《奇安信：2023中国政企机构数据安全风险研究报告（44页）.pdf》由会员分享，可在线阅读，更多相关《奇安信：2023中国政企机构数据安全风险研究报告（44页）.pdf（44页珍藏版）》请在三个皮匠报告上搜索。

1、 1 主要观点 数据泄露是数据安全领域的核心问题。在 2023 年全球公开报道的 246 起数据安全事件中，数据泄露事件占比高达 67.5%，泄露数据超过 51.8TB，共计 103.8 亿条。不过，媒体公开报道的数据泄露事件可能只是数据泄露问题的冰山一角。奇安信威胁情报中心监测显示，2023年111月，仅在暗网及黑产平台上交易的境内机构泄露数据就多达60.8TB，共计 720.4 亿条，两项指标双双超过全球媒体公开报道事件的统计数据。数据勒索的高额收益可能进一步推高政企机构数据泄露安全风险。研究显示，越来越多的勒索团伙正在抛弃“加密勒索”这种传统攻击方式，而是转向单纯的“数据勒索”，即单纯的

2、以窃取机密数据并威胁将之公开的方式向政企机构进行勒索。2023 年，全球赎金最高的 10 起勒索组织攻击事件，平均勒索赎金高达 2397 万美元，其中 7 起事件都是单纯的数据勒索事件。数据勒索带来的巨大收益很有可能会吸引越来越多的黑产团伙参与其中。个人信息是数据泄露和黑产交易的主要数据类型，严重危害公民和社会安全。在境内机构泄露的数据中，涉及个人信息的数据多达 586.8 亿条，相当于 14 亿中国人平均每人泄露了约 42 条个人信息数据。其中，互联网、IT 信息技术和能源行业是泄露数据量最多的行业。网盘、文库、代码托管等互联网知识共享平台也是数据泄露的重要渠道，但尚未得到绝大多数政企机构的

3、充分重视。其中，金融行业对此类问题最为重视，而医疗卫生、互联网和教育行业，通过互联网知识共享平台泄露数据的风险相对于其他行业更高。研究显示，合作伙伴和内部人员是互联网知识共享平台数据泄露事件的主要“元凶”，二者之和占比达到 54.6%。加强合作伙伴管理和员工安全意识培训，是数据安全的重要保障。API 安全是数据安全的重要一环，平均每家机构约有 206 个 API 接口会用来传输敏感数据。汽车制造业的“潜在”数据安全风险最大，其传输敏感数据的 API 接口数平均超过900 个，传输敏感字段多达 332 个，这两项指标均是其他行业的 37 倍。同时，汽车制造业 API 接口传输的个人信息也最多，其

4、中涉及的自然人的数量，是金融、能源、医疗等行业的 3070 倍，可谓“遥遥领先”。由此可见，在智能网联汽车的发展中，数据安全至关重要。解决数据跨境流转问题，需要科学的规划和必要的技术手段。调查显示，尽管很多存在海外业务的机构已经在积极开展跨境数据流转的治理工作，但仍普遍缺乏科学的、整体的数据安全规划，特别是严重缺乏必要的技术手段。而对于绝大多数没有海外分支机构的政企单位而言，往往没有意识到其可能存在的跨境数据流转风险。数据安全建设，应当遵循内生安全原则，从设计规划之初就把数据分类分级、数据防泄露、防勒索、API 安全、跨境数据治理等关键问题列入整体规划，确保数据安全工作与数字化建设同步规划、同

5、步建设、同步运行，用系统性的方法解决数字系统的安全问题。摘 要 2023 年 1 月12 月，安全内参共收录全球政企机构重大数据安全新闻事件 246 起，平均每月 20.5 起，其中，数据泄露事件为 166 起，占比 67.4%，泄露数据超过 51.8TB，共计 103.8 亿条。2023 年 1 月12 月，全球政企机构重大数据安全公开事件中，18.6%为政府机构；其次是制造业，占比 15.9%为；生活服务行业排第三，占比 11.8%。数据安全事件发生的原因来看，将近八成安全事件是由于外部攻击导致的，但也有 8.0%的重大数据安全事件是由于政企机构存在内鬼。在全球重大数据安全公开事件中，44

6、.1%的事件涉及个人信息；26.8%的事件涉及商业机密；9.1%的事件涉及政府机密。2023 年，奇安信威胁情报中心累计监测到境内政企机构数据泄露事件 144 起，共泄露数据超过 720.4 亿条，合计约有 60.8TB。其中 61.1%的事件，泄露的数据涉及个人信息,合计约有 586.8 亿条，相当于 14 亿中国人平均每人泄露了约 42 条个人信息数据。另有41.7%的事件涉及商业机密。2023 年，网络安全威胁情报生态联盟（CEATI 联盟）成员天际友盟共监测到互联网知识共享平台数据泄露事件 4760 起，涉及 16 个行业的 112 个家机构。其中，金融行业对此类问题最为重视，而医疗卫