可通报数据泄露统计
如果您在澳大利亚从事数字取证或事件响应工作,那么您应该了解澳大利亚信息专员办公室(OAIC)关于可通报数据泄露的新法规。
OAIC网站中包含对事件响应人员以及不确定在发生数据泄露时是否需要披露的公司非常有用的信息。您可能已经在一个成熟的组织工作,该组织已就此获得适当的法律和技术咨询,但如果您对此一无所知,那么我建议现在就开始阅读。
OAIC将数据泄露定义如下:
当实体持有的个人信息遭受未经授权的访问或披露,或丢失时,即发生数据泄露。
个人信息是关于已识别个体或可合理识别个体的信息。[1] 实体应注意,本身不关于个体的信息在与其它信息结合时,如果这种结合导致个体变得"可合理识别",则成为个人信息。
数据泄露可能由恶意行为(外部或内部人员)、人为错误或信息处理或安全系统故障引起。
数据泄露的示例包括:
- 包含个人信息的物理设备(如笔记本电脑和存储设备)或纸质记录的丢失或被盗
- 员工未经授权访问个人信息
- 由于"人为错误"无意中披露个人信息,例如将电子邮件发送给错误的人
- 由于身份验证程序不足,将个人的个人信息披露给诈骗者
OAIC最近发布了季度统计数据,其中有一些有趣的发现:
-
受影响个体数量最高的是1,000人或更少,涉及107次不同的泄露事件。
-
医疗保健组织似乎仍然是澳大利亚各种针对性攻击的首选目标。这并不令人惊讶,也是大多数发达国家的常见统计数据。自WannaCry爆发袭击全球许多系统以来,该领域的安全和基础设施投资显然仍然不足。
-
自2018年初以来,报告的泄露事件数量逐渐增加。预计这一数字将继续增加。
-
最大的数据丢失涉及联系信息,如姓名、地址、电子邮件地址。紧随其后的是财务详细信息。这反映了主要被针对的行业(医疗和金融)。
这也清楚地表明,攻击者将最常利用低垂的果实。我们应该预计会看到同样多(即使不是显著增加)的针对性钓鱼活动,这并不令人惊讶。
-
人为错误仍然占数据泄露的36%,这表明所有行业的员工意识仍存在重大差距。有趣的是,大多数意外披露是由于将个人信息发送到错误的电子邮件地址,但受影响个体数量最多的是由于文书工作或存储设备的丢失。
-
59%的泄露是由于恶意或犯罪攻击。这再次清楚地表明,需要在教育和安全方面进行进一步投资。
这些恶意或犯罪泄露类型中最高的被归类为网络事件,其细分如下:
- 凭据泄露最高,占34%
- 网络钓鱼占29%
我认为我们知道这意味着什么……投资于教育、培训和安全。
一些最终观察:
- 客户及其保险公司的问题比以往任何时候都更多地围绕着什么出了谷仓门,而不是什么导致门被打开。
- 网络钓鱼仍然是所有行业的巨大问题。
- 勒索软件大多未被报告。我怀疑这可能是因为许多IT供应商在响应时假设所有勒索软件爆发都是"砸抢"企图。
- 在大多数行业中,凭据如何被泄露以及它们如何被泄露仍然很大程度上未知。
- 报告正在增加,这对普通大众来说只能是好事。
进一步阅读: 点击访问 notifiable-data-breaches-quarterly-statistics-report-1-april-30-june-2018.pdf