国内外敏感信息泄露案例分析 你的数据是如何泄露的?
前言
随着我国信息化建设的不断加深,互联网已经深入到了人民日常生活的每个角落,特别是移动互联网的快速发展,大大方便了人们的衣食住行,但是,在享受便利的同时,也给我们带了很多烦恼,比如刚生完孩子就有人打电话推销母婴用品,刚咨询了贷款就有无数的金融平台打电话要提供资金,注册了股票账户就有无数的所谓牛股推荐……
这样的例子比比皆是,刚我们的生活带来了很多困扰,我们不禁要问,这些敏感数据是怎么泄露的?特别是近些年,个人信息在被各类主体挖掘和利用的同时,因个人敏感信息泄露所引发的侵权、欺诈等信息犯罪行为日益严重,已为全社会造成了巨大损失,严重影响了社会安定。
在IBM 和 Ponemon Institute发布的《2015 年数据泄露成本调查:全球分析》中指出“参加研究的 350 家公司的数据泄露平均总成本从 352 增至 379 万美元,每条丢失或被窃记录(包含敏感和机密信息)的平均支付成本从 2014 年的 145 美元增至2015年调查的 154 美元”。
我们收集了2002年至2017年3月之间公开报道的敏感信息泄露案例,涉及到的行业包括互联网、金融、医疗、政府机构等,本文将对这些案例进行汇总分析,试图研究敏感信息泄露的趋势。
关键发现:美国高防服务器
√ 泄露的信息类型包括个人敏感信息、商业秘密、国家秘密,其中以个人敏感信息和商业秘密为主,超过95%。
√ 敏感信息泄露呈现上升趋势,泄露手段从以黑客入侵等技术手段为主向技术手段与收买内部员工、内部管理不善等非技术手段结合并用发展,特别是对非技术手段的运用,近几年呈现出较快速的增长。
√ 敏感信息泄露涉及行业广泛,但重点集中在互联网、制造业、政府机构及金融行业。
√ 互联网行业信息泄露事件呈现高速增长趋势,需要引起警惕;制造业信息泄露事件逐年下降,但随着工控技术及信息技术在制造行业的应用,应持续关注信息安全,降低敏感信息泄露的可能性。
一、敏感信息的定义及分类
敏感信息(或敏感数据),是指不当使用或未经授权被人接触或修改后,会产生不利于国家和组织的负面影响和利益损失,或不利于个人依法享有的个人隐私的所有信息。
敏感信息根据其信息种类的不同,可以分为个人敏感信息、商业敏感信息、国家秘密。由于国家秘密有专门的机构进行管理,本报告中将直接引用《中华人民共和国保守国家秘密法》中国家秘密的定义,将在下文中不进行详细介绍和定义。
1. 个人敏感信息
中华人民共和国最高人民法院、最高人民检察院对“公民个人信息”进行了解释,即:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
最高法的司法解释,指明了个人敏感信息的种类,包括:
1) 基本信息,如姓名、性别、年龄、身份证号码、电话号码、Email地址及家庭住址等,有时甚至会包括婚姻、信仰、职业、工作单位、收入、病历、生育等内容。
2) 设备信息,是指个人信息主体使用各种计算机终端设备(包括移动和固定终端)的基本信息,如位置信息、Wifi列表信息、Mac地址、CPU信息、内存信息、SD卡信息等。
3) 账户信息,主要包括银行帐号(特别是网银账号)、第三方支付帐号,社交帐号和重要邮箱帐号等。
4) 隐私信息,主要包括通讯录信息、通话记录、短信记录、IM应用软件聊天记录、个人视频、照片等,甚至包括个人健康记录、生物特征等。
5) 社会关系信息,主要包括好友关系、家庭成员信息、工作单位信息等。
