管部門的處罰。需要注意的是,，數(shù)安法相關(guān)罰則較為嚴厲,，并且新法施行后各地“首案”陸續(xù)出現(xiàn)，給企業(yè)帶來永遠抹不去的負面影響,，執(zhí)法力度表明了國家監(jiān)管的決心,。

　　//重視客戶數(shù)據(jù)泄露。

　　許多企業(yè)在發(fā)生數(shù)據(jù)泄露之初,，并沒有意識到一些潛在的重大風(fēng)險,。比如說網(wǎng)絡(luò)系統(tǒng)內(nèi)存儲的客戶數(shù)據(jù)，包括商務(wù)合同,、財務(wù)資料,、知識產(chǎn)權(quán)數(shù)據(jù)等可能包含重要商業(yè)秘密的內(nèi)容。此外,，如果相關(guān)客戶是上市企業(yè),，數(shù)據(jù)泄露很可能涉及信息披露的問題,。

　　法律實踐中,，不少發(fā)生數(shù)據(jù)泄露的企業(yè)，可能對自有數(shù)據(jù)發(fā)生泄露毫不在乎,，但是,，一旦涉及客戶數(shù)據(jù)泄露，相關(guān)客戶是不是這樣考量就很難一概而論了,。如果由于自身怠于處置,，給客戶帶來了巨大經(jīng)濟損失，巨額索賠的風(fēng)險恐怕很難避免,。

　　//切忌盲目掩蓋事實,。

　　不少企業(yè)在發(fā)生數(shù)據(jù)泄露后，企圖通過一定的手段掩蓋事實,，主要目的是避免監(jiān)管調(diào)查和負面輿論,。這樣的思路看似妙招，但現(xiàn)實中卻很難實現(xiàn),。

　　首先,，《網(wǎng)絡(luò)安全法》明確規(guī)定國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度,，全球各地?zé)o時無刻不在密切監(jiān)測網(wǎng)絡(luò)安全事件，重大數(shù)據(jù)泄露事件無疑是監(jiān)測的重點,。而且,，黑客一旦得手，必然會在網(wǎng)上主動披露相關(guān)事件,，炫耀,、勒索、倒賣都會向受害企業(yè)施加巨大的壓力,，一旦在網(wǎng)絡(luò)上傳播,，容易引發(fā)輿論炒作，將帶來更嚴重的危害性,?；谖：π约觿。O(jiān)管部門大概率會在裁量范圍內(nèi)從嚴從重處罰瞞報企業(yè),。

　　總而言之,，數(shù)據(jù)泄露是企業(yè)如今面臨的最嚴峻的安全風(fēng)險之一，企業(yè)需要從滿足合規(guī)要求和流程,、以及保障自身,、用戶及合作伙伴的利益方面做出周全的考量和計劃。當(dāng)我們總是與網(wǎng)友一道從互聯(lián)網(wǎng)上看到自家數(shù)據(jù)滿天飛的新聞,，后知后覺地亡羊補牢,，其實已經(jīng)錯過了最佳的對抗機會。在下一次泄露事故爆發(fā)之前,，請全面提高數(shù)據(jù)安全意識,，制定匹配的安全計劃，積極推進實踐并持續(xù)優(yōu)化,。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<