前情回顾·美国政府网络威胁态势

安全内参12月7日消息,据不完全统计,自2014年以来,美国政府经历了1283起泄露事件,涉及超过2亿条数据记录。参考IBM年度报告的每条数据泄露平均成本,我们估计从2014年到2023年11月中旬,这些泄露事件已经给政府机构造成了将近304亿美元的损失。

数据显示,美国政府泄露事件数量在2019年达到历史最高水平,报告总数达226起,较2018年的160起有所增加。此后泄露事件数量逐年下降,2020年为182起,2021年为154起,2022年为120起。然而,2023年泄露事件数量逆势上扬,截至11月中旬,数量已经达到137起。

2023年泄露记录数量也大幅增加。到目前为止,共有2240万条记录受影响,是2022年490万条记录的四倍多。每次攻击影响的平均记录数量也远远超过了过去四年的数值。2023年,政府泄露事件平均影响400246条记录,而2022年为76130条,2021年为39469条,2020年为42005条,2019年为17427条。

尽管如此,2018年仍然是泄露记录总数和每次事件平均影响记录数最多的一年。当年,总共有8300万条记录受影响(其中6000万条属于美国邮政署的一次泄露事件),平均每次事件影响120万条记录。

这些数字的上升表明黑客再次对美国政府机构产生了重大影响。泄露事件的真实影响往往要过几个月甚至几年才能完全显露。因此,今年的数据可能会进一步增加。

那么,这些数据泄露事件给政府造成了多少损失?政府泄露事件演变趋势如何?我们近年来看到了哪些趋势?

本文研究团队整理了自2014年以来美国政府数据泄露事件。研究通过搜集各州数据泄露报告、联邦报告、新闻、新闻公告以及行业报告,创建了一份详尽的列表,记录了影响美国各地政府机构的泄露事件。

2014年至2013年11月中旬美国政府数据泄露事件地图

泄露类型定义:CARD(通过非黑客手段获取借记卡/信用卡信息,例如刷卡诈骗)、HACK(外部人员或恶意软件窃取信息)、INSD(员工或客户泄露信息)、THRD(第三方供应商或处理器泄露信息)、PHYS(纸质文件泄露)、PORT(笔记本电脑、存储设备和硬盘泄露)、RANS(勒索软件攻击)、STAT(台式机泄露)、DISC(意外泄露,例如公开发布敏感信息)、UNKN(未知)。钓鱼攻击未单独列出,但可能作为黑客攻击和勒索软件攻击的启动方法。

主要发现

从2014年到2023年11月:

  • 1283家政府机构发生数据泄露;

  • 这些泄露事件共计影响201184801条数据记录;

  • 受影响数据记录的成本几乎达到304亿美元;

  • 2019年是泄露事件最多的一年,共有226起,2020年紧随其后,有182起;

  • 2018年是受影响记录数量最多的一年,共84794645条;

  • 加州是泄露事件最多的州(148起),哥伦比亚特区是受影响记录最多的地区(9240万条)。哥伦比亚特区受影响记录数量庞大,是因为许多政府机构驻跸于此;

  • 最常见的泄露类型是勒索软件攻击,共415起。其次是涉及黑客的泄露事件,共266起;

  • 从2018年到2023年11月中旬,市级机构是受影响最严重的政府机构类型,共发生237次泄露事件;同一时期,县级机构发生162次泄露事件。

近十年哪个州的政府数据泄露事件最多?

按每10万人衡量受影响政府记录数量,我们发现哥伦比亚特区每10万人受影响记录高达1340万条。然而,由于该地区的许多泄露事件波及全国,因此这样比较并不公平。

排除哥伦比亚特区后,印第安纳州每10万人受影响记录数量最多,总计234774条。华盛顿州是每10万人受影响记录数量第二多的州,为154767条。

2014年至2023年11月中旬政府数据泄露事件每10万人受影响记录数量

另外还有四个州每10万人受影响记录数量超过10万条,分别是俄勒冈州(141466条)、路易斯安那州(135849条)、缅因州(118241条)和蒙大拿州(100189条)。