6) 网络行为信息,主要是指上网行为记录和活动行为,如上网时间、上网地点、输入记录、聊天交友、网站访问行为、网络游戏行为等信息。
当前,个人敏感信息的泄露主要通过人为倒卖、手机泄露、电脑病毒感染和网站漏洞等途径实现。特别是现阶段在互联网应用普及和对互联网依赖背景之下,由于信息安全漏洞造成的个人敏感信息泄露事件频发。因此,为防范个人敏感信息泄露,保护个人隐私,除了个人要提高自我信息保护意识以外,国家也正在积极推进保护个人信息安全的立法进程。《中华人民共和国网络安全法》2017年6月1日起实施,具有里程碑式的意义,可以起到积极的作用,有利于我国对个人敏感信息的保护。
2. 商业敏感信息
1993年12月1日实施的《中华人民共和国反不正当竞争法》将“商业敏感信息”定义为“不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利采取保密措施的技术信息和经营信息”。
技术信息主要是指权利人采取了保密措施保护不为公众所知晓(未取得工业产权保护)的,具有经济价值的技术知识,如:设计、程序、产品配方、制作工艺等。
经营信息是指权利人采取了保密措施不为公众所知晓的具有经济价值的有关商业、管理等方面的方法、经验或其他信息,如:企业的战略规划、管理方法、商业模式等。
3. 说明
本次分析将对已收集的敏感信息泄露案例进行汇总分析,不会对具体的案例做详细分析,通过不同的角度和维度展开,力图使用统计学的方法和大数据分析的理论,在数据泄露类型、涉及的行业、泄露途径等不同方面展开汇总分析,通过对这些案例的汇总分析,查找事件发生的根本原因,以便能够帮助组织有针对性的对敏感信息进行保护。
本报告中所搜集的案例均来自于公开渠道,由于案例类别、数量的限制,本报告具有内在的局限性,所有分析结果并不能完全代表现状或趋势,所有结论仅为作者个人观点,本报告仅用于研究使用。
目前,Verizon、IBM、Trustwave等机构每年会发布数据泄露报告,分布年度报告、行业报告、泄露成本报告等不同维度发布,本报告中涉及的部分案例与这些机构报告中使用的案例有所重叠,特此说明。
二、主要分析结果
对收集的案例进行汇总分析,可以发现,从2002年到2017年一季度,敏感信息泄露的整体趋势呈现上升态势,在2011年敏感信息泄露事件出现爆发式增长,在2016年达到了峰值,近年,虽然企业对敏感信息的保护程度有所提升,但是敏感信息泄露事件仍然呈现上升趋势,其主要原因在于一方面黑客获取信息的途径变得越来越多,另一方面存储敏感信息的企业越来越多,但是很多企业对敏感信息保护的重视程度不足,导致越来越多的信息泄露事件的发生,整体形势不容乐观。
敏感信息泄露案例汇总及趋势分析
1. 基于信息泄露类型角度的敏感信息泄露案例汇总分析
根据数据类型不同,对收集的案例进行汇总分析,汇总出在发生的敏感信息泄露的案例中不同信息类型(个人信息、商业信息、国家秘密)所涉及的数量和比例。
如下图所示:
不同信息类型数据泄露情况表
通过汇总分析,我们可以看到,在已发生的敏感信息泄露中,个人信息占了63.5%,商业秘密占了32%,国家秘密占4.5%。
下面将对三种信息类型的具体分布做进一步的汇总分析。
1.1 个人敏感信息
可以看到,在已有的敏感信息泄露案例中,有超过6成会导致个人敏感信息泄露,因此滋生的电信、网络诈骗等下游违法犯罪行为已造成社会巨大损失,严重影响社会安定,成为社会公害,更严重还会出现根据用户特征设计实施的“精准式”诈骗,威胁公众的财产和人身安全。
