6月9日,国际互联网协会(Internet Society,以下简称ISOC)下设的在线信任联盟(The Online Trust Alliance,以下简称OTA)发布了《2018年网络安全事件和数据泄露趋势报告》,该报告回顾了2018年全球发生的网络安全事件,并提供了企业、机构可以采取的一些措施,以预防和减轻可能的网络安全损害。ISOC是一个非政府、非赢利的行业性国际组织,在推动互联网全球化,加快网络互连技术、发展应用软件、提高互联网普及率等方面发挥重要的作用。而OTA是由ISOC设立的联盟,旨在为企业、私人组织、政策制定者提供网络安全和隐私保护建议和最佳实践,确定并促进消费者对于互联网安全和隐私的信心。
整体情况据OTA统计,2018年有超过200万起网络安全事件,这一数字可能大大低于实际情况。OTA估计,网络安全事件对全球至少带来450亿美元的经济损失。最主要的攻击类型是密码劫持(130万)和勒索软件(50万),其次是数据泄露(6万)、物联网攻击(至少6万个受感染的网站)和商业电子邮件泄露(2万)。据已公开报告的不完全统计,2018年全球大约发生6515次数据泄露事件,泄露的数据约有20亿条。美国联邦调查局2018年的网络犯罪报告称,美国发生了2万多起网络犯罪事件,导致近13亿美元的损失(比2017年约1.6万起事件和6.77亿美元的损失有所增加)。
要点(1)2018年勒索软件[1]攻击出现了下降,不过由此造成的损失继续增长。虽然勒索软件攻击整体上有下降趋势,但是特定类型的勒索软件情况堪忧。例如,针对州和地方政府的勒索软件攻击有所增加。
(2)网络保险是企业采取的减少网络事件损失的方式。2018年,美国网络保险业增长8%,达到20亿美元。目前,美国的网络保险业正在走向成熟。
(3)云服务在信息技术基础设施中展现着越来越重要的作用。2018年,因为云服务中的配置错误,全球有大量文件被泄露。例如,云安全公司Armor因为云攻击,而导致用户遭受6.81亿美元的损失。
(4)物联网设备较为容易受到勒索软件、DDoS、密码劫持等各种类型的网络攻击。
(5)随着加密货币的普及,密码劫持事件显著增加。此类攻击包括在网络设备上安装恶意软件,然后对设备进行攻击,以获取加密货币。Trend Micro公司在2018年发现了130多万例密码劫持事件,比2017年增加了三倍多。
(6)遭受分布式拒绝服务攻(DDoS)击的案例涉及多个领域,包括银行、教育、电子邮件服务和软件服务等。
(7)企业电子邮件欺诈(Business Email Compromise)也在增长,员工被欺骗向冒充公司员工的攻击者汇款。
(8)监管变化。近年来,针对数据保护的立法和执法活动激增。欧洲数据保护机构已经开始适用GDPR,而进行数据执法活动。在美国,许多州层面也正在通过或者考虑通过数据保护立法。例如,佛蒙特州通过了一项新的法律来规范数据经纪商的行为。
建议(1)建立起安全事件防范的整个组织架构,企业高管、所有员工都应当践行数据安全、数据管理和隐私保护实践。
(2)数据是企业重要的资产。全面了解收集的数据类型、保存数据的地点、数据的使用的方式以及可能的数据安全风险。
(3)只有因实现业务目的所必需时,才收集和存储相关数据,不需要该类数据时,应当及时删除,履行数据最小化要求。
(4)根据可能的数据安全风险,设置相应级别的数据安全保护措施和恰当的数据保护策略。
(5)不仅要防范特定安全事件的发生,还应当防范业务中断的情况,包括网络和系统中断以及设备的重新接管。
(6)有计划减少被攻击造成的影响。制定对于安全事件的预防、检测、应对、恢复等一系列的预案。
(7)进行数据安全的动态保护。企业应当定期检查数据收集、使用、存储等管理程序,开展对技术和人员操作规程的安全审查。
(8)在建立新的合作伙伴关系或服务协议之前进行风险评估并定期重新评估。
(9)加强对于物联网设备的安全风险评估。
(10)通过透明建立信任。当发生安全事件时,应当保证与用户、监管机构的及时有效的沟通,定期更新相关情况,尽早通知利益相关方。
[1]勒索软件是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。
作者简介:杨婕,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。