2023中国政企机构数据安全风险研究报告

1 主要观点 数据泄露是数据安全领域的核心问题。在2023年全球公开报道的246起数据安全事件中，数据泄露事件占比高达67.5%，泄露数据超过51.8TB，共计103.8亿条。不过，媒体公开报道的数据泄露事件可能只是数据泄露问题的冰山一角。奇安信威胁情报中心监测显示，2023年1~11月，仅在暗网及黑产平台上交易的境内机构泄露数据就多达60.8TB，共计720.4亿条，两项指标双双超过全球媒体公开报道事件的统计数据。 数据勒索的高额收益可能进一步推高政企机构数据泄露安全风险。研究显示，越来越多的勒索团伙正在抛弃“加密勒索”这种传统攻击方式，而是转向单纯的“数据勒索”，即单纯的以窃取机密数据并威胁将之公开的方式向政企机构进行勒索。2023年，全球赎金最高的10起勒索组织攻击事件，平均勒索赎金高达2397万美元，其中7起事件都是单纯的数据勒索事件。数据勒索带来的巨大收益很有可能会吸引越来越多的黑产团伙参与其中。 个人信息是数据泄露和黑产交易的主要数据类型，严重危害公民和社会安全。在境内机构泄露的数据中，涉及个人信息的数据多达586.8亿条，相当于14亿中国人平均每人泄露了约42条个人信息数据。其中，互联网、IT信息技术和能源行业是泄露数据量最多的行业。 网盘、文库、代码托管等互联网知识共享平台也是数据泄露的重要渠道，但尚未得到绝大多数政企机构的充分重视。其中，金融行业对此类问题最为重视，而医疗卫生、互联网和教育行业，通过互联网知识共享平台泄露数据的风险相对于其他行业更高。研究显示，合作伙伴和内部人员是互联网知识共享平台数据泄露事件的主要“元凶”，二者之和占比达到54.6%。加强合作伙伴管理和员工安全意识培训，是数据安全的重要保障。 API安全是数据安全的重要一环，平均每家机构约有206个API接口会用来传输敏感数据。汽车制造业的“潜在”数据安全风险最大，其传输敏感数据的API接口数平均超过900个，传输敏感字段多达332个，这两项指标均是其他行业的3~7倍。同时，汽车制造业API接口传输的个人信息也最多，其中涉及的自然人的数量，是金融、能源、医疗等行业的30~70倍，可谓“遥遥领先”。由此可见，在智能网联汽车的发展中，数据安全至关重要。 解决数据跨境流转问题，需要科学的规划和必要的技术手段。调查显示，尽管很多存在海外业务的机构已经在积极开展跨境数据流转的治理工作，但仍普遍缺乏科学的、整体的数据安全规划，特别是严重缺乏必要的技术手段。而对于绝大多数没有海外分支机构的政企单位而言，往往没有意识到其可能存在的跨境数据流转风险。 数据安全建设，应当遵循内生安全原则，从设计规划之初就把数据分类分级、数据防泄露、防勒索、API安全、跨境数据治理等关键问题列入整体规划，确保数据安全工作与数字化建设同步规划、同步建设、同步运行，用系统性的方法解决数字系统的安全问题。 摘要 2023年1月~12月，《安全内参》共收录全球政企机构重大数据安全新闻事件246起，平均每月20.5起，其中，数据泄露事件为166起，占比67.4%，泄露数据超过51.8TB，共计103.8亿条。 2023年1月~12月，全球政企机构重大数据安全公开事件中，18.6%为政府机构；其次是制造业，占比15.9%为；生活服务行业排第三，占比11.8%。 数据安全事件发生的原因来看，将近八成安全事件是由于外部攻击导致的，但也有8.0%的重大数据安全事件是由于政企机构存在内鬼。 在全球重大数据安全公开事件中，44.1%的事件涉及个人信息；26.8%的事件涉及商业机密；9.1%的事件涉及政府机密。 2023年，奇安信威胁情报中心累计监测到境内政企机构数据泄露事件144起，共泄露数据超过720.4亿条，合计约有60.8TB。其中61.1%的事件，泄露的数据涉及个人信息,合计约有586.8亿条，相当于14亿中国人平均每人泄露了约42条个人信息数据。