超过半数的州(27个)报告的每10万人受影响泄露记录超过1万条。

2014年至2023年11月中旬各州政府数据泄露事件数量

2014年至2023年11月中旬,加州出现了148起单独的泄露事件,成为全美政府数据泄露事件最多的州,数量远远高于其他任何州。得克萨斯州和佛罗里达州是政府泄露事件第二、第三多的州,分别为92起和68起。其后是马萨诸塞州(54起)、哥伦比亚特区(50起)和佐治亚州(46起)。

2014年至2023年11月中旬政府数据泄露事件受影响记录数量

哥伦比亚特区的泄露记录数量极高(9240万条)。如前所述,主要原因是该特区是许多政府机构的驻地。因此,哥伦比亚特区受影响的记录很可能影响了全美各州的很多居民。因此,我们将该地区从上述地图中排除。

加州的泄露记录数量也很高,达到2460万条。其中绝大部分记录属于2017年加州州务卿办公室的泄露事件。当时,1920万选民记录暴露于在未受保护的数据库。

印第安纳州仅有25起泄露事件,却影响了多达1590万条记录。几乎所有受影响记录都属于政府支付服务公司的泄露事件。哥伦比亚特区、加州、印第安纳州和华盛顿州是仅有的四个泄漏记录数量超过1千万的州。

各年份政府的数据泄露事件成本

根据IBM数据,2023年泄露事件中每条记录的平均成本为165美元,略高于2022年的164美元。2023年的数字是IBM过去九年数据中的最高值。与之相反,2017年的数字是最低值,为141美元。

根据IBM公布的每年每条违规记录的成本数据,我们估计了这些泄露事件给政府机构带来的成本。

从2014年初到2023年11月中旬,数据泄露事件给美国政府机构造成的损失估计接近304亿美元。

考虑到数据泄露事件数量仅为1283起,上述损失已经很高。然而,实际成本很可能更高。这主要是因为一些泄露事件影响的记录数量无法得知。

根据2023年IBM的研究,标记为“关键基础设施”的组织,例如公共部门,数据泄露事件成本通常更高。IBM发现,关键基础设施机构数据泄露事件的平均成本为504万美元(比2022年增加了4.6%),比非关键基础设施组织(例如服务、酒店和娱乐行业)高出126万美元。

2014年至2023年11月中旬政府数据泄露事件的估算成本

近十年五起最大的政府数据泄露事件

  • 2018年,美国邮政署泄露事件,6000万条记录:一个缺陷导致6000万用户的账户详细信息暴露。早在一年前,美国邮政署就收到有关该缺陷的警告。

  • 2015年,美国人事管理局泄露事件,2150万条记录:黑客窃取了2150万名美国政府前员工和现任员工的信息。

  • 2017年,加州州务卿办公室泄露事件,1920万条记录:由于数据库未受保护,超过1900万人的选民记录可以随意查看。

  • 2018年,政府支付服务公司泄露事件,1400万条记录:美国数千个地方政府和州政府使用的支付平台GovPayNow.com泄露了超过1400万客户记录,包括姓名、电话号码、地址和付款卡号的后四位数字。

  • 2015年,佐治亚州州务卿办公室泄露事件,600万条记录:州务卿Brian Kemp办公室向政党、媒体和其他合法购买该州选民信息的订阅者发布数据,包括可识别个人信息,导致大规模数据泄露。

并列第五位的是路易斯安那州车管所泄露事件。2023年5月发生的MOVEit Transfer 泄露事件波及该机构。据报道,这次泄露事件共影响600万条记录。其他有大批记录受影响的MOVEit Transfer 受害者包括科罗拉多州卫生保健政策与筹资部门(420万条泄露记录)和俄勒冈州交通部门(350万条泄露记录)。

近五年哪种类型的政府机构受影响最大?

