转眼2022年即将进入下半程,各行业的数字化转型持续深入,数据安全逐步进入法制化的强监管时代。但是因人为攻击、技术漏洞、监管缺位等造成的各类数据泄露事件频发,企业数据安全威胁日益严峻。“数据泄露”就像网络世界的新冠病毒一样在全世界肆虐,不断冲击企业及国家的安全防线。
以下是敏捷科技对2022年上半年国内外的数据安全大事件的总结回顾,希望借此为正在数字化转型中的企业敲响警钟,深刻意识到数据安全与企业利益、社会稳定及国家安全息息相关,各行各业亟需建立合法合规、稳定高效的数据安全防护体系!
国内事件 ● 2月8日,北京某科技公司组建专门爬虫技术团队,在未取得求职者和平台直接授权的情况下,秘密爬取国内主流招聘平台上的求职者简历数据,获取2.1亿余条个人信息。被告单位被判处罚金人民币4000万元,是目前国内在此类案件中“最重”处罚; ● 4月,华为员工泄密事件法院裁决公示。该员工被指在离职后利用华为内部ERP系统漏洞多次越权访问机密数据并牟利,2016-2018年间通过邮件等方式将华为公司多个供应商共1183个物料的采购价格数据发送给相关企业,从而帮助其在华为公司的招标项目中提高中标率; ● 4月,国内上市公司在美下属子公司遭遇邮箱入侵,入侵者侵入了该公司租用的微软公司365邮箱系统,伪造假电子邮件、供应商文件及邮件路径,被盗356.9万美元。涉事公司表示该笔资金被追回的可能性极低; ● 4月28日,北京健康宝在使用高峰期间,遭受到网络攻击。经初步分析,网络攻击源头来自境外。北京健康宝保障团队进行了及时有效应对,受攻击期间北京健康宝相关服务未受影响。数据显示,北京健康宝累计为超1亿人提供130余亿次健康状态查询服务,查询结果是防疫相关健康状态的参考; ● 6月,某主流学习软件被曝数据库信息泄露,其中包含学校/组织名、姓名、手机号、学号/工号、性别、邮箱、密码等个人隐私,泄露数据高达1亿7273万条,且在境外平台被公开售卖,引发社会各界强烈关注和讨论。
国外事件 ● 1月20日,据CNN报道,红十字国际委员会(ICRC)表示,该组织使用的一个承包商遭到的网络攻击已经泄露了超过51.5万名“高危人群”的个人数据; ● 2月26日,美国著名芯片制造商英伟达遭受来自南美洲的黑客团体Lapsus$的入侵,导致部分系统瘫痪了两天,泄露数据超过1TB ,其中包括了所有英伟达员工的在线凭证; ● 3月21日,在俄乌战事正酣之际,乌克兰媒体《乌克兰真理报》在其网站发布了在乌克兰作战的12万俄罗斯军人的个人信息,包括12万俄军的名字、注册编号、服役地点、职务等信息,页数多达6616页; ● 5月7日,据国外媒体报道,宜家(IKEA)加拿大公司发生涉及约 9.5 万名客户的个人信息数据泄露事件,宜家表示已将此事件通报给加拿大隐私监管机构; ● 6月8日,美国医疗设备公司Shields Health Care Group (Shields)遭遇黑客攻击,泄露了大约200万美国人的医疗数据。这些数据可用于社会工程、网络钓鱼、诈骗,甚至敲诈勒索,通常被认为是极其敏感的信息。
统计数据 ● Verizon发布2022数据泄露调查报告显示,勒索软件在2022年同比增长 13%,增幅超过过去五年的总和; ● 其中超过60%的系统入侵事件来自组织的合作伙伴,即所谓的“第三方数据泄露”; ● 82%的数据泄露涉及“人的因素”,包括中招社工攻击、网络钓鱼、勒索软件、凭据被盗、特权滥用、或纯粹的人为失误等等; ● Group-IB数据显示,2022年一季度新发现的公开数据库多达9万个,超过30%(约93600个)的暴露数据库位于美国,中国的暴露量位列第二,共54700个; ● 据IBM中国调研发现,恶意数据泄露平均给调研中的受访企业带来445万美元的损失,比系统故障和人为错误等意外原因导致的数据泄露高出100多万美元。 政策动向 ● 工信部印发《车联网网络安全和数据安全标准体系建设指南》 2月25日,工信部印发《车联网网络安全和数据安全标准体系建设指南》,其中,数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求,包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。通用要求标准主要规范车联网可采集和处理的数据类型、范围、质量、颗粒度等,包括数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。 ● 工信部部署做好工业领域数据安全管理试点工作 2月,工信部印发通知,部署做好工业领域数据安全管理试点工作,明确在辽宁等15个省(区、市)及计划单列市开展试点工作。要求各地工业和信息化主管部门认真学习贯彻《数据安全法》等法律法规、工业和信息化领域数据安全相关管理制度等要求,明确数据安全管理部门和负责人,指导本地区工业企业开展数据安全管理工作。以期通过强化政策支持和资金投入,加强数据安全监测和数据安全分级防护措施,提升数据全生命周期安全保护等技术能力建设。 ● 中央网信办等四部门印发《2022年提升全民数字素养与技能工作要点》,加强个人信息和隐私保护 3月2日,中央网信办等四部门联合印发《2022年提升全民数字素养与技能工作要点》。工作要点部署了加大数字资源供给、打造高品质数字生活、提升劳动者数字工作能力等8个方面29项重点任务。其中,安全保护方面要求增强网络安全、数据安全防护意识和能力,加强个人信息和隐私保护。 ● 全国信安标委发布2022年度工作要点:将研制重要数据保护等一批急需关键标准 3月15日,全国信安标委发布2022年度工作要点。2022年,全国信安标委将支撑“3法+1条例”,研制重要数据保护、数据安全风险评估、数据交易服务安全、政务数据处理、智能手机预装应用程序、敏感个人信息处理、大型互联网企业个人信息保护监督机构要求、关键信息基础设施安全测评要求等数据安全、个人信息保护、关键信息基础设施安全保护等领域一批急需关键标准。 ● 工信部网安局:将有序推进电信和互联网领域数据安全工作 5月18日,在2022年世界电信和信息社会日大会“数据安全与治理论坛”上,工业和信息化部网络安全管理局副局长杜广达表示,电信和互联网领域数据安全工作取得了良好的开局,但仍处于起步阶段,加强行业数据安全管理需要在已有基础上,有计划、有重点、分步骤推进工作。 新闻资讯均来源于网络,由敏捷科技整理汇总
18120179909
关注敏捷小助手,了解更多