另有41.7%的事件涉及商业机密。 2023年，网络安全威胁情报生态联盟（CEATI联盟）成员天际友盟共监测到互联网知识共享平台数据泄露事件4760起，涉及16个行业的112个家机构。其中，金融行业对此类问题最为重视，而医疗卫生、互联网和教育行业机构存在此类问题的风险更高。 合作伙伴和内部人员是互联网知识共享平台数据泄露事件的主要“元凶”，二者之和占比达到54.6%。 2023年，奇安信集团共为128家大型政企机构提供了API安全检测服务。抽样分析显示，平均每家机构约有206个API接口会用来传输敏感数据，约占API接口总数的2.5%。 不同行业机构的敏感数据传输情况有很大差异。其中，汽车制造业企业传输敏感数据的API接口多达931个，涉及敏感字段多达332个，是其他行业的3~7倍。 在针对90余个大型综合性系统的跨境数据合规检测中发现，从数据规模来看，在所有跨境传输的数据中，个人一般信息占比约为66.7%，敏感个人信息占比约为3.7%，重要数据占比约为29.6%。 在跨境传输的敏感个人信息中，姓名、手机号、车架号、电子邮件地址、家庭住址、身份证号等敏感关键字段出现最为频繁。 关键词：数据安全、数据要素、公开事件、互联网平台、数据泄露、数据破坏、数据篡改、勒索、商业机密、个人信息 目录 研究背景1 综合形势篇2 第一章全球公开数据安全事件形势分析2 一、事件类型2 二、行业分布3 三、事发原因3 四、事件影响4 数据泄露篇7 第二章境内机构数据泄露情报监测分析7 一、行业分布7 二、泄露类型7 三、个人信息9 四、关键字段10 五、典型案例与安全建议11 第三章互联网平台数据泄露监测分析13 一、行业分布13 二、泄露类型14 三、泄露原因15 四、典型案例15 运营风险篇19 第四章API敏感数据传输风险分析19 一、API安全检测行业分布19 二、敏感数据传输风险20 三、个人信息传输风险21 四、各行业敏感字段举例21 五、典型案例与安全建议22 第五章数据跨境流转安全风险分析24 一、跨境数据流转监测24 二、关键敏感字段25 三、行业对比26 四、典型案例与安全建议26 附录12023数据安全政策与法规建设盘点28 一、十六部门联合发布《指导意见》，1500亿市场呼之欲出28 二、数字中国建设顶层规划将数字安全被列为“两大能力”之一28 三、央行发布数据安全管理办法，填补该领域制度空白29 四、财政部发布重磅文件，数据资产入表全面启动29 五、各地开通公共数据授权运营，“数据二十条”加速探索落地30 六、促进开放和发展，网信办出台数据跨境流动规定30 七、国家数据局正式揭牌，数据要素万亿市场加速开启30 八、北京数据基础制度先行区启动运行31 九、工信部起草数据安全行政处罚裁量指引32 十、国家数据局首提“数据要素×”，2000亿市场激活安全需求32 附录22023年全球数据泄露事件泄露数据排行榜33 附录32023年全球数据勒索事件勒索赎金排行榜34 附录4CEATI联盟35 附录5奇安信数据安全事业部36 附录6奇安信行业安全研究中心37 附录7天际友盟38 研究背景 近年来，数据已成为产业发展的创新要素，不仅在数据科学与技术层次，而且在商业模式、产业格局、生态价值与教育层面，数据都能带来新理念和新思维。大数据与现有产业深度融合，在人工智能、自动驾驶、金融商业服务、医疗健康管理、科学研究等领域展现出广阔的前景，使得生产更加绿色智能、生活更加便捷高效，逐渐成为企业发展的有力引擎，在提升产业竞争力和推动商业模式创新方面发挥越来越重要的作用。 一些信息技术领先企业向大数据转型，提升对大数据的认知和理解的同时，也要充分意识到大数据安全与大数据应用也是一体之两翼，驱动之双轮，必须从国家网络空间安全战略的高度认真研究与应对当前大数据安全面临的复杂问题。如：数据安全保护难度加大、个人信息泄露风险加剧等。 数据技术时代，数据成为业务发展核心动力，也成为黑客的主要目标。