作者:董伊帆
导读
数字时代下,数据成为重要的生产要素,是企业和个人最宝贵的资产之一。然而,随着各行业全面数字化,数字技术不断发展迭代,数据规模呈指数级增长,数据泄露事件频发,产生的影响及损失日益扩大,数据安全问题日益凸显,成为企业必须面对的严峻挑战。企业数据安全面临哪些威胁?应如何保护数据安全?我们将在本文中探讨。
一、数据泄露事件频发,数据安全重要性日益凸显
近年来,我国数据泄露事件频发。相关统计显示,2023年,我国全网监测并分析验证有效的数据泄露事件超过19500起,远超2022年的3200多起,涉及金融、物流、航旅、电商、汽车等20余个关键行业。泄露数据的内容也从简单的用户数据扩展到了企业的核心数据,如企业敏感代码(数据库账密、原码信息等)、关键资料文件等等。这些敏感数据的泄露为企业带来的负面影响和损失不容小觑。
IBM在2024年7月发布的《2024年数据泄露成本》报告进一步揭示了数据泄露事件对企业的经济影响。该报告对2023年3月至2024年2月期间发生的数据泄露事件及数据泄露平均成本进行调查。结果显示当前企业数据泄露的平均成本已经达到了488万美元,较上一年度增长了10%。这一数字不仅包括了数据泄露给企业带来的直接经济损失,如安全团队的聘请费用、安全产品和服务的购买费用、以及可能面临的罚款等,还包括了间接损失,如因数据泄露而间接导致的企业营业额下降和客户价值的损失等等。
这些趋势和数据表明,数据泄露已经开始对企业的长期发展构成实质性的威胁。企业必须采取更为严格且有效的数据安全保护措施以防范、减少数据泄露的风险。接下来,我们将具体分析当前企业数据安全所面临的主要威胁,并探讨相应的数据安全保护措施。
二、企业数据安全面临哪些威胁?
除了自然灾害等不可抗因素,企业数据安全面临的威胁主要来自网络攻击、技术漏洞、内部威胁、第三方威胁等方面。近些年,由于技术漏洞、内部威胁、第三方泄露等原因导致的数据泄露事件逐年增加。
1、网络攻击
网络攻击主要是指利用网络信息系统存在的漏洞和安全缺陷对系统和资源进行攻击,持续更新的网络攻击手段甚至对以技术立身的科技大厂造成严重威胁。
2024年上半年,全球云计算巨头Snowflake频繁遭受网络攻击,导致一系列数据泄露事件,预计涉及约165家企业。近日,全球知名网络安全公司Fortinet也确认因遭遇网络攻击而导致大规模数据泄露。Fortinet是全球第三大网络安全公司,不仅提供防火墙、路由器和VPN设备等关键安全设备,还提供安全信息和事件管理、端点检测与响应等安全解决方案。此次事件,黑客窃取了约440GB的数据,并在黑客论坛上公布相关文件,供其他黑客下载,负面影响非常大。
随着数字技术不断更新迭代,网络攻击的手段和形式等也不断升级、演变,从最初的病毒、木马到现在的持续性威胁、分布式攻击等等,不断突破企业数据安全防护,获取敏感数据,甚至破坏关键数据保护基础设施等,这将对企业数据安全保护造成更大的威胁。
2、技术漏洞
技术漏洞通常指的是软件、硬件或系统中存在的缺陷或弱点,这些缺陷容易被恶意利用,导致企业数据泄露。技术漏洞可能发生在操作系统、应用程序、网络设备、数据库管理系统等多个层面。近些年,随着移动移动互联网进一步发展,API的应用规模大幅提高,然而,因API技术漏洞导致的数据泄露事件也日益增多,给企业带来了严重的负面影响。
API作为应用程序之间关键的交互通道,往往容易因权责划分不清晰、存在灰色地带,更容易出现设计缺陷、配置错误、权限不明、缺乏有效监管、未进行充分的安全测试等技术漏洞,使企业数据暴露于潜在的安全风险之中,导致企业敏感数据泄露。
