轉眼2022年即將進入下半程,各行業(yè)的數字化轉型持續(xù)深入,數據安全逐步進入法制化的強監(jiān)管時代。但是因人為攻擊、技術漏洞、監(jiān)管缺位等造成的各類數據泄露事件頻發(fā),企業(yè)數據安全威脅日益嚴峻?!皵祿孤丁本拖窬W絡世界的新冠病毒一樣在全世界肆虐,不斷沖擊企業(yè)及國家的安全防線。
以下是敏捷科技對2022年上半年國內外的數據安全大事件的總結回顧,希望借此為正在數字化轉型中的企業(yè)敲響警鐘,深刻意識到數據安全與企業(yè)利益、社會穩(wěn)定及國家安全息息相關,各行各業(yè)亟需建立合法合規(guī)、穩(wěn)定高效的數據安全防護體系!
國內事件 ● 2月8日,北京某科技公司組建專門爬蟲技術團隊,在未取得求職者和平臺直接授權的情況下,秘密爬取國內主流招聘平臺上的求職者簡歷數據,獲取2.1億余條個人信息。被告單位被判處罰金人民幣4000萬元,是目前國內在此類案件中“最重”處罰; ● 4月,華為員工泄密事件法院裁決公示。該員工被指在離職后利用華為內部ERP系統(tǒng)漏洞多次越權訪問機密數據并牟利,2016-2018年間通過郵件等方式將華為公司多個供應商共1183個物料的采購價格數據發(fā)送給相關企業(yè),從而幫助其在華為公司的招標項目中提高中標率; ● 4月,國內上市公司在美下屬子公司遭遇郵箱入侵,入侵者侵入了該公司租用的微軟公司365郵箱系統(tǒng),偽造假電子郵件、供應商文件及郵件路徑,被盜356.9萬美元。涉事公司表示該筆資金被追回的可能性極低; ● 4月28日,北京健康寶在使用高峰期間,遭受到網絡攻擊。經初步分析,網絡攻擊源頭來自境外。北京健康寶保障團隊進行了及時有效應對,受攻擊期間北京健康寶相關服務未受影響。數據顯示,北京健康寶累計為超1億人提供130余億次健康狀態(tài)查詢服務,查詢結果是防疫相關健康狀態(tài)的參考; ● 6月,某主流學習軟件被曝數據庫信息泄露,其中包含學校/組織名、姓名、手機號、學號/工號、性別、郵箱、密碼等個人隱私,泄露數據高達1億7273萬條,且在境外平臺被公開售賣,引發(fā)社會各界強烈關注和討論。
國外事件 ● 1月20日,據CNN報道,紅十字國際委員會(ICRC)表示,該組織使用的一個承包商遭到的網絡攻擊已經泄露了超過51.5萬名“高危人群”的個人數據; ● 2月26日,美國著名芯片制造商英偉達遭受來自南美洲的黑客團體Lapsus$的入侵,導致部分系統(tǒng)癱瘓了兩天,泄露數據超過1TB ,其中包括了所有英偉達員工的在線憑證; ● 3月21日,在俄烏戰(zhàn)事正酣之際,烏克蘭媒體《烏克蘭真理報》在其網站發(fā)布了在烏克蘭作戰(zhàn)的12萬俄羅斯軍人的個人信息,包括12萬俄軍的名字、注冊編號、服役地點、職務等信息,頁數多達6616頁; ● 5月7日,據國外媒體報道,宜家(IKEA)加拿大公司發(fā)生涉及約 9.5 萬名客戶的個人信息數據泄露事件,宜家表示已將此事件通報給加拿大隱私監(jiān)管機構; ● 6月8日,美國醫(yī)療設備公司Shields Health Care Group (Shields)遭遇黑客攻擊,泄露了大約200萬美國人的醫(yī)療數據。這些數據可用于社會工程、網絡釣魚、詐騙,甚至敲詐勒索,通常被認為是極其敏感的信息。