对个人敏感信息泄露涉及到的行业类型、泄露手段等内容进行进一步的深入分析,可以发现:
1) 行业分布广泛,互联网、金融成为重灾区。
在我们收集的案例中,涉及到个人敏感信息泄露情况的行业多达20个,分布较为广泛,包括设备厂商、电商、互联网公司、金融机构、医疗、政府机构、运营商等。其中个人信息泄露涉及到的Top 5的行业为:互联网、金融、政府机构、教育、医疗,占全部个人信息泄露的69.29%,成为个人敏感信息泄露的重灾区。我们可以看到,Top 5的行业基本上都是偏重于储存、分析、使用个人信息的行业,涉及到我们日常生活的各个方面。
个人信息泄露行业分布
进一步对信息泄露的原因进行分析,可以发现,主要原因为对信息安全的重视程度不能够适应科技的快速变革及发展。随着近年来科技的发展,特别是移动互联网得到了长足的发展,基本上可以做到一个手机解决所有事情,但是便利的同时,安全性并未得到同样的提升,而是增加了数据泄露的途径,降低了不法分子获取敏感数据的难度,进而导致了个人信息的非授权的使用和泄露。
2) 黑客入侵获取数据成为主要手段
将不发分子获取信息的手段分为技术手段(包括黑客入侵、软件漏洞等)、非技术手段(内部人员泄密、非有意识泄密等)。
个人信息泄露手段分析
通过分析可以发现,73.23%的个人信息泄露是由于黑客入侵等技术手段获取到的数据,18.9%的个人信息泄露是由于内部人员主动泄露或出售数据非法牟利等非技术手段导致数据泄露,此外还有7.87%的泄密尚不清楚是由于那种手段导致数据泄露。
3) 国外暴露出的个人信息泄露案例要远超过国内
通过收集到的案例来看,暴露出的国外的个人信息泄露案例达到62.99%,是国内暴露出的个人敏感信息泄露案例的2倍,虽然国内个人敏感信息案例少于国外,但是由于我国人口基数比较大,受影响人数反而要远远超过国外同类泄露事件。
个人信息泄露国内外情况分析
1.2 商业秘密
随着信息技术的发展,数据的存储方式、存储介质、传输方式都发生了改变,这也为不法人员窃取商业秘密变得更加的隐蔽,涉嫌商业秘密泄露的案件中,大量的证据均是以电子文档的形式存在的,其证据一般都是随身携带。
对商业敏感信息泄露涉及到的行业类型、泄露手段等内容进行进一步的深入分析后发现:
1) 行业分布广泛,制造业、互联网成为商业秘密泄露情况较多。
在我们收集的案例中,涉及到商业秘密信息泄露情况的行业多达19个,分布较为广泛,包括设备厂商、人力资源、互联网、金融、化工、制造业等。其中商业秘密信息泄露涉及到的Top 5的行业为:制造业、互联网、化工、人力资源、软件公司、媒体、政府机构,占全部商业秘密信息泄露的近8成。
商业秘密泄露案例行业分布
通过进一步分析,可以发现,商业秘密的泄露主要集中在有一定技术壁垒或需要创新的行业,不法分子或竞争对手,通过雇佣商业间谍或雇佣黑客入侵等手段,窃取产品设计、产品配方、制作工艺、企业战略规划等商业秘密。
2) 收买内部员工或跳槽成为商业秘密主要泄露手段
商业秘密泄露手段汇总分析
可以发现,与个人敏感信息泄露相比,商业秘密的泄露手段主要为非技术手段,我们对泄露手段进行进一步分析,如下图:
商业秘密非技术手段泄露汇总分析
通过分析我们可以看到,商业秘密的泄露手段主要通过收买内部员工或由于前员工跳槽导致信息的泄露。
3) 国内商业秘密泄露案例要多于国外
通过收集到的案例来看,暴露出的国内的商业信息泄露案例达到64.06%,是国外暴露出的商业秘密信息泄露案例的近2倍。
