數(shù)據(jù)合規(guī)要求嚴(yán)苛,數(shù)據(jù)泄露形勢(shì)嚴(yán)峻
數(shù)字經(jīng)濟(jì)作為經(jīng)濟(jì)發(fā)展的新動(dòng)能,成為拉動(dòng)全球經(jīng)濟(jì)增長(zhǎng)的新引擎,世界各主要國(guó)家已將發(fā)展數(shù)字經(jīng)濟(jì)作為重塑核心競(jìng)爭(zhēng)力的重要舉措,而數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)發(fā)展的關(guān)鍵因素,被各國(guó)納入法律保護(hù)范疇,對(duì)企業(yè)提出更高要求。歐盟《通用數(shù)據(jù)保護(hù)條例》(簡(jiǎn)稱 GDPR)自2018年施行以來(lái),在各行各業(yè)開(kāi)出近300罰單,罰金合計(jì)超4.7億歐元(數(shù)據(jù)來(lái)源:enforcementtracker網(wǎng)站),如:
英國(guó)航空公司因泄露50萬(wàn)客戶的個(gè)人及信用卡信息,罰款約2億歐元;
萬(wàn)豪酒店集團(tuán)也因泄露超3億用戶的個(gè)人信息,罰款1.24億歐元;
谷歌因處理個(gè)人用戶數(shù)據(jù)時(shí)未充分履行其義務(wù),罰款5000萬(wàn)歐元;
瑞典某高中因違反數(shù)據(jù)收集目的限制和最小范圍原則,罰款近2萬(wàn)歐元。
近日,我國(guó)也發(fā)布了《數(shù)據(jù)安全法(草案)》,填補(bǔ)該領(lǐng)域立法空白,明確了企業(yè)數(shù)據(jù)安全保護(hù)責(zé)任和義務(wù),并提出相關(guān)罰則。
企業(yè)在面對(duì)合規(guī)監(jiān)管愈發(fā)嚴(yán)苛的同時(shí),也在經(jīng)歷著更加嚴(yán)峻的數(shù)據(jù)泄露態(tài)勢(shì)。據(jù)2020年Verison數(shù)據(jù)泄露調(diào)查報(bào)告(DBIR)顯示,中小企業(yè)與大型企業(yè)面臨著近乎相同的安全風(fēng)險(xiǎn),在調(diào)研的407件中小企業(yè)網(wǎng)絡(luò)安全事件中,近55%的安全事件伴隨著數(shù)據(jù)泄露。越來(lái)越嚴(yán)格的合規(guī)要求和日漸嚴(yán)峻的數(shù)據(jù)泄露風(fēng)險(xiǎn),給中小企業(yè)信息安全建設(shè)帶來(lái)更大挑戰(zhàn)。
勒索事件頻發(fā)難以防范
在經(jīng)濟(jì)利益的驅(qū)動(dòng)下,勒索病毒成為近年來(lái)的主流網(wǎng)絡(luò)安全威脅之一。綠盟科技安全事件響應(yīng)年報(bào)顯示,2017至2019年勒索病毒類事件數(shù)量始終占據(jù)熱門網(wǎng)絡(luò)安全事件Top3,雖然2019年事件數(shù)量較上一年減少近15%,但勒索病毒呈現(xiàn)出家族化和高更新迭代速度的特征,并伴隨著勒索金額的持續(xù)走高,如GandCrab勒索病毒1.0版本出現(xiàn)于2018年1月,僅在16個(gè)月內(nèi),版本更新至5.3,勒索金額也從早期的499美元提升至998美元。此外,隨著勒索軟件產(chǎn)業(yè)鏈的形成,勒索軟件即服務(wù)(RaaS)成為熱門黑產(chǎn)盈利模式,黑產(chǎn)從業(yè)者無(wú)需惡意軟件開(kāi)發(fā)的專業(yè)知識(shí),便可發(fā)起勒索活動(dòng),這樣低門檻、高收益、傳播方式多元化的特性,讓勒索病毒更加難以防范。