3個月內近2億數據記錄失竊

數據外泄問題愈益嚴重,多家保安廠商先後發表相關報道,SafeNet亦於上周公布2014年第一季SafeNet外泄水平指數(SafeNet Breach Level Index,BLI)。SafeNet於去年率先與業界分析機構IT-Harvest合作,發展出可判斷外泄事故嚴重程度的對數算式。BLI乃根據多項外泄水平指數因素,計算數據外泄事故的嚴重程度,包括:數據類別、失竊記錄數量、外泄源頭,以及外泄事故被揭發後,其中涉及的高價值數據是否仍然安全。輸入這些因素後,再經過專利運算處理,然後產生指數的數值,1代表最輕微,10代表最嚴重。

數據顯示,今年1至3月期間,錄得近2億項數據記錄失竊,即平均每小時便有93,000項記錄被竊、每日發生約3宗外泄事故,較去年同期上升233%。本季內發生的254宗數據外泄事故中,只有1%屬於「安全外泄」(secure breach),或屬於採用了穩健加密、密鑰管理,或認證方案來保護有關數據的外泄系統。由於世界各地對數據外泄報告所要求的嚴謹程度有別,故本季度報告並未包括沒有公開受影響數據記錄數量的機構,因此實際發生的事故總數,極有可能高於254宗。

企業須慎防惡意內部入侵

全球5宗最重大型數據外泄事故中,有4宗發生於南韓,涉及不同行業的機構共損失1.58億項記錄,佔全球外泄事故損失記錄總數79%。4宗事故的受影響機構分別是韓國信用局、韓國醫學協會、韓國電訊,及韓國主要搜尋引擎網站Naver。

雖然南韓損失了大量數據記錄,但亞太區外泄事故總數只佔全球總數7%,遠低於北美的78%及歐洲的13%。

至於行業數據外泄方面,金融業界可算遭受最嚴重打擊的行業,佔遺失或被竊數據記錄總數56%。不過此界別在第一季的外泄事故數量,只佔總數14%。按事故數量計算,醫療保健業界亦受到嚴重打擊,佔所有事故總數24%;科技業界佔遺失或,被竊數據記錄總數的20%;零售業界則僅佔遺失或被竊數據記錄總數1%,佔外泄事故總數10%,其中更包括登上了媒體頭條的Sally Beauty Supply外泄事故。政府及教育界的外泄事故,佔被竊數據記錄總數少於1%,佔數據外泄事故總數23%,其中包括今年初美國馬里蘭大學失竊287,000項記錄的事故。

外泄也有安全與不安全之別

第一季報告當中,156宗事故(62%)涉及惡意外來侵害者,被竊記錄超過8,600萬項。只有11%事故涉及惡意內部侵害者,但他們的效率較高,佔失竊記錄總數52%。

意外損失佔事故總數25%,而黑客行動主義及國家支持的攻擊,合共只佔總數2%。

SafeNet亞太區副總裁Rana Gupta表示,不少人誤以為所有外泄事故看來都一樣壞,但事實並非如此。一些機構會持守對客戶數據的保密責任,有些則不大理會。而外泄水平指數等工具,正有助企業及公眾等界別,通過量化的標準方式,來了解外泄事故的實際嚴重程度,以及分辨負責任及不負責任的機構。分辨安全及不安全外泄事故的重點,是為了解哪些受害者運用了加密技術來保護其數據,令網絡罪犯得物無所用,限制了外泄事故的損失。