2023中国政企机构数据安全风险研究报告
数据泄露是数据安全领域的核心问题。在2023年全球公开报道的246起数据安全事件中,数据泄露事件占比高达67.5%,泄露数据超过51.8TB,共计103.8亿条。不过,媒体公开报道的数据泄露事件可能只是数据泄露问题的冰山一角。奇安信威胁情报中心监测显示,2023年1~11月,仅在暗网及黑产平台上交易的境内机构泄露数据就多达60.8TB,共计720.4亿条,两项指标双双超过全球媒体公开报道事件的统计数据。?数据勒索的高额收益可能进一步推高政企机构数据泄露安全风险。研究显示,越来越多的勒索团伙正在抛弃“加密勒索”这种传统攻击方式,而是转向单纯的“数据勒索”,即单纯的以窃取机密数据并威胁将之公开的方式向政企机构进行勒索。2023年,全球赎金最高的10起勒索组织攻击事件,平均勒索赎金高达2397万美元,其中7起事件都是单纯的数据勒索事件。数据勒索带来的巨大收益很有可能会吸引越来越多的黑产团伙参与其中。?个人信息是数据泄露和黑产交易的主要数据类型,严重危害公民和社会安全。在境内机构泄露的数据中,涉及个人信息的数据多达586.8亿条,相当于14亿中国人平均每人泄露了约42条个人信息数据。其中,互联网、IT信息技术和能源行业是泄露数据量最多的行业。?网盘、文库、代码托管等互联网知识共享平台也是数据泄露的重要渠道,但尚未得到绝大多数政企机构的充分重视。其中,金融行业对此类问题最为重视,而医疗卫生、互联网和教育行业,通过互联网知识共享平台泄露数据的风险相对于其他行业更高。研究显示,合作伙伴和内部人员是互联网知识共享平台数据泄露事件的主要“元凶”,二者之和占比达到54.6%。加强合作伙伴管理和员工安全意识培训,是数据安全的重要保障。?API安全是数据安全的重要一环,平均每家机构约有206个API接口会用来传输敏感数据。汽车制造业的“潜在”数据安全风险最大,其传输敏感数据的API接口数平均超过900个,传输敏感字段多达332个,这两项指标均是其他行业的3~7倍。同时,汽车制造业API接口传输的个人信息也最多,其中涉及的自然人的数量,是金融、能源、医疗等行业的30~70倍,可谓“遥遥领先”。由此可见,在智能网联汽车的发展中,数据安全至关重要。?解决数据跨境流转问题,需要科学的规划和必要的技术手段。调查显示,尽管很多存在海外业务的机构已经在积极开展跨境数据流转的治理工作,但仍普遍缺乏科学的、整体的数据安全规划,特别是严重缺乏必要的技术手段。而对于绝大多数没有海外分支机构的政企单位而言,往往没有意识到其可能存在的跨境数据流转风险。?数据安全建设,应当遵循内生安全原则,从设计规划之初就把数据分类分级、数据防泄露、防勒索、API安全、跨境数据治理等关键问题列入整体规划,确保数据安全工作与数字化建设同步规划、同步建设、同步运行,用系统性的方法解决数字系统的安全问题。