为了更详细地了解近年来政府数据泄露情况,我们研究了从2018年到现在各类型政府机构的泄露事件数量和影响记录数量。这些年份的数据更易获取。

从2018年到2023年11月中旬的政府泄漏事件中,有超过24%(237起)影响了市级政府,远高于排名第二的县级政府(162起)。其次是执法机构(136起)、卫生部门和城镇(均为75起)。

237起市级政府泄露事件影响超过120万人。受影响记录最多的是得克萨斯州汤博尔市。该市网络在2022年12月遭遇勒索软件攻击,影响了40万条记录。

其他规模较大的市级政府泄露事件有:

  • 2022年,亚利桑那州图森市:市政网络出现可疑活动,123513条记录受到影响;

  • 2020年,密苏里州独立市:市政系统遭勒索软件攻击,113579 条记录受到影响;

  • 2021年,宾夕法尼亚州哈里斯堡市:一名市政府雇员建立了未经授权的谷歌账号,共享新冠暴露相关信息,导致7.2万人的数据被滥用;

  • 2019年,佛罗里达州彭萨科拉市:发生勒索软件攻击,6万人受到影响。

  • 2022年,俄亥俄州怀特霍尔市:ALPHV/BlackCat组织发起勒索软件攻击,共影响36694条记录。

2018年至2023年11月中旬政府机构遭受的泄漏事件类型

从2018年到2023年11月中旬,县级政府在泄露事件中占比16.5%,总计162起,影响300万人。部分最严重的泄露事件列举如下:

  • 2023年,宾夕法尼亚州阿勒格尼县:受2023年5月MOVEit Transfer泄漏事件影响,阿勒格尼县有967690条记录被泄。

  • 2022年,华盛顿州皮尔斯县:一名雇员收到公共记录请求后上传了电子表格,导致463110名登记选民的个人数据意外泄露。

  • 2021年,得克萨斯州登顿县:由于第三方应用程序中的漏洞,326417名居民的个人信息被曝光,其中包括新冠疫苗信息。

泄漏事件占比第三高的是执法机构(14%),有136个警察局、警长办公室、监狱和其他机构发生数据泄露。下面是执法机构遭遇的一些最严重的泄露事件:

  • 2021年,路易斯安那州卡多堂区地区检察官办公室 :卡多检察官办公室发现计算机感染了恶意软件,导致230188条记录受到影响。

  • 2019年,马里兰州国防信息系统管理局 :20万人的个人信息在国防信息系统管理局遭泄露。仅逐个通知受影响个人就花费了近一年时间。

  • 2019年,哥伦比亚特区美国海关和边境保护局:某一陆路边境入口遭攻击,18.4万张照片遭泄露,其中包括人脸照片和车牌照片。

今年以来政府数据泄露事件情况如何?

2023年仅剩不到一个月的时间就将结束。预计本年政府数据泄露事件将会创下纪录。到目前为止,今年已发生137起政府数据泄露事件,影响了2240万条记录。泄露事件数量已经超过去年的120起,而涉及的记录数量是2022年的4倍多(500万条)。

IBM发布的2023年数据泄露事件成本报告显示,每起泄露事件涉及的金额达到历史最高值(165美元)。根据我们迄今为止收集的报告,仅从1月到11月中旬,2023年泄露记录的成本就接近37亿美元,2018年以来首次超过10亿美元大关。

勒索软件依然是政府机构的主要威胁。到目前为止,勒索软件占今年攻击总数近一半(63起)。根据我们美国勒索软件追踪器收集的数据,政府机构平均支付的赎金超过92万美元。已知有三家政府机构支付了赎金。圣贝纳迪诺县警长办公室向黑客支付了110万美元,蒙特克莱尔镇支付了45万美元,海恩兹县支付了30万美元。

在很多案例中,勒索者索要的费用往往低于恢复系统或保护被窃数据的费用。

研究方法

我们基于各州报告、政府报告、新闻、新闻公告和行业报告汇总了联邦、州、县和市政府以及军事部门所有数据泄露事件记录。我尽可能将泄露事件数据分配给受影响记录所在的州。然而,在某些情况下,这些数据会分配给相关部门所在的州。这是因为经常有几个州同时受到影响,而每个州的细分数据又无法获得。

此外,有些泄露事件发生在前一年,直到后一年才被有关当局知晓。并非每次泄露事件都有明确的受影响报告数量。该数值可能本就没有统计,也可能低于所在州设置的上报阈值。BlueLeaks影响的机构范围广泛(没有确切数字),因而被记录为一次泄露事件。由于无法将BlueLeaks事件划分给特定的州,我们将该事件标记为“全国性”事件。

参考资料:https://www.comparitech.com/blog/vpn-privacy/us-government-breaches/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。