加入“硬科技社群”,请加微信“emilymy0414” ↑
科技融资项目BP投递,请加微信“emilymy0414” ↑
数据泄露引发巨额罚款,监管法规正当时
《汽车数据安全管理若干规定(试行)》、《数据安全法》、《个人信息保护法》落地实施,一系列其他法律法规正在路上,数据安全正成为网络安全新兴市场。数据安全优质项目推荐:基于云架构的智能驾驶/金融领域数据安全项目:对标美国BigID(估值超10亿美元),团队来自网安大厂,针对云计算、智能驾驶等新兴领域的数据安全需求,经过一年自有资金投入技术研发,云端智慧数据管理平台已经在金融机构验证并落地实施,并与头部自动驾驶企业签署合作协议。本轮天使轮融资1000万,投后估值5000万(有资源或者品牌的VC,估值可谈),主要用于产品线的丰富和市场推广,微信riseen。
近些年,在政策支持、新冠疫情物理隔离等多因素影响下,大数据与各个行业深度融合,依托人工智能、云计算、区块链、工业互联网等数字经济产业得到蓬勃发展。
然而,各类数据在“流转存用”的过程中,数据泄露事件屡屡发生,给个人信息安全、企业经营发展,甚至国家机体的平稳运行带来诸多不稳定因素。此前IBM报告,分析了17个国家和地区、17个不同行业、537个组织数据泄露情况。报告指出,2020-2021年数据泄露成本从386万美元上升到424万美元,增长近10%,为历年之最。而通过AI和自动化、零信任、云安全等方式,可更快地发现数据泄露发现事件并进行防范,这类组织的数据泄露成本相比安全等领域落后的组织更低……而今,数字经济的趋势不可逆转,有效防范数据泄露、保护数据安全,从政策监管到企业维护都已在进行中。
数据泄露问题普遍,互联网 IT、政府、金融等是重灾区。数据泄露除了发生在互联网平台,在个人隐私涉及个人财务安全的金融领域、医疗卫生以及教育等领域均有出现。
Facebook宕机6小时,超15亿用户数据被泄露2021年10月,社交平台Facebook、Ins,以及WhatsApp陷入大规模瘫痪,宕机近6个小时刷新了自 2008年最长宕机时长。其中包括美国英国在内的数十个国家和地区发生了中断故障。在 Facebook 全球网络服务中断期间,据称在黑客论坛上有超过 15 亿 Facebook 用户的数据被出售。2021年6月,有黑客在暗网平台出售超过7亿的领英用户数据,并发布了一个包含100万领英用户的样本数据集。这是领英史上最大规模的数据泄露。 2021年7月,因违反数据隐私法规,亚马逊被欧盟处以创纪录的 8.88 亿美元罚款,这是欧盟有史以来最大的数据隐私泄露罚款。 2021年3月,安全研究人员Sourajeet Majumder 称他发现另外一个印度政府网站泄露了数百万核酸检测结果。研究人员发现网站在实现上存在问题,会导致在特定州进行核酸检测的人员的测试结果泄露。报告中含有姓名、年龄、婚姻状况、检测时间、居住地址等敏感个人信息。这里的特定州指的就是印度西孟加拉邦。根据政府每日公布的公告数据,研究人员推断泄露的核酸检测报告数大约在800万。 2020年3月,医疗期刊中介人员张某某为拓展业务范围,其通过非法获取大量医护人员信息的方式推广发表期刊。杨浦法院判处张某某有期徒刑三年三个月,罚金人民币一万元。 2021年1月,据外媒报道,PSafe的网络安全实验室dfndr报告称,巴西的一个数据库发生了一起重大泄密事件,数百万人的CPF号码及其他机密信息可能遭到了泄露。据这些使用AI技术识别恶意链接和虚假新闻的专家们披露,泄露的数据包含有1.04亿辆汽车和约4000万家公司的详细信息,受影响的人员数量可能有2.2亿。 泄露的数据库中包含的信息则覆盖了几乎所有巴西人的姓名、出生日期和CPF——包括当局。在一份新闻稿中,dfndr实验室主任Emilio Simoni指出,最大的风险是这些数据会被用于网络钓鱼诈骗,其将会诱使人们在一个虚假页面上提供更多的个人信息。 2021年3月,就在以色列新一轮大选的数小时前,数百万公民的个人身份与选举登记信息遭到大规模外泄。根据目前的情况看,问题出在软件厂商Elector Software为以色列利库德党开发的投票应用Elector身上。 