商业秘密泄露国内外分布情况
1.3 国家秘密
国家秘密泄露的手段中技术手段占比44.44%,其主要为黑客入侵导致,非技术手段占比为55.56%。
国家秘密泄露手段汇总分析
对造成数据泄露的原因及手段进行进一步的分析,发现由于安全意识薄弱、第三方外包人员及黑客攻击导致泄密的占比达到67%。
国家秘密泄露具体手段汇总分析表
2. 基于泄露手段的敏感信息泄露案例汇总分析
根据信息泄露手段的不同,对收集的案例进行汇总分析,汇总出导致敏感信息泄露的主要手段及其比例。
敏感泄露泄密手段汇总分析表
可以看到,通过技术手段导致出现敏感信息泄露事件占比超过6成,非技术手段导致敏感信息泄露事件占比不足4成。
对采用的技术手段和非技术手段导致敏感信息泄露事件的趋势情况进行进一步分析,如下图:
敏感信息泄露手段汇总及趋势分析
研究发现,在过去的十五年中,由于非技术手段导致出现敏感信息泄露的情况整体持平,趋势较为平缓,未出现显著的增长;由于技术手段导致出现敏感信息泄露的情况呈现显著的增长,且在未来一段时间,预计仍将会延续高速增长状态,需要引起注意和警惕。
2.1 技术手段
对通过技术手段窃取敏感信息的行业分布情况进行汇总分析,互联网、政府机构、金融行业成为信息泄露的重灾区。
敏感信息泄露技术手段涉及行业的汇总分析
进行进一步分析发现:
1) 互联网行业中由于对信息技术,特别是新技术的大量应用,在其为客户提供服务的同时,会相应的抓取大量的客户行为信息、身份信息、金融交易信息等,但是在对其保护方面存在不足,导致不法分子通过技术手段大量窃取这些敏感信息,造成信息泄露。
2) 政府机构泄露的敏感信息类型主要为个人敏感信息,包括个人基本信息、医疗信息、社保信息等,这些信息的泄露危害程度较高,很多信息都是伴随着一生的信息,一次泄露相当于永远泄露。
3) 金融行业泄露的敏感信息类型主要是个人财务信息、征信信息、保险信息等,不法分子获得此类信息主要用于实施电信诈骗。
对通过技术手段导致敏感信息泄露的信息类型进行汇总分析,我们发现,通过技术手段导致敏感数据主要为个人敏感信息方面,在国家秘密和商业秘密的保护上,整体技术防护相对较好。
敏感信息泄露手段汇总及趋势分析——技术手段
随着近几年大数据分析技术的广泛应用,数据价值也变得越来越高,特别是对很多公司而言,其商业信息就是这些客户个人信息,提高对个人信息的保护就是保护其商业秘密。可以看到,从2010年到2013年间,通过技术手段窃取个人敏感信息所占比例逐年上升,2013年达到最高,随着对敏感信息的保护及重视,近3年呈现平稳下降趋势。
敏感信息泄露技术手段分析——个人信息
经过分析发现,敏感信息泄露主要采用的技术手段为黑客攻击窃取敏感信息,在2014年达到顶峰,在近年,上升趋势有所缓和,分析其原因,近年由于各机构、单位陆续上线了很多技术防护措施,在一定程度上增加了黑客攻击的难度。但是,值得警惕的是,由于互联网使用人群的大量提升,人员意识参差不齐等原因,采用网络钓鱼手段窃取敏感信息的事件有所提升。
2.2 非技术手段
对通过非技术手段窃取敏感信息的行业分布情况进行汇总分析,制造业、互联网、政府机构、金融行业成为不法分子获取敏感信息的主要来源。
敏感信息泄露非技术手段涉及行业汇总分析
对通过非技术手段导致敏感信息泄露的信息类型进行汇总分析,我们发现:
1) 商业秘密方面,趋势相对平稳,随着科技的发展和对信息的重视程度的提升,呈逐年下降趋势;
