首季外洩事故涉 2 億筆數據 僅 1% 有加密保護

早前有報告指 2014 年首季數據外洩數據事故多達 245 宗,涉及接近 2 億筆紀錄,較去年同期飈升兩倍以上,但只有 1% 因已採用加密保護而屬於「安全外洩」個案。本季發生的事故中有 5 宗屬於重大外洩,而且有 4 宗發生於南韓,涉及不同行業機構共損失 1.58 億項紀錄。

SafeNet 早前公布今年首季數據外洩數據,發現較去年同期飈升兩倍以上,但只有 1% 因已採用加密保護而屬於「安全外洩」個案。本季內發生的 254 宗數據外洩事故中,有 5 宗屬於重大外洩,而且有 4 宗發生於南韓。SafeNet 亞太區副總裁 Rana Gupta 提醒機構,注意數據加密和金鑰的管理,否則就算加密了也形同虛設。

SafeNet 亞太區副總裁 Rana Gupta 表示,機構即使有使用加密,但如金鑰管理不善,其實亦等同虛設。

 

去年同期個案飈升 233%

SafeNet 發表 2014 年第一季外洩水平指數(BLI)撮要,顯示 1 至 3 月間有接近 2 億筆紀錄被竊,即平均每小時有 93,000 筆,較去年同期飈升 233%。首季發生的 254 宗數據外洩事故中,僅有 1% 屬於「安全外洩」(Secure breach)個案,所謂「安全外洩」即數據雖然外洩,但因為採用了加密技術而令獲得者無法解讀,因而令數據仍然沒有真正「外洩」。

SafeNet 亞太區副總裁 Rana Gupta 表示,很多機構未有正視數據未加密的風險,即使有使用加密,但如果加密金鑰的管理不善的話,其實亦等同虛設:「你的數據放在哪兒?誰人在管理金鑰?有甚麼人可以讀取?這三個部份都不能怱略。把你的數據加密並保管好加密金鑰,然後管理好能存取數據的人的讀取權限,就能為數據提供安全保障。」

 

八成重大事故南韓發生

報告另一重點是,全球 254 宗數據外洩事故中有 5 宗屬於最重大級別,而且有 4 宗發生於南韓,涉及不同行業的機構共損失 1.58 億項紀錄,佔全球外洩事故損失紀錄總數的 79%。4 宗事故的受影響機構分別是韓國信用局、韓國醫學協會、韓國電訊及韓國主要搜尋引擎網站 Naver(即通訊應用 LINE 的母公司)。

雖然在亞太區的損害最嚴重,但如果只計算事故總數的話,則亞太區個案仍然很少。雖然南韓損失了大量數據紀錄,但亞太區外洩事故總數僅佔全球總數的 7%,遠低於北美的 78%(199宗事故)及歐洲的 13%。數據反映亞太區機構未必是黑客主要目標,但欠缺有效的數據管理計劃下,一旦出意外後果就會非常嚴重。

 

金融、醫療是重災區

報告亦顯示金融業界是遭受最嚴重打擊的行業,佔遺失或被竊數據紀錄總數的 56%,然而這界別在這季內的外洩事故數量只佔總數 14%。相反若按事故數量計算,醫療保健業界打擊最嚴重,佔所有事故總數 24%,但這界別所遺失或被竊數據紀錄,只佔總數 9%。

科技業界佔遺失或被竊數據紀錄總數 20%,零售業界則僅佔遺失或被竊數據紀錄總數 1%,佔外洩事故總數 10%,其中包括登上了媒體頭條的 Sally Beauty Supply 外洩事故。政府及教育界的外洩事故佔被竊數據紀錄總數少於 1%,佔數據外洩事故總數 23%,其中包括今年初美國馬里蘭大學失竊 287,000 項紀錄的事故。

零售業界僅佔遺失或被竊數據紀錄總數 1%,佔外洩事故總數 10%。

 

平均每小時外洩 9 萬筆數據

2014 年第一季平均每日發生約 3 宗外洩事故及 220 萬項紀錄被竊,每小時超過 9.2 萬項紀錄被竊。之中,156宗事故(62%)涉及惡意外來侵害者,被竊紀錄超過 8,600 萬項。只有 11% 事故涉及惡意內部侵害者,但他們的效率較高,佔失竊紀錄總數 52%。意外損失佔事故總數 25%,而黑客行動主義及國家支持的攻擊,合共只佔總數 2%。

Rana Gupta表示:「數據外洩報告引起各方談論,令人思考所有外洩事故看來都是一樣壞,但事實並非如此。一些機構持守對客戶數據的保密責任,有些則不大理會。外洩水平指數等工具,有助企業及公眾等界別通過量化標準方式來了解外洩事故的實際嚴重程度,以及分辨負責任及不負責任的機構。分辨安全及不安全外洩事故的重點,是了解哪些受害者運用了加密技術來保護其數據,令網絡罪犯得物無所用,限制了外洩事故的損失。」