Facebook 、Twitter、Amazon、美团等公司均发生过由于API未鉴权、鉴权不严格或其它技术漏洞而发生大量数据泄露事件。2020年,Facebook被曝出由于其API存在漏洞,导致存有2亿余条数据记录的数据库泄露,包括Facebook用户的ID、姓名以及电话号码等个人信息。无独有偶,新浪微博也曾被曝出有5.38亿条微博用户信息在暗网出售。对此,微博方面回应称此次的数据泄漏源于2019年通讯录上传API的技术漏洞。此外,有数据安全检测评估机构发现,个别人脸识别相关的App、小程序等也因API接口存在技术漏洞,接连发生数据泄露事件。
API的技术漏洞一般容易被企业忽略,但一旦出现问题,可能导致的数据泄露规模一般较大,影响范围非常广,严重威胁企业数据安全。
3、内部威胁
企业数据安全的内部威胁一般来自于两方面,一方面,企业内部员工在工作过程中,无意识间把公司内部的重要文件、文档、代码等,上传到网盘文库、代码托管平台等公网环境,导致企业敏感数据泄露;另一方面,企业内部员工可能会在数据利益的驱使下,铤而走险,对企业数据安全构成威胁。后者发生更为频繁,影响更为恶劣。
近些年,随着数据黑产的发展,企业内部员工违例泄露企业数据的行为屡见不鲜。埃森哲等研究机构发布的调查研究显示,其调查的208家企业中,69%的企业曾“遭公司内部人员窃取数据或试图盗取”。
2017年3月,京东与腾讯联手协助公安部破获的一起特大数据泄露安,其主犯是京东内部员工。该员工2016年6月底入职京东,在试用期期间,盗取并向外泄露涉及交通、物流、医疗、社交、银行等用户数据50亿条。2023年两名前特斯拉员工,违反特斯拉的IT安全和数据保护政策,盗用特斯拉内部数据,并将其分享给媒体,导致数据泄露。这次数据泄露暴包括该超过23000份特斯拉内部文件,总计近100GB机密数据,包括员工数据、客户财务数据、特斯拉生产机密数据以及客户对特斯拉的投诉数据等等,数据泄露规模非常大,对特斯拉的声誉和股价产生很大负面影响。今年4月,字节跳动企业纪律与职业道德委员会通报61起员工违法违纪案件,其中有17人存在违规获取、保存、泄露公司内部数据,并将包含敏感数据的公司内部系统直接交由外部人员使用等行为,影响非常恶劣。
根据Ponemon Institute 的《2023 年内部威胁全球成本报告》,内部威胁事件的平均总成本从2018年的830万美元上升到2023年的1620万美元。一般来说,由于内部员工更清楚企业的技术漏洞以及有价值数据的获取方式,因此这类威胁更倾向于瞄准企业最敏感的数据。这种威胁一旦出现,企业往往需要很长时间才能控制,并且对企业的造成的伤害相对较大。
4、第三方威胁
随着企业合作网络的扩展,第三方合作企业已成为企业数据安全中不可忽视的新威胁。这些合作企业在履行职责时往往需要访问企业数据,甚至访问企业敏感数据。然而,第三方合作企业可能缺乏充分的数据安全保护措施、员工对数据保护的认识不足、内部管控机制松懈、存在技术漏洞,或是受到经济利益的不当诱惑,这些均可导致企业的数据安全受到威胁,显著增加数据泄露的风险。
据彭博社报道,2023年,亚洲最大的两家数据中心万国数据和新科电信媒体遭遇网络攻击,泄露了包括阿里巴巴、腾讯、华为、苹果、微软、亚马逊、沃尔玛、高盛、宝马在内的2000多家企业的亚洲数据中心登录凭证。这意味着这些企业数据中心的IT设备都有可能被外界恶意访问。据报道这些数据暴露在黑客组织中的时间超过1年,黑客组织至少先后登录过其中5家企业的账号,很有可能已经获取了大量的企业敏感数据。
当前,面对各国对数据安全的重视,一些企业选择通过第三方存储数据,以此进入全球市场,整个过程潜在着巨大数据泄露风险。这次被称谓史诗级的数据泄露事件再次凸显了数据安全的重要性,为企业敲醒警钟,企业必须高度重视数据安全,以防范潜在的数据安全威胁。
三、企业如何保护数据安全?
