信息外泄事件屢屢發(fā)生 安永：企業(yè)正提高網絡安全支出

每經記者 蔣佩芳     每經編輯 陳俊杰    

每經記者 蔣佩芳 每經編輯 陳俊杰

不久前，一家名為Cambridge Analytica的數據分析公司，在未經用戶允許的情況下，竊取了高達5000萬名Facebook用戶的個人資料。更為關鍵的是，該公司是通過與Facebook的合作而獲取上述信息的，因此，作為全球最大的社交平臺之一的Facebook被質疑對用戶信息管理不善。

不僅僅是互聯(lián)網公司，隨著信息外泄事件屢屢發(fā)生，涉及范圍也延伸到了其他行業(yè)。美國功能性運動品牌Under Armour（安德瑪）也于近日宣布其My Fitness Pal運動應用程序涉及大規(guī)模信息泄露事件，1.5億用戶賬號受影響。

信息泄露的主體從單一的個人到大規(guī)模的群體，引起各界關注和重視。另據安永最新發(fā)布的《第20屆全球信息安全調查報告》顯示，大部分企業(yè)均在不斷增加網絡安全方面的支出，超過90%的受訪者表示，今年會在這方面有更高的預算。

數據泄露事件屢屢發(fā)生

信息泄露事件并非新鮮事，但全球網絡威脅正日益加劇。

單就2017年來看，發(fā)生的重大數據泄露事件已經不少：洲際酒店超過1000家旗下酒店遭遇支付卡信息泄露；全球11個國家和地區(qū)的41家凱悅酒店支付系統(tǒng)被黑客入侵，大量數據外泄；全球知名的管理咨詢公司埃森哲因為服務器配置不當，導致大量敏感數據公開……

去年，美國電信巨頭威瑞森（Verizon Communications）在發(fā)布的《2017年的數據泄露調查報告》中對以往的安全事件和數據泄露進行了分析，報告認為，在調查的幾萬個安全事件中，內部威脅占25%，75%是外部攻擊導致；在外部攻擊中，51%的網絡攻擊涉及到有組織有計劃的犯罪集團。在數據泄露原因方面，62%的數據泄露與黑客攻擊有關；81%的的數據泄露涉及到撞庫或弱口令。

據悉，上述報告是一份“10周年報”，統(tǒng)計結果主要基于威瑞森在過去10年里從65家不同的組織獲得的泄露數據，總共分析了42068個安全事件以及來自84個國家的1935個漏洞。

數據泄漏案例不斷增加，CIC灼識咨詢執(zhí)行董事趙曉馬向《每日經濟新聞》記者表示，企業(yè)數據安全能力必須充分考慮組織保障、管理政策及流程的落地、大數據治理、數據生命周期的安全、數據的風控、數據生態(tài)的安全協(xié)同六大要素。

趙曉馬稱，數據安全能力成熟度模型(data security maturity model，DSMM)以數據生命周期為主線，聚焦數據安全相關的四大能力：組織建設、人員能力、制度流程、技術工具，對組織機構的數據安全能力進行評級，能夠很好地幫助組織自身及合作伙伴評估數據安全能力，找到差距，有的放矢地提升數據安全能力，并作為數據共享的風險評判依據之一。

網絡安全如何反應為重中之重

在安永全球信息安全咨詢服務主管Paul van Kessel看來，“新技術所帶來的緊密聯(lián)結性和新浪潮在創(chuàng)造巨大機會的同時，也給企業(yè)引入了新的風險。不僅是數據和隱私容易遭受攻擊，物聯(lián)網的應用將企業(yè)的運營科技暴露給攻擊者，使攻擊者有機會中斷或破壞工業(yè)控制等系統(tǒng)。因此，隨著企業(yè)逐漸進入數字化時代，他們必須從各個角度審視自己的數字生態(tài)系統(tǒng)，以保護他們當前、近期與未來的業(yè)務。近期最成功的網絡攻擊采用了常規(guī)方法，即利用企業(yè)已知漏洞。”

據安永調查顯示，全球有43%的受訪企業(yè)認為惡意軟件是其面臨的最大威脅，與釣魚郵件并列首位，明顯高于中國區(qū)的16%（惡意軟件）和12%（釣魚郵件）。88%的受訪者認為，信息安全系統(tǒng)并不能完全滿足企業(yè)的需求。

安永（中國）企業(yè)咨詢有限公司風險咨詢服務合伙人顧卿華認為，現(xiàn)在網絡安全威脅無處不在，且公司被網絡攻擊攻破或許只是時間問題，基本上沒有企業(yè)可以獨善其身，也沒有企業(yè)可以置身事外，這種情況下網絡安全響應機制很重要。

Paul van Kessel在接受采訪時進一步表示，信息安全有3個方面非常重要，即防護、適當反應，如何反應。“最后一方面（如何反應）是將來一個比較重中之重的投資熱點。”