对于数据拥有者来讲，数据泄露几乎等同于经济损失。在开放的网络化社会，蕴含着海量数据和潜在价值的大数据更受黑客青睐，近年来也频繁爆发信息系统邮箱账号、社保信息、银行卡号等数据大量被窃的安全事件。分布式的系统部署、开放的网络环境、复杂的数据应用和众多的用户访问，都使得大数据在保密性、完整性、可用性等方面面临更大的挑战。 为更加充分的研究政企机构数据安全风险，奇安信行业安全研究中心联合、奇安信数据安全事业部、奇安信威胁情报中心、网络安全威胁情报生态联盟（CEATI）、天际友盟等研究机构，针对政企机构数据安全状况及风险展开深入研究。 本次研究分别从公开事件、数据泄露情报、数字品牌风险等几方面，针对数据安全（包括数据泄露、数据篡改、数据破坏等）展开深入的研究。希望该项研究能够对全国各地政企机构展开数据安全防护等建设规划有所警示和帮助。 综合形势篇 第一章全球公开数据安全事件形势分析 本章内容主要基于《安全内参》平台收录的全球范围内公开的数据安全重大新闻事件展开全球数据安全形势分析。 一、事件类型 2023年1月~12月，《安全内参》共收录全球政企机构重大数据安全新闻事件246起，平均每月20.5起，其中，数据泄露事件为166起，占比67.4%，泄露数据超过51.8TB，共计103.8亿条。 数据安全事件主要包含数据泄露、数据破坏和数据篡改三大类型。其中，数据泄露问题已经逐渐成为核心痛点。从过去3年间，在全球所有公开的重大数据安全事件中，数据泄露事件的占比从41.2%一路增长到67.5%，而数据破坏事件的比例则从42.0%下降到11.4%。 造成数据泄露事件占比持续攀升的原因主要有两个方面：首先，全球化的地下黑产数据交易活动日趋频繁和成熟，窃取和非法贩卖数据不仅有利可图，而且回报丰厚，从而推动了数据泄露事件的持续高发。其次，数据泄露事件往往会给社会治安造成严重影响，因此也日益受到媒体的关注。“附录22023年全球数据泄露事件泄露数据排行榜”，给出了2023年全球公开数据安全事件中，数据泄露数量最多的10个安全事件。 特别值得关注的是，勒索事件在所有数据安全事件中占比高达27.2%，而且越来越多的勒索团伙开始从加密勒索转向数据勒索。传统的勒索组织主要通过加密数据的方式向受害者勒索赎金。2020年以后，部分定向勒索组织开始采用加密勒索与数据勒索相结合的方式进行双重勒索，即勒索团伙在加密数据之前，先将大量商业机密数据窃取出来，如果受害者不肯支付赎金，勒索者不但不会向受害者提供解码密钥，还会威胁公开其窃取的商业机密数据。 但2023年的情况显示，已经有越来越多的勒索活动完全放弃了加密数据的传统攻击方式，而是转为单纯的以窃取机密数据并威胁公开的方式进行数据勒索。2023年，全球赎金最高的10起勒索组织攻击事件（详见“附录32023年全球数据勒索事件勒索赎金排行榜”），平均勒索赎金高达2397万美元，其中7起事件都是单纯的数据勒索事件。按照某些勒索团伙的说法，放弃加密数据的攻击方式，可以尽可能的减小勒索活动对社会面的影响，即在不直接影响生产的情况下完成勒索。数据勒索带来的巨大收益很有可能会吸引越来越多的黑产团伙参与其中。 二、行业分布 2023年1月~12月，全球政企机构重大数据安全公开事件中，18.6%为政府机构；其次是制造业，占比15.9%为；生活服务行业排第三，占比11.8%。下图给出了2023年1月~12月，全球政企机构重大数据安全事件所涉及到的十大行业分布。 制造业的数据安全问题应当引起特别的关注。传统制造业企业很少产生数据，也很少收集、存储和计算数据。但智能制造技术的持续发展，使得部分制造业企业的生产过程全面数字化。特别是智能汽车、智慧安防、智能家居、可穿戴设备等新型联网工业品的普及，使得相关制造业企业逐步转型成为重要的数据收集者和数据运营者，并且这些数据中往往包含大量的用户个人信息，数据一旦泄露，会严重危害公共安全。 三、