2) 个人信息方面,呈现出爆发式增长的趋势,进一步分析其原因不难发现,主要由于技术手段窃取信息的难度逐年增大,进而不法分子正在逐渐转变获取信息的手段和方式,需要引起警惕,进一步提高内部管理和控制,提升人员安全意识。
3) 国家秘密方面,也呈现上升趋势,特别是随着我国综合国力的进一步增强和国际地位的提高,笔者认为,这一方面会进一步上升。
敏感信息泄露手段汇总及趋势分析——非技术手段
内部员工泄密、前员工跳槽泄密及内部管理不完善成为主要原因。
敏感信息泄露非技术手段汇总分析
对到这信息泄露非技术手段的趋势情况进行进一步分析,如下图:
敏感信息泄露手段趋势分析——非技术
经过分析发现:
1) 由于员工跳槽导致敏感信息泄露的情况呈现逐年下降趋势,分析其主要原因发现,一方面由于企业开始重视对敏感信息的保护,对核心机密信息的防护越来越强,掌握核心机密信息的人员越来越少,忠诚度越来越高;另外一方,企业的核心机密信息变得越来越复杂,分工较为细致,一个人掌握全部核心信息的情况基本成为过去,即使出现跳槽情况,对企业的影响也大大的降低。
2) 收买内部人员持续泄密的情况有所上升,该种方式隐蔽性高,持续性久,给企业造成的危害巨大。
3) 由于内部管理问题出现敏感信息泄露情况呈上升趋势。由于内部管理不完善、制度不健全、内控制度执行不利等内部管理问题出现信息泄露的情况变得越来越多,需要引起警惕和重视。
3. 基于行业分布角度的敏感信息泄露案例汇总分析
根据信息泄露行业的不同,我们对收集的案例进行汇总分析,汇总出导致敏感信息泄露的行业分布情况。
敏感信息泄露非技术手段趋势分析
在统计的敏感信息泄露案例中,共涉及到26个行业,其中互联网行业、制造业、政府机构及金融行业成为不法分子窃取敏感信息的主要来源。
下面将对互联网、制造业、政府机构及金融机构的敏感信息泄露现状进行分析。
3.1 互联网行业敏感信息泄露现状分析
对互联网行业发生的敏感信息泄露案例进行汇总分析,可以发现,不法分子通过技术手段导致出现信息泄露的事件达到了81.82%。
互联网行业敏感信息泄露手段汇总
进一步对信息泄露手段进行分析,可以发现,互联网公司长期遭受黑客入侵攻击,互联网公司的敏感信息泄露事件中,67.27%是由于遭到黑客入侵攻击。此外,由于内部员工泄密、系统自身漏洞也成为敏感信息泄露的主要方式。
互联网行业敏感信息泄露手段分析
对互联网行业敏感信息泄露的信息类型进行汇总分析,近8成的信息泄露事件会导致个人敏感信息的泄露。
互联网行业泄露信息类型汇总分析
对互联网行业敏感信息泄露的趋势进行分析发现,从2010年开始,互联网行业敏感信息泄露情况出现显著增长,目前来看,这一增长趋势仍将维持其高速增长的态势,笔者认为,这与整个互联网行业的发展是相匹配的,这就要求我们在业务发展的同时也要注意对敏感信息的保护,进一步提高对信息安全的重视。
互联网行业敏感信息泄露趋势分析
3.2 制造业敏感信息泄露现状分析
对制造行业发生的敏感信息泄露案例进行汇总分析,可以发现,78.26%的敏感信息泄露通过非技术手段实现。
制造业敏感信息泄露手段汇总
进一步对信息泄露手段进行分析,可以发现,制造行业中由于员工跳槽泄密、收买内部员工获取敏感信息成为主要的信息泄露原因。
制造业敏感信息泄露手段分析
对制造业敏感信息泄露的信息类型进行汇总分析,制造业信息泄露主要类型为商业秘密数据,这和其所属的行业特性是分不开的。
制造业泄露信息类型汇总分析