此次外泄的数据包括登记选民的住址、电话号码和出生日期。这一切似乎就是去年另一起数据泄露事件的重演,但有媒体报道称,根据其中一个包含选民全名与所归属投票站信息的文件来看,泄露的信息至少是本轮选举活动的。 2021年8月,发生数据泄露,泄漏信息中包括超过3万份业务合作伙伴信息,例如公司名称、地址、关联名称、电话号码、电子邮件地址和银行账号。这些公司位于日本、中国、菲律宾、马来西亚、新加坡、美国和欧盟。 2021年5月,美国最大燃油管道运营商科洛尼尔管道运输公司遭遇黑客组织“黑暗面”的攻击。通过对目标系统植入恶意软件,以索要赎金,“黑暗面”劫持了Colonial Pipeline管道运输公司近100GB的数据。要求Colonial Pipeline公司交出赎金,否则将把相关数据公布到网络上。受此影响,科洛尼尔管道运输公司被迫关闭整个管道系统,导致燃油价格飙升,一度让美国进入国家紧急状态。 2021年11月,被称作“散户大本营”的美国零佣金券商和加密货币交易平台“罗宾汉”遭黑客入侵,超700万客户数据泄露。罗宾汉发表声明称,该漏洞于11月3日被发现,袭击者掌握了约500万客户的电子邮件地址,以及200万客户的姓名,还有部分客户的邮政编码和出生日期等信息被泄漏。 2021年1月,中国交通银行遭遇黑客攻击,导致大量信息被泄露贩卖,总泄露数据达1679万条。有黑客在国外某论坛上发帖,以8.8 BTC的总价售卖中国交通银行上述1679万笔数据,贩卖者还留下了联系方式。数据包括名字、性别、卡号、身份证号、手机号码 、所在城市、联系地址、工作单位、邮编 、工作电话、住宅电话、卡种、发卡行等等。 央行查处侵害消费者金融信息安全权行为 6家金融机构被处罚2020年10月,人民银行相关分支机构依法对部分金融机构侵害消费者金融信息安全行为立案调查,并依据有关规定,对农业银行吉林市江北支行、中国银行石嘴山市分行、建设银行德阳分行、建设银行娄底分行、建设银行东营分行、建设银行建德支行及相关责任人予以警告并处以罚款。 2021年4月,黑客Cl0p组织声称可访问斯坦福大学等六所美国顶尖高校的学生和教职员工的财务文件和护照信息。这些大学包括:叶史瓦大学 、斯坦福大学、 迈阿密大学、 马里兰大学、 科罗拉多大学博尔德分校、 加州大学默塞德分校。这意味着超多人受到了影响,因为泄露的数据快照暴露了敏感信息,其中包括:相片、 出生日期、 住家地址、 护照号码、 移民身份 、个人名字、 社会安全号码。 2021年4月,广东珠海有10万余条中小学生个人信息已经被非法泄露。珠海网警在“净网2021”专项行动中破获一个侵犯公民个人信息的犯罪团伙,抓获6名嫌疑人,查获中小学生个人信息10万余条。 2018年7月,UpGuard Cyber Risk 的安全队伍现在透露,100多家汽车产业链上下游公司的敏感文件已泄露,包括通用汽车、福特和特斯拉等知名汽车制造商。这些文件放在属于Level One Robotics的一台服务器上,泄露的数据包含与Level One有业务往来的100多家公司方面的信息。泄露的157GB数据包含10多年的装配线原理图、工厂平面图及布局、机器人配置及说明文档、身份证件申请表和VPN访问请求表,还有保密协议。约330万大众奥迪车主和潜在客户信息泄露,含手机号社保账号2021年6月,大众汽车方面表示,约有330万大众、奥迪汽车的车主和潜在客户的个人信息遭到泄露,具体信息包括:姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。南都记者梳理发现,车企信息泄露事件时有发生。曾有网络安全专家表示,汽车企业应对数据的存储、使用和传输进行更全面管理和控制。泄露发生的原因是一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上。大众汽车及其子公司奥迪以及位于美国和加拿大的官方经销商都使用这个供应商的服务。泄露的数据包含相关客户和潜在买家的姓名、地址以及电话号码等个人信息。与此同时,还有9万名美国和加拿大的客户“更机密”的数据被泄露,其中包括获得贷款资格的信息以及社会保障号码等。 