鑽石舞台

近日，閃捷信息安全與戰略研究中心重磅發布《2021年度數據泄漏態勢分析報告》（以下簡稱「《報告》」），《報告》通過統計分析2021年國內所發生的數據泄漏事件，結合全球數據泄漏事件的趨勢，從數據泄漏事件、時間、人員、動機、數據源以及個人信息泄漏態勢進行總結分析，多維度呈現2021年國內數據泄漏的態勢全景，並提供2022年數據泄漏的研判預測。

數據泄漏：

2021年數據泄漏事件呈現不斷增長的宏觀態勢，尤其在2021年下半年，數據泄漏事件發生的頻率較高，這與《數據安全法》《個人信息保護法》相繼出台有一定的關係，數據安全相關法律法規將數據安全級別做出清晰劃分，將前期沒有意識到的情況也納入數據泄漏範疇。

與2020年相比，2021年數據泄漏所占比例進一步上升，占所有數據安全事件類型的80%，其中以獲利為目的的數據泄漏事件占比最高，同為80%，可見造成數據泄漏，仍然是利益驅動。

從數據的全生命周期階段分析數據泄漏發現，2021年數據泄漏發生在存儲階段的占比最高，接近40%，其次是數據使用階段，占比接近30%，都屬於數據泄漏的高風險階段和數據安全防禦的重點階段，應給予重視。

個人信息泄漏：

通過對各大行業的個人信息泄漏態勢調查分析發現，個人信息泄漏最嚴重的是互聯網行業，占比為27%，互聯網行業數據安全建設實質性投入少，成為個人信息泄漏的重災區。另外，個人信息的泄漏，還會通過地下市場流向黑灰產業，對社會造成二次危害。

本報告將泄漏的個人信息進行危險等級評估，分為低等危害（19%）、中等危害（12%）、高等危害（29%）和嚴重危害（32%），這樣的分類分級有助於組織機構根據評估等級選擇不同級別的響應措施。

分析總結：

風險監測能力不足：目前大多數組織機構對數據泄漏事件的風險監測能力不足，未能在發生數據泄漏事件時，及時採取應急措施減少損失。

數據云端化趨勢：業務上雲這樣的新型IT架構讓很多組織機構不能及時了解其安全風險，數據存放在傳統的網絡安全邊界之外，責任邊界、安全風險對組織機構來說都模糊不清。

雙重勒索常態化：數據泄漏事件同時伴隨勒索攻擊行為，發生勒索攻擊+數據泄漏事件占比正逐年遞增，攻擊者以公開敏感數據為要挾，比以加密數據為籌碼更具殺傷力。

數據安全能力需要體系化建設：數據安全風險存在於數據全生命周期中，任何一個環節的漏洞都將會導致整個數據安全防護體系功虧一簣，僅依賴於若干孤立產品進行安全防護，已不能應對當前複雜的數據泄漏場景。

加強全流程數據安全風險監控：儘早發現數據安全風險並進行處置，是減少安全事件，降低損失的最佳辦法。對數據安全的風險監控應重點從安全措施稽核、操作行為監測、系統漏洞監測三個維度考慮，對監測數據分類分級，進行風險評估和處置。

加強企業雲上數據防護：沒有實施保護措施而將數據上雲，幾乎等同於直接把數據公開。建議數據上雲的企業對上雲的數據進行分類分級、對業務數據進行梳理，明確數據使用場景，同時提升員工的數據安全保護意識。

數據防泄漏與數據防勒索並重：傳統的數據防勒索方案無法發現數據泄漏行為，完善的防勒索方案除了防止數據被加密、不可用，還需要能夠識別並防範數據泄漏行為，真正杜絕被勒索。

對數據進行分類分級保護：數據分級分類是建設合理數據安全體系的前提基礎，對數據分類分級能夠正確地評估數據所面臨的風險，制定差異化的防護策略。

回顧2021年發生的多起數據泄漏事件，不論是從數據泄漏的規模、數量、影響程度，都呈現擴張的趨勢，數據泄漏場景愈加複雜多變，閃捷信息安全與戰略研究中心建議，組織機構應密切關注數據安全局勢，不斷排查數據安全隱患，做好整體數據安全規劃，防患於未然。

掃描二維碼，下載完整版《2021年度數據泄漏態勢分析報告》