全文共2576字,阅读大约需5分钟。
近日,绿盟科技发布《网络安全2022:守望高质量》报告,报告集合了绿盟科技在区域威胁、漏洞态势、恶意软件、数据安全、物联网安全、工业互联网安全和5G安全等方向的网络安全观察。其中,数据安全是国内外讨论的热点话题,2021年有太多数据安全事件值得回顾和盘点,如大规模泄露与国内源代码泄露、《数据安全法》和《个人信息保护法》双双实施、国内数据安全执法“重拳出击”、“隐私增强计算”技术发展迅速。本文基于报告数据安全观察相关章节,从国内外数据泄露、数据安全监管及数据安全技术三个维度进行解读。
数据泄露事件频发,数据安全形势严峻
观察1:2021年全球大规模数据泄露事件频发,黑客攻击、互联网暴露与配置错误等成为造成该问题的主要元凶。
据Risk Based Security(RBS)机构的数据泄露报告显示,2021年度全球公开披露的数据泄露事件有4145起,共导致227.7亿条数据泄露。庞大的数字触目惊心,安全问题不可忽视。从RBS报告披露情况来看,大部分事件与黑客攻击、病毒、Web暴露和邮件泄露等原因有关。
数据安全泄露事件的原因分析[1]
其中,大规模数据泄露事件频频发生,其中包含亿级别的个人信息和敏感数据。究其缘由,黑客攻击和Web暴露也是主要原因。
大规模数据泄露事件
建议:为了降低数据泄露风险,企业可采取以下多重安全措施:(1) 定期开展安全意识培训,提高员工对数据安全风险的认知和警觉;(2) 梳理重要数据服务器与资产,围绕数据资产开展安全防护措施,如定期进行漏洞扫描与配置检查、更新软件补丁、进行身份权限管控、部署数据库防火墙等;(3) 对敏感数据进行全生命周期的安全防护,如采取敏感数据发现、分类分级、数据脱敏与效果评估、数据加密、隐私计算等安全措施。
观察2:根据绿盟威胁情报中心统计,在2021年的源代码泄露事件中,金融和政府行业泄露形势最为严峻,其中绝大部分为包含账号密码、业务代码、服务器密钥泄露的高风险事件。
根据绿盟威胁情报中心统计,金融行业位居2021年涉及国内政府和企事业单位的源代码泄露事件首位,占比44%,其次是政府和能源行业,分别占比27%和9%。这些泄露代码会对组织和机构造成持续性威胁,攻击者可能利用泄露的源代码分析发现漏洞,并对系统安全进行渗透,上传恶意程序获取访问权限,从而窃取关键敏感信息,或进行勒索攻击,这些威胁隐患都将给组织带来不可预计的损失。
源代码泄露事件行业分布
数据安全立法监管不断强化
观察3:新的数据安全与隐私立法成为全球趋势。
根据联合国贸易发展组织(UNCTAD)统计,截至2022年2月21日,全球约80%的国家(共194个国家)已完成数据安全和隐私立法,或已提出法律草案,其中包括欧盟成员国、美国、中国、俄罗斯、印度、澳大利亚、加拿大和日本等。随着数字化转型的不断深入,数据安全与隐私问题形势越来越严峻,现代化的数据安全与隐私保护立法成为全球趋势。
全球数据隐私立法分布图[2]
观察4:2021年欧盟GDPR执法进入“深水区”,互联网、电信行业成为重灾区。
根据GDPR执法跟踪网站enforcementtracker.com相关统计,截至2021年11月26日,欧盟成员国在2021年共开出362件罚单,而2018年至2020年三年仅有491件。此外,2021年GDPR罚单的总金额高达约10.6亿欧元,而过去三年的罚款总额仅为2.4亿欧元,相当于以往三年的4.42倍。同时据该网站统计,GDPR单次罚款金额的最高前十名可以看出,世界三家巨头数字企业亚马逊、Facebook、谷歌均被高额罚款。从罚款企业的所属行业来看,互联网和电信行业已经成为重灾区,这与该行业的大型平台企业存储了大量个人隐私数据,以及面向用户的丰富业务有关,同时也侧面说明数字化和信息化程度高的企业面临着更大的合规压力,需要进行系统数据安全与隐私合规的建设和投入。
GDPR单次罚款事件金额最高企业及罚款金额
观察5:2021年国内《数据安全法》和《个人信息保护法》双双实施,配套法规、标准密集发布,相关法律法规逐步体系化。
我国分别于2021年9月1日和11月1日正式实施《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》。作为两部综合性法律,《数据安全法》更强调总体国家安全观,对国家利益、公共利益和个人、组织合法权益方面给予全面保护,《个人信息保护法》则更加侧重于对个人信息、隐私等涉及公民自身安全方面进行个人信息与权益保护。此外,2021年国内数据安全法规、政策、标准也密集发布。
2021年国内数据安全法规事件
观察6:2021年国内多部门、多领域开展数据安全执法,其中针对APP侵权和个人信息犯罪的执法是重中之重。
2021年国内数据安全执法事件主要集中于App个人信息侵权的整治和个人信息非法售卖。从执法部门应用的执法依据来看,在《数据安全法》和《个人信息保护法》发布之前,执法依据是一些分散在各个法律法规的条款。而当综合性的法规实施后,执法依据更加全面和具体,企业不得不重视数据安全与隐私的合规性要求。
2021年国内数据安全执法事件
数据安全创新技术不断涌现
观察7:数据隐私合规催生了丰富的数据安全需求与场景,同时给以联邦学习、安全多方计算为代表的新兴技术带来了巨大的发展机遇。
Gartner在《2021年隐私成熟度曲线》报告中预测:2023年之前全球80%以上的企业将面临至少一项以隐私为重点的数据安全保护规定;到2024年以数据隐私驱动的合规投入将突破150亿美元。由此可见,数据安全合规未来拥有广阔的市场需求与应用场景。
传统网络安全技术与手段如防火墙、入侵检测、身份认证等难以满足现有数据安全的需求,近年来数据安全技术不断推陈出新,新技术、新方法如雨后春笋一般不断涌现。据Gartner再次预测,到2025年60%的大型企业组织将在分析、商业智能或云计算中使用一种或多种隐私增强计算技术。其中,隐私增强计算(Privacy-enhancing Computing),在国内也通常称为隐私计算技术,是具有隐私保护能力的技术体系,包括一系列密码学和隐私保护技术,如安全多方计算 (Secure Multi-party Computation, SMPC)、联邦学习(Federated Machine Learning, FML)、机密计算(Confidential Computing, CC)、同态加密(Homomorphic Encryption, HE)、差分隐私(Differential Privacy, DP)和零知识证明(Zero-Knowledge Proofs, ZKP)等。在Gartner2021的隐私成熟度曲线中,这些技术大部分处于创新触发期,说明这些新兴技术未来仍有较大的发展与应用空间。
Gartner 2021年隐私成熟度曲线[3]
报告下载
在绿盟科技公众号后台回复“网络安全2022”可获取下载链接,在绿盟科技官方公众号中点击【绿盟精选】-【绿盟书橱】可直接阅读。
· 参考文献 ·
[1] RiskBasedSecurity, 2021 Year End Report: Data Breach QuickView.
[2] https://unctad.org/page/data-protection-and-privacy-legislation-worldwide
[3] Gartner, Hype Cycle for Privacy, 2021.