我们看到,数据泄露涉及各个行业,这些行业掌握了全民级数据,数据安全治理不容忽视。近两年数据泄露情况如何?在哪一领域发生频率最高?发生原因是什么?哪些手段可以防治数据泄露? 此前,IBM发布《数据泄露成本报告》,这一报告至今已连续发布17年,统计了17个国家、17个不同行业、537个组织数据泄露情况。核算数据泄露的成本,包含四大方面:数据泄露检测和升级;通知;泄露后响应;业务损失。 - 2020-2021年数据泄露平均总成本从386万美元上升到424万美元,是过去七年单年成本增加最大值,增长近10%。
数据泄露的全球平均总成本是424万美元。数据泄露的平均总成本增加了7年来的最大幅度,从2020年报告到20221年报告,数据泄露成本平均增幅增加显著增加,从2020年为386万美元,到2021年为424万美元,增加38万美元,同比增长9.8%。相比之下2019年至2020年报告年度下降1.5%,自2015年以来数据泄露的成本增加了11.9%。- 由于新冠疫情而导致的远程工作和数字化转型增加了数字泄露的平均总成本。
- 按行业划分的数据泄露的平均总成本,医疗保健数据泄露成本从2020年的平均总成本713万美元增加到2021年的923万美元,增幅29.5%。医疗保健连续第11年成为平均总成本最高的行业,平均总成本排名前5位的是卫生保健、金融、制药、技术、能源。
- 客户个人身份信息是最常见的丢失的记录类型。从2020年到2021年数据泄露的平均每条记录人均成本增加了10.3%。
研究中44%的违规行为包括客户个人身份信息,客户个人身份信息是在违规中丢失或被盗的最昂贵的记录。2021年每条记录的违规成本为161美元,而2020年的平均成本为146美元,这比2017年的报告增加了14.2%,当时每条记录的平均成本为141美元。- 按国家或地区划分的数据泄露平均总成本,美国连续第11年成为数据泄露平均总成本最高的国家,排名前5位的国家和地区市,美国、中东、加拿大、德国、日本,与2020年报告中排名顺序相同。
2020年-2021年数据泄露平均总成本增长最快的国家,拉丁美洲(增长52.4%),南非(增长50%),澳大利亚(增长30.2%),加拿大(增长20%),英国(19.7%)和法国(14%)。研究中只有一个国家的成本下降了,巴西(减少3.6%)。- 数据泄露的平均总成本,在4个成本分类中(检测和升级;通知;泄露后响应;业务损失),业务损失占数据泄露平均总成本的38%,占比最高。损失的业务成本,包括业务中断和系统停机造成的收入损失,失去客户和获得新客户的成本,名誉损失和商誉下降。第二大成本是检测和升级成本,平均总成本为124万美元,占总成本的29%。
- 信息泄露的归因:凭据受损是最常见的数据泄露攻击媒介,占比20%。第二大成本是网络钓鱼(465万美元),其次是恶意内部人员(461万美元),社会工程(447万美元)和凭证泄露(437万美元)。企业电子邮件入侵占违规行为的4%,但平均总成本最高为501万美元。
- 识别和控制数据泄露的平均天数是287天,识别和遏制所需的时间越长,破坏的成本就越高。花费超过200天的时间,来识别和控制数据泄露的平均成本为487万美元。相比之下,不到200天的违规行为则高达361万美元。(相比去年,识别和遏制数据泄露的时间多了7天)
- 识别和遏制的平均时间各不相同,很大程度上取决于数据泄露的类型、攻击向量、安全人工智能和自动化的使用等因素,以及云现代化阶段。
- 大型泄露(5000万-6500万条数据)的平均成本为4.01亿美元,高于2020年的3.92亿美元。
- 部署成熟的零信任与没有零信任的违规成本差异是176万美元。零信任方法有助于降低数据泄露的平均成本。没有部署零信任的组织,违规的平均成本是504万美元。然而在零信任部署的成熟阶段,一次违规的平均成本为328万美元,比没有零信任的组织少176万美元,相差2.3%。
- 完全部署安全人工智能和自动化与未部署的成本差异为80%。完全部署遭受数据泄露成本为290万美元,而没有部署的组织则为671万万元,两者相差近80%.
