您当前位置:首页 > 资讯中心 > 信息安全

十年数据泄露事件大观:“互联网+”时代,各行各业都易中招

  近来,国内外大规模数据泄露事件密集发生。11月30日,万豪发公告称旗下酒店喜达屋5亿房客信息被泄露;12月3日,社交平台陌陌3000万用户数据在暗网被销售;12月4日,问答网站鼻祖Quora遭恶意攻击,1亿用户数据被窃;12月10日,谷歌因可能出现的数据泄露问题关闭旗下产品。
 
  大数据时代,数据不仅是企业的核心财产,也事关用户较关心的隐私安全。然而,数据泄露事件却屡屡发生。本文梳理了近十年来有关企业数据泄露的报道后发现,企业数据泄露事件不仅发生频率未减,被泄露的数据规模还在不断扩大。
 
  数据泄露:中招的不仅仅是互联网公司
 
  数据泄露是指“受保护或机密数据可能被未经授权的人查看、偷窃或使用”。互联网公司则是数据泄露事件的多发领域,包括阿里、腾讯在内的知名互联网公司都被爆出过数据泄露的负面消息。
 
  不过,不少公司并不承认用户数据发生了泄露。在2013年支付宝数据泄露事件中,支付宝称泄露非通过其网站,而且泄露的只是账号名,不构成安全威胁。而发生在2015年的大量网易163、126邮箱账号泄露事件中,网易的回应也和支付宝类似——账号密码泄露源于第三方网站,不存在自身用户数据库被泄露的问题。
 
  大部分数据泄露是由黑客攻击导致。根据IBM公司(国际商业机器公司)发布的研究报告(《2018 Cost of a Data Breach Study:Global Overview》)显示,数据泄露的主要原因是恶意和犯罪攻击(48%)。除了攻击漏洞、使用病毒外,黑客会利用人们在不同平台账户使用同一账号和密码的习惯,通过“撞库”(通过已泄露的账户和密码去登录其他网站)的手段来侵入更多网站。而很多掌握大量用户数据的企业从未建立有效的安全管理系统,这让泄露事件难以被阻止。
 
  2011年年底,中国互联网爆发了史上规模较大的数据泄密事件,包括天涯社区、百合网、人人网在内的多家网站被指用户数据疑遭泄露。让人大跌眼镜的是,较早被爆出数据泄露的CSDN论坛,被发现使用明文存储密码,这样一个以程序员为主要用户的大型社区,却没有使用任何加密保护。
 
  “互联网+”时代,企业的数据安全挑战会越来越严峻。
 
  越来越多的行业也要建立应对数据泄露的机制。由于越来越多的设备、平台相互联通,以及云计算、物联网的不断融合,数据泄露的高风险将不再仅限于互联网行业。2017年10月,一家医疗设备公司存放在亚马逊云存储库的47GB医疗数据遭破解,15万患者的姓名、地址、医生和病例纪录等隐私信息被泄露。
 
  面对数据泄露,多数企业反应迟钝
 
  用户数据的重要性对企业而言不言而喻,然而,大部分公司并没有应对经验和有效的反应机制,甚至都不能快速察觉数据遭遇泄露。
 
  在IBM公司发布的报告中,企业发现数据泄露的平均时间是197天,而控制住由此产生的后果还额外需要平均69天。发现和控制的时间越久,由此产生的损失也越高。
 
  国际知名酒店集团万豪国际在今年11月底告知外界旗下喜达屋酒店预订数据库被外人访问。令人震惊的是,数据库早在2014年起就遭黑客入侵,但直到2018年9月,万豪才收到内部安全工具的警报。这意味着2018年9月及之前,喜达屋酒店预订数据库中的宾客信息都一直在泄露。
 
  “迟钝”的不止万豪一家,事实上,连许多高科技公司都迟迟没有发现自己的用户数据遭遇泄露。
 
  雅虎曾在2013年、2014年多次遭遇黑客攻击,被窃取了大量用户信息,察觉时已是三年后。2016年9月,雅虎调查后发现约有5亿账号数据在2014年时被泄露。到了同年12月,雅虎才发现2013年的攻击导致自己10亿用户数据被破解。直到2017年10月,雅虎发现自己当年所有的用户数据都已泄露,30亿用户账号无一幸免。
 
  企业数据泄露的损失有多少?
 
  数据泄露带给企业和用户的损失不容小觑。
 
  IBM的研究报告调查了全球477家公司过去一年2200多起数据泄露事件,发现大型数据泄露的代价十分高昂。平均来看,泄露百万条记录会导致损失2.8亿人民币,而泄露5000万条记录的损失高达24.1亿人民币。
 
  而不同行业的数据泄露成本也不同。在监管较严的行业,如医疗保健和金融行业,数据泄露的成本非常的高,而物流、酒店行业的数据泄露成本就要低很多。虽然中国公司并未被列入调查范围,但这一结论依然可以参考。
 
  对公司而言,数据泄露的损失主要由检测与升级、通知各方、赔偿与罚款以及用户流失这四个方面构成。在监管较严格的地区,数据泄露的罚款非常大,由此带来的股价下跌也经常发生。
 
  今年5月,旨在保护用户数据的《通用数据保护条例》(GDPR)在欧盟生效,企业如果没有保护好数据而导致数据泄露,将会被处以1000万欧元(约合7825万人民币),或全球年营业额2%的高额罚款;而主动泄露用户数据的,处罚将会翻倍。
 
  值得一提的是,目前在中国,还没有企业因数据泄露问题而被重罚。虽然现行有关个人信息保护的法律法规并不少,重庆大学网络与大数据战略研究院院长齐爱民曾统计过,有关个人信息的法律有52部,行政法规有42部,司法解释或者文件有50部,部门规章更多。但是众多法律法规并没有形成完整体系,企业违法行为难以认定,用户维权也很艰难。
 
  不过,纵然没有高额的罚款,用户也会用脚投票。雅虎发生大规模数据泄露后,有研究显示多达97%的用户会对雅虎失去信任。当一家企业不能保护他们的用户数据,用户的信任将很难回归,即便“中国人更加开放,愿意用隐私交换便捷服务或效率”。

第二十八届CIO班招生
法国布雷斯特商学院MBA班招生
法国布雷斯特商学院硕士班招生
作者:grabsun - 发布时间:2019-01-02 - 点击量:4911
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们