面对日益复杂的数据安全威胁,企业必须采取更为全面和深入的策略来保护数据安全。除了通过技术手段进一步加强对数据安全的保护,企业还要强化对员工的数据安全培训,提高数据安全意识;加强对数据应用的合规性审查,及时发现数据应用过程中的漏洞;此外,企业还可以联合第三方合作企业,协同共治。
1、通过技术手段保护数据安全保护
企业可以通过数据隔离、数据加密、访问控制、网络安全防护等多重技术手段加强数据安全保护。
数据隔离可以确保敏感数据与企业其他系统和网络环境之间建立物理或逻辑上的屏障,从而减少敏感数据泄露的风险;数据加密则为数据提供了一层额外的保护,即使数据泄露,数据获得者也无法轻易解读其内容;访问控制则确保只有授权用户才能访问敏感数据,从而防止未经授权的访问和潜在的企业内部数据泄露;网络安全防护措施,如防火墙、入侵检测系统和安全信息事件管理等,则为企业提供了一个多层次、系统性的防御体系,以帮助企业抵御各种网络攻击。这些技术手段的实施不仅需要企业投入相应的资源,还需要持续的关注和更新,以应对不断变化的数据安全威胁。
2、培养员工数据安全意识
员工在日常工作中的每一个操作都可能涉及企业敏感数据的处理,缺乏数据安全意识的员工可能无意中通过不安全的网络连接、未经加密的邮件或社交媒体等途径泄露相关数据,给企业带来风险和损失。
为此,企业应注重提升员工的数据安全意识,实施定期的数据安全培训,帮助员工识别、防范各种数据安全威胁,如钓鱼邮件、恶意软件等。同时,企业可以通过模拟攻击演练等,提高员工对可疑情况的警觉性和应对能力。企业还应针对国家对数据安全保护的要求,严格建立一套明确的企业内部数据安全保护准则,通过持续的沟通和提醒,强化员工对这些数据安全准则的理解和遵守。通过一系列举措使员工更加自觉地避免有损企业数据安全的操作,主动采取必要的数据安全防护措施,成为企业数据安全的积极守护者。
3、加强数据应用合规性审查
随着数字化转型的深入,不同层级员工对企业数据的应用需求日益增加。然而,这种广泛的数据应用也带来了数据泄露的潜在风险。因此,企业必须要加强对数据应用的合规性审查,严防因企业内部员工而造成的数据泄露。这包括建立完善的数据管理制度,明确各级员工在数据处理、存储和应用过程中的职责和权限,确保所有数据应用操作都符合相关法律法规和企业内部准则。同时,企业还应持续地对员工数据应用的合规性进行审查,问题一经发现,严肃处置,使员工充分认识到数据泄露的严重性和后果。
4、协同共治
面对日益突出的数据保护挑战,每个企业必须要认识到,单打独斗是远远不够的。相反,企业需要与第三方合作企业携手,共同参与到数据保护的工作中来。通过协同共治的方式,企业可以分享数据保护资源、知识和最佳实践等,从而更有效地应对网络攻击、技术漏洞等其他数据安全威胁。这种合作不仅有助于提高数据保护的整体水平,还能增强各方的信任和合作精神,最终实现企业与第三方合作企业共赢的局面。
在加强数据安全保护的过程中,企业必须认识到,数据安全不仅仅是技术问题,更是一个涉及员工意识、企业管理流程等多方位的问题。只有将数据安全融入到企业的每一个层面,才能真正构建起企业数据保护的安全防线。
