前言
資料洩露(Data Breach)指的是個人或組織的私有或機密資訊在有意或無意間暴露於不安全環境中的事件。這類事件通常與駭客攻擊、有組織犯罪、政治運動或國際競爭有關,但也可能由於員工疏忽、違規使用或不當處置儲存媒介而發生。從員工在公共交通工具上遺失列印的內部文件,到駭客組織入侵政府防火牆、竊取軍事或政治機密,這些資料洩露事件屢見不鮮。常見的被洩露資訊包括金融資料(如信用卡帳戶、銀行資訊)、個人健康資料、個人識別資訊、商業機密及智慧財產權等。
介紹
對於一個組織而言,資料洩露可能造成嚴重的直接或間接損失。資料洩露不僅會嚴重損害組織的聲譽,洩露的資料也可能被用於犯罪活動,組織還需耗費大量時間和金錢來進行事故調查和善後處理。
根據非營利消費者權益組織Privacy Rights Clearinghouse的報告,在美國,僅2005年1月至2008年4月期間,就有超過2.27億條包含敏感資訊的資料確定遭到洩露。面對日益嚴峻的資料安全形勢,許多國家的司法機構和立法機關已通過相關法律法規,要求企業在發生資料洩露時通知消費者並採取措施減輕其損失。
簡單的定義
一起資料洩露事件可能涉及多種事故或疏忽,如資料儲存裝置的遺失或失竊(如未加密磁碟、筆記型電腦遺失)、將敏感資料上傳至網際網路、未採用適當的資訊安全措施即連接至網際網路、使用個人或未加密的組織電子信箱傳輸不宜公開的資訊,或購買了被植入惡意程式或硬體的裝置。根據ISO/IEC 27040標準,資料洩露是一種資料處理過程中的安全問題,導致資料的意外或非法損毀、遺失、修改,未經授權的披露或訪問。環境是否可信並非一成不變:例如,若某員工離職後仍能訪問原先的資料,這就可能成為資料洩露的突破口,使「可信環境」失去可信度。在分散式系統中,當信任網路中的某個節點被入侵時,也可能發生類似情況。為此,使用資料分級策略來保護資料,可有效降低洩露風險。通過分級,資料管理者可以根據資料的重要性調整安全策略,以更好地保護關鍵資訊。
最常發生的狀況
在大多數公開報導的事件中,個人資訊(如身分證號碼)是最常被洩露的資料。由於公眾對於洩露公司商業機密、敏感合作資訊、合同細節或政府資料可能造成的損失認識不足,此類洩露事件通常不會被廣泛報導。公開這些事故本身也可能導致比資料洩露更嚴重的後果。在各種可能引發資料洩露的原因中,最常見的是員工的疏忽或蓄意破壞。波耐蒙研究所(Ponemon Institute)報告顯示,大約37%的資料洩露由人為因素引發。Privacy Rights Clearinghouse(PRC)的報告指出,從2005年1月到2018年12月,發生了9000多起資料洩露事件,主要原因包括內部攻擊、員工遺失或被盜的可攜式裝置、電腦感染病毒以及誤發電子郵件等,這些都充分證明人為因素是資料洩露的主要原因。
引發資料洩露的外部因素則包括個人或團體的網路犯罪者(如駭客和駭客組織)以及政府特工等。
產生的後果
儘管資料洩露可能導致如身分盜竊等嚴重後果,但多數潛在的資料洩露事件並未對相關方產生長遠影響:大部分安全事件在資料被非法訪問之前就已被遏制,有些硬體盜竊案件中,嫌疑人僅對硬體本身感興趣,或無法破解硬體上的安全措施。儘管如此,當此類事件發生後,責任方通常會向受影響的客戶或受害者提供額外的安全服務,如更換信用卡。
然而,一起成功的資料洩露事件仍可能帶來重大損失。2013年目標百貨的資料洩露事件曝光後,該公司當年第四季度的盈利縮水約40%,次年報告顯示,該事件總共造成了2.9億美元的經濟損失。網際網路犯罪每年平均給能源和公共事業公司帶來1280萬美元的損失。在醫療領域,僅2014和2015年兩年內,資料洩露問題就導致了62億美元的損失;在波蘭,超過2500萬人的醫保資料遭竊,600萬人的身分資訊被洩露,居民因此增加的支出達560億美元。
在網際網路領域,資料洩露事件的損失則更為嚴重。2016年雅虎爆出資料洩露事件後,Verizon公司要求重新談判收購雅虎的交易,最終這起事件導致雅虎的收購價格降低了3.2億美元。
隨著數字時代的發展,資料量呈指數級增長,資料洩露事件也越來越頻繁。防止敏感資料洩露已成為許多企業在安全領域的重點工作。為了保障資料和財務安全,各方在防止資料洩露方面投入了大量資金。有文獻指出,從2017年到2021年,全球在網際網路安全領域的支出已超過1萬億美元。
近幾年的洩漏案例
2020年
2021年
3月12日,微軟Exchange郵件伺服器的漏洞導致約3000個英國郵件伺服器面臨資料洩露風險。
2022年
參考資料
iThome鐵人賽
看影片追技術