近期,国内外大规模数据泄露事件密集发生。11月30日,万豪发布公告称,旗下酒店喜达屋5亿租户信息泄露;12月3日,社交平台陌陌3000万用户数据在暗网上被出售;12月4日,问答网站鼻祖Quora遭到恶意攻击,1亿用户数据被盗;12月10日,谷歌因可能的数据泄露而关闭了其产品。在大数据时代,数据不仅是企业的核心财产,更关系到用户最关心的隐私和安全。但是,数据泄露事件经常发生。本文梳理了近十年来企业数据泄露事件的报道,发现企业数据泄露事件的发生频率不仅没有减少,而且泄露数据的规模还在不断扩大。数据泄露:不仅仅是互联网公司被卷入数据泄露是指“可能被未经授权的人查看、窃取或使用的受保护或机密数据”。互联网企业是数据泄露事件的多发地。包括阿里巴巴、腾讯在内的知名互联网公司都曾被曝出数据泄露的负面消息。但是,很多公司并不承认用户数据已经泄露。在2013年的支付宝数据泄露事件中,支付宝声称不是通过其网站泄露的,只是泄露了账户名,不构成安全威胁。2015年,数亿网易163、126邮箱账号被泄露时,网易的反应与支付宝类似——账号密码泄露源于第三方网站,自身用户数据库被盗没有问题泄露了。大多数数据泄露是由黑客攻击造成的。根据IBM(InternationalBusinessMachinesCorporation)发布的研究报告(《2018 Cost of a Data Breach Study:Global Overview》),数据泄露的主要原因是恶意和犯罪攻击(48%)。除了攻击漏洞和利用病毒外,黑客还会利用人们在不同平台账号使用相同账号和密码的习惯,通过“崩溃库”(通过泄露的账号和密码登录其他网站)等方式入侵更多网站).然而,很多掌握大量用户数据的企业,从未建立起有效的安全管理体系,导致泄密难以防患于未然。2011年底,爆发了中国互联网史上最大的数据泄露事件。天涯社区、百合网、人人网等多家网站涉嫌泄露用户数据。令人意外的是,最先被曝出数据泄露的CSDN论坛被发现以明文形式存储密码。这么大的以程序员为主要用户的社区,并没有使用任何加密保护。在“互联网+”时代,企业的数据安全挑战将越来越严峻。越来越多的行业也在建立应对数据泄露的机制。由于越来越多的设备和平台互联互通,以及云计算和物联网的不断融合,数据泄露的高风险将不再局限于互联网行业。2017年10月,一家医疗设备公司存储在亚马逊云存储中的47GB医疗数据被破解,15万名患者的姓名、地址、医生、病历等隐私信息被泄露。面对数据泄露,大多数公司反应迟钝。用户数据对企业的重要性不言而喻。然而,大多数企业都没有经验和有效的响应机制,甚至无法快速发现数据泄露。在IBM发布的报告中,企业发现数据泄露的平均时间为197天,控制由此产生的后果平均还需要69天。发现和控制的时间越长,造成的损失就越大。国际知名酒店集团万豪国际向外界通报,其旗下喜达屋酒店预订数据库已于今年11月底被外界访问。令人震惊的是,该数据库早在2014年就遭到黑客攻击,但万豪直到2018年9月才收到内部安全工具的警报。这意味着喜达屋酒店预订数据库中的客人信息从2018年9月及之前一直在泄露。万豪不是唯一一个“慢”的。事实上,就连很多高科技公司都没有发现自己的用户数据被泄露。雅虎在2013年和2014年多次遭到黑客攻击,大量用户信息被盗。三年后才被发现。2016年9月,雅虎调查发现2014年约有5亿个账户数据被泄露。直到同年12月,雅虎才发现2013年的攻击导致其10亿用户的数据遭到泄露。直到2017年10月,雅虎才发现其用户数据全部泄露,其30亿用户账户无一幸免。企业数据泄露的成本是多少?数据泄露给企业和用户带来的损失不容小觑。IBM的研究报告调查了全球477家公司过去一年的2200多起数据泄露事件,发现大规模数据泄露的成本非常高。平均而言,100万条记录的泄露将造成2.8亿元的损失,而5000万条记录的泄露将造成24.1亿元的损失。数据泄露的成本因行业而异。在高度监管的行业,如医疗保健和金融行业,数据泄露的成本非常高,而物流和酒店行业的数据泄露成本要低得多。虽然中国企业没有被纳入调查范围,但这一结论还是可以参考的。对于企业来说,数据泄露的损失主要包括四个方面:检测升级、通知各方、赔偿罚款、用户流失。在监管更严格的司法管辖区,对数据泄露的罚款非常高,由此导致的股价下跌也很常见。今年5月,旨在保护用户数据的《通用数据保护条例》(GDPR)在欧盟生效。如果企业未能保护好数据,导致数据泄露,将被处以1000万欧元(约合人民币7825万元)的罚款,或每年全球营业额2%的高额罚款;而那些主动泄露用户数据的,将受到双倍的处罚。值得一提的是,目前国内还没有一家公司因为数据泄露而被重罚。尽管目前关于个人信息保护的法律法规很多,但重庆大学网络与大数据战略研究院院长齐爱民曾统计过,目前涉及个人信息的法律有52部,行政法规有42部,司法解释或文件也有42部。.50多条部门规章。但是,很多法律法规并没有形成完整的体系,企业的违法行为难以认定,用户也难以维权。但是,即使没有重罚,用户也会用脚投票。在雅虎发生大规模数据泄露事件后,研究表明多达97%的用户将失去对雅虎的信任。当一家公司不能保护他们的用户数据时,用户的信任将很难恢复,尽管“中国人更加开放,愿意用隐私换取便捷的服务或效率”。
