近日，闪捷信息安全与战略研究中心发布《2023年度数据泄漏态势分析报告》（以下简称“《报告》”），《报告》通过统计分析2023年国内所发生的数据泄漏事件，结合全球数据泄漏事件的趋势，从数据泄漏事件、时间、人员、动机、数据源以及个人信息泄漏态势进行总结分析，多维度呈现2023年国内数据泄漏的态势全景。

01 数据泄露

不同的数据泄露事件背后，有不同的动机。以获利为目的的数据泄露事件占比超过70%，这说明数据泄露事件，仍然是利益驱动。据观察发现，不法分子在窃取数据后，可以通过售卖个人信息或知识产权变现，也可以勒索受害者获得收入。

统计发现，内部人员导致的数据泄露事件占比接近60%。包括主动的泄密和由于失误造成的泄密。在主动的泄密类型中，内部人员受利益驱动泄露数据，或者被外部人员欺骗泄露，或者对企业有不满情绪而泄露。失误造成的泄密类型中，由于安全意识或者流程的问题，造成安全策略配置错误，例如访问权限控制缺失、安全管控颗粒度粗放、账号凭据丢失等。

02 个人信息泄露

个人信息泄露最严重的是金融行业，占比超过25%。保险和金融部门由于其持有高敏感数据而成为最常见的目标。泄露的原因除了外部攻击，还包括缺乏访问控制、非授权访问、数据库配置错误、“内鬼”和系统漏洞。

个人信息包含了很多维度的个人相关数据。在泄露的个人信息中，姓名出现在88%的个人信息泄露事件中，其次是电话号码和电子邮件，泄露的占比均超过60%，第四位是登录凭据，泄露占比接近38%，排在第四位。

个人信息的泄露，会通过地下市场流向黑灰产业。电话号码会被利用进行电信诈骗或者广告骚扰，Email地址也会被用来发送钓鱼邮件、恶意软件，或者各种非法广告，对社会造成二次危害。

03 分析总结

供应链安全风险凸显。在分工更加细化的全球化时代，全球供应链的复杂性和互联性日益增加，以及数字生态系统攻击面的迅速扩大和更多潜在漏洞，为攻击者瞄准这一目标提供了更大的动力。一次成功的攻击可以带来巨大的财务或信息收益。

风险监测能力不足。企业缺乏全面的风险评估和监测机制，无法及时发现并预防各类数据泄露、破坏等安全威胁，导致敏感数据和核心业务系统面临巨大风险。在多数情况下，数据泄露事件被公众知晓是滞后的。数据到了攻击者手中，甚至开始地下交易，或者开始造成不良后果，才引起了数据处理者的关注。未能在发生数据泄露前及时识别风险，那就更谈不上采取应急措施减少损失。

个人信息泄露严重。个人信息的泄露，会对企业和个人造成损失，也为以后的数据泄露提供了便利。个人信息富含社会关系、访问凭据、健康和资产信息，包含了主体可以被进一步利用的数据，既可以在地下黑市交易，也可以为下一次攻击提供丰富的情报。越来越频繁的个人信息泄露，为社会的不安定埋下了隐患。

勒索攻击常态化。勒索攻击已经开始向RaaS（勒索软件作为服务）模式转变。其中最有代表性的当数Netwalker勒索软件。RaaS模式降低了勒索攻击的技术门槛，使得攻击者不需要具备编码和网络渗透技术，只需要购买勒索攻击的服务，即可执行高度复杂的勒索攻击。这为越来越多的犯罪分子提供了便利，也意味着未来会有更多的勒索攻击事件。

员工依然是安全防护的薄弱点。除了员工恶意地实施数据泄露之外，还有相当比例的数据泄露与员工的疏忽和安全意识不足有关。一方面，人为错误直接暴露信息，另一方面，无法准确地辨识威胁使得社会工程和各种钓鱼攻击能够得逞。泄露的信息又增强了下一次攻击的欺骗性，这是一个恶性循环。

04 降低数据安全风险的建议

加强对合作伙伴的安全能力评估

建立合作伙伴的评估机制和标准体系，明确数据安全的合规要求和风险承受能力，通过审计合作伙伴的安全政策、技术措施、人员素质等多个维度，结合实地检查、渗透测试、案例评审等手段，全面考查合作伙伴在访问控制、加密传输、数据备份、漏洞修复、应急响应等方面的能力表现，识别其在数据全生命周期各环节可能存在的风险隐患。

建设数据分类分级保护能力

依据数据的敏感程度、重要性和相关法规要求，制定数据分类分级标准和规范。针对不同级别数据，采取差异化的安全保护措施，建立数据全生命周期管理机制，从数据采集、传输、存储、使用到销毁各环节，落实相应的安全技术及管理制度。

开展全链路数据流转风险监控

制定完善的数据流转策略和管控机制，明确各环节的操作规范、风险审查流程以及人员权责分工。建立数据流转事件的发现、处置及追溯机制，确保一旦发生安全事件，能够快速控制、止损和问责。对数据在各个系统和应用之间的传输进行全链路监控和审计，实时捕获异常行为，如未经授权访问、数据篡改或泄露等风险事件。

加强企业云上数据防护

制定全面的云安全策略和管理制度，明确云上数据分类分级要求、访问权限控制、加密存储/传输等规范，实现风险的全方位监控和防御。同时，对平台安全能力进行严格审核评估，开展定期的云上数据安全检查和应急演练，提高风险发现和应急响应能力。统筹兼顾技术、管理、人员等各方面资源，构筑企业云上数据的安全防线。

建立数据安全运营能力

通过建设流程和制度，保障企业组织的数据安全能力持续发挥作用并不断优化。定期培训和宣贯数据安全技能，提升员工辨识钓鱼攻击的能力。对安全产品进行预防性维护，最大限度地提高现有安全工具和措施的有效性；定期进行脆弱性评估，任何配置的变更都要进行评估和验证。建立安全事件响应机制，定期演练。

闪捷信息

闪捷信息科技有限公司（Secsmart）是一家专注数据安全的高新技术企业，在业界率先将人工智能、量子加密技术成功应用于数据安全领域，创新性提出“零信任”动态数据安全治理以及“云管端”立体化数据安全解决方案，产品范围涉及数据安全治理、数据加密、数据脱敏、数据防泄露、数据库审计、数据库防火墙、大数据安全、云数据安全等，已广泛应用于政府、电力、运营商、金融、教育、医疗等行业。