統(tǒng)計數據 ● Verizon發(fā)布2022數據泄露調查報告顯示,勒索軟件在2022年同比增長 13%,增幅超過過去五年的總和; ● 其中超過60%的系統(tǒng)入侵事件來自組織的合作伙伴,即所謂的“第三方數據泄露”; ● 82%的數據泄露涉及“人的因素”,包括中招社工攻擊、網絡釣魚、勒索軟件、憑據被盜、特權濫用、或純粹的人為失誤等等; ● Group-IB數據顯示,2022年一季度新發(fā)現的公開數據庫多達9萬個,超過30%(約93600個)的暴露數據庫位于美國,中國的暴露量位列第二,共54700個; ● 據IBM中國調研發(fā)現,惡意數據泄露平均給調研中的受訪企業(yè)帶來445萬美元的損失,比系統(tǒng)故障和人為錯誤等意外原因導致的數據泄露高出100多萬美元。 政策動向 ● 工信部印發(fā)《車聯(lián)網網絡安全和數據安全標準體系建設指南》 2月25日,工信部印發(fā)《車聯(lián)網網絡安全和數據安全標準體系建設指南》,其中,數據安全標準主要規(guī)范智能網聯(lián)汽車、車聯(lián)網平臺、車載應用服務等數據安全和個人信息保護要求,包括通用要求、分類分級、出境安全、個人信息保護、應用數據安全等5類標準。通用要求標準主要規(guī)范車聯(lián)網可采集和處理的數據類型、范圍、質量、顆粒度等,包括數據最小化采集、數據安全存儲、數據加密傳輸、數據安全共享等標準。 ● 工信部部署做好工業(yè)領域數據安全管理試點工作 2月,工信部印發(fā)通知,部署做好工業(yè)領域數據安全管理試點工作,明確在遼寧等15個省(區(qū)、市)及計劃單列市開展試點工作。要求各地工業(yè)和信息化主管部門認真學習貫徹《數據安全法》等法律法規(guī)、工業(yè)和信息化領域數據安全相關管理制度等要求,明確數據安全管理部門和負責人,指導本地區(qū)工業(yè)企業(yè)開展數據安全管理工作。以期通過強化政策支持和資金投入,加強數據安全監(jiān)測和數據安全分級防護措施,提升數據全生命周期安全保護等技術能力建設。 ● 中央網信辦等四部門印發(fā)《2022年提升全民數字素養(yǎng)與技能工作要點》,加強個人信息和隱私保護 3月2日,中央網信辦等四部門聯(lián)合印發(fā)《2022年提升全民數字素養(yǎng)與技能工作要點》。工作要點部署了加大數字資源供給、打造高品質數字生活、提升勞動者數字工作能力等8個方面29項重點任務。其中,安全保護方面要求增強網絡安全、數據安全防護意識和能力,加強個人信息和隱私保護。 ● 全國信安標委發(fā)布2022年度工作要點:將研制重要數據保護等一批急需關鍵標準 3月15日,全國信安標委發(fā)布2022年度工作要點。2022年,全國信安標委將支撐“3法+1條例”,研制重要數據保護、數據安全風險評估、數據交易服務安全、政務數據處理、智能手機預裝應用程序、敏感個人信息處理、大型互聯(lián)網企業(yè)個人信息保護監(jiān)督機構要求、關鍵信息基礎設施安全測評要求等數據安全、個人信息保護、關鍵信息基礎設施安全保護等領域一批急需關鍵標準。 ● 工信部網安局:將有序推進電信和互聯(lián)網領域數據安全工作 5月18日,在2022年世界電信和信息社會日大會“數據安全與治理論壇”上,工業(yè)和信息化部網絡安全管理局副局長杜廣達表示,電信和互聯(lián)網領域數據安全工作取得了良好的開局,但仍處于起步階段,加強行業(yè)數據安全管理需要在已有基礎上,有計劃、有重點、分步驟推進工作。 新聞資訊均來源于網絡,由敏捷科技整理匯總