对制造业敏感信息泄露的趋势进行分析发现,整体制造行业中敏感信息泄露呈现逐年下降趋势,这与企业逐年提高对敏感信息的保护是分不开的。但是,随着制造业的转型发展,工控技术及信息化技术的大规模应用,特别是国家提出的“制造2025”,在政策的大力支持和资金的倾斜下,笔者认为,未来一段时间制造业将出现一段显著性的增长,到那时,可能会迎来新一轮的敏感信息泄露的挑战,需提高警惕。
制造行业敏感信息泄露趋势分析
3.3 政府机构敏感信息泄露现状分析
对政府机构发生的敏感信息泄露案例进行汇总分析,技术手段导致敏感信息泄露的事件达到57.89%,非技术手段导致敏感信息泄露的事件达到36.84%,此外有5.26%的敏感信息泄露事件尚不清楚是由于哪种原因导致。
政府机构敏感信息泄露手段汇总
进一步对信息泄露手段进行分析,可以发现,政府机构中由于遭到黑客攻击手段导致信息泄露占到47.37%,此外由于内部人员泄密或行贿、盗窃等原因泄密也占据了10.53%。
政府机构敏感信息泄露手段分析
对政府机构中敏感信息泄露的信息类型进行汇总分析,个人敏感信息泄露占到52.63%,进一步分析,主要泄露的信息类型包括个人基础信息、医保信息、社保信息等,这些信息多数为伴随一生的信息,一旦发生泄露即为永久泄露,危害性巨大。
政府机构泄露信息类型汇总分析
对政府机构敏感信息泄露的趋势进行分析发现,整体呈现上升趋势,特别随着大数据分析等新技术的运用,人员基本资料、医保、社保等信息变得越来越重要,这些信息的泄露也为人民的生活带来了巨大的隐患,应进一步加强对敏感信息的保护。
政府机构敏感信息泄露趋势分析
3.4 金融行业敏感信息泄露现状分析
对金融行业发生的敏感信息泄露案例进行汇总分析,由于技术手段导致出现的敏感信息泄露事件占比55%,由于非技术手段导致的敏感信息泄露占比40%,此外,有5%的敏感信息泄露事件尚不清楚是由于哪种手段导致泄露。
金融行业敏感信息泄露手段汇总
进一步对信息泄露手段进行分析,可以发现,金融行业中由于遭到黑客攻击手段导致信息泄露占到45%,此外由于内部管理不完善导致信息泄密情况占据25%。
金融行业敏感信息泄露手段分析
对金融行业中敏感信息泄露的信息类型进行汇总分析,超过9成的泄露信息类型为个人敏感信息,此类信息的泄露,会进一步加剧电信诈骗,造成大量的损失。
金融行业泄露信息类型汇总分析
对金融行业敏感信息泄露的趋势进行分析发现,整体趋势相对平缓,目前来看,尚未出现显著增长态势,与互联网、政府机构相比,整体情况要略好。
金融行业敏感信息泄露趋势分析
三、建议
经过对国内外敏感信息泄露案例的汇总分析,针对当前存在的情况,笔者认为,有以下几个方面需要加强。
1) 进一步加强对敏感信息泄露案件的打击力度,完善敏感信息法律保护体系,做到有法可依,有法必依,保持高压态势,提升犯罪分子的违法成本。
2) 各组织机构在业务快速发展的同时,应提高对信息安全的重视,一方面加大对信息安全方面的投入,部署信息安全设备,加强对敏感信息的保护,另一方面,应组建专门的信息安全团队或明确敏感信息保护的责任,做到合理规划、统筹兼顾。
3) 提高人员敏感信息保护意识,组织应加强信息安全意识培训及宣传,防止无意识泄密事件的发生。
4) 针对一些敏感信息泄露的高发行业,如互联网行业、金融行业等,一方面应加强监管,督促企业完善敏感信息保护措施,另一方面,组织应加强内部管理,强化制度的执行力,加大高风险环节的检查力度和频率,控制人员权限,建立必要的制约与控制机制。
附:部分敏感信息泄露案例