- 2021年完全或部分部署了安全人工智能和自动化的组织比例为65%,而2020年为59%,增长6%,并继续呈上升趋势。安全人工智能自动化与更快的时间识别和违规控制相关。
- 与公共、私有和内部部署云模型相比,混合云的数据泄露平均总成本最低。混合云环境中的数据泄露平均成本为361万美元,比公共云泄露少119万美元,相差28.3%。虽然处于大规模云迁移中的公司经历了更高的违规成本,但那些在云现代化程度更高的公司,能够比现代化早期阶段的公司更快77天识别和违规控制违规.
- 系统复杂性和合规性失败是放大数据泄露成本的首要因素。系统复杂性高的组织的平均违规成本,比复杂性低的组织高215万美元。
- 勒索软件和破坏性攻击比其他类型的破坏代价更高。勒索软件攻击的平均成本为462万美元,高于平均数据泄露的424万美元。这些成本包括升级、通知、丢失业务和响应成本,但不包括赎金成本。
根据报告可以发现,通过部署了AI和自动化、零信任、云安全等级高,能够更早发现数据泄露情况,从而降低数据泄露成本。
“某滴事件”之后,围绕网络安全审查持续加强,网络和数据安全政策密集出台。智能汽车领域,出台《关于加强智能网联汽车生产企业及产品准入管理的意见》,强调了汽车数据安全以及加强了OTA升级的安全管理;《汽车数据安全管理若干规定(试行)》经网信办审议通过,并经发改委、工信部部、公安部、交通运输部同意,自2021年10月1日起施行。《数据安全法》、《关键信息基础设施安全保护条例》于2021年9月1日起施行。《个人信息保护法》于2021年11月1日起施行,进一步规范APP过度收集个人信息;11月14日,网信办关于《网络数据安全管理条例(征求意见稿)》公开征求意见,征求意见稿明确提出,国家将建立数据分类分级保护制度,并首次明确数据处理者责任、数据安全建设标准等要求。基于企业自身数据防护选择和法律规范、诸多保护条例的实施,网络安全、数据安全领域将迎来高速发展。工信部发布的《网络安全产业高质量发展三年行动计划(2021-2023 年)(征求意见稿)》提出,至2023年网络安全产业规模将超过 2500 亿元、年复合增速超过15%;电信等重点行业网络安全投入占信息化投入比例达10%。在这一过程中,又会有哪些企业逐步成长壮大,我们拭目以待。
——创道硬科技研究院——
创道(北京)咨询顾问有限公司,专注于服务风险投资机构和科技成长型企业,聚焦“硬科技”领域,涵盖半导体、信创、人工智能、物联网、智能制造、云计算、大数据等。打造“创道硬科技研究院”、“创道硬科技生态圈”、“创道硬科技融服务”三大业务板块,科技研究、产业协同、投融资服务一体化平台,涵盖业务包括风险投资、科技深度研究、投融资咨询等。
——END——
感谢阅读到最后
少侠留步
点个在看吧
