信息外泄事件屡屡发生 安永：企业正提高网络安全支出

每经记者 蒋佩芳     每经编辑 陈俊杰    

每经记者 蒋佩芳 每经编辑 陈俊杰

不久前，一家名为Cambridge Analytica的数据分析公司，在未经用户允许的情况下，窃取了高达5000万名Facebook用户的个人资料。更为关键的是，该公司是通过与Facebook的合作而获取上述信息的，因此，作为全球最大的社交平台之一的Facebook被质疑对用户信息管理不善。

不仅仅是互联网公司，随着信息外泄事件屡屡发生，涉及范围也延伸到了其他行业。美国功能性运动品牌Under Armour（安德玛）也于近日宣布其My Fitness Pal运动应用程序涉及大规模信息泄露事件，1.5亿用户账号受影响。

信息泄露的主体从单一的个人到大规模的群体，引起各界关注和重视。另据安永最新发布的《第20届全球信息安全调查报告》显示，大部分企业均在不断增加网络安全方面的支出，超过90%的受访者表示，今年会在这方面有更高的预算。

数据泄露事件屡屡发生

信息泄露事件并非新鲜事，但全球网络威胁正日益加剧。

单就2017年来看，发生的重大数据泄露事件已经不少：洲际酒店超过1000家旗下酒店遭遇支付卡信息泄露；全球11个国家和地区的41家凯悦酒店支付系统被黑客入侵，大量数据外泄；全球知名的管理咨询公司埃森哲因为服务器配置不当，导致大量敏感数据公开……

去年，美国电信巨头威瑞森（Verizon Communications）在发布的《2017年的数据泄露调查报告》中对以往的安全事件和数据泄露进行了分析，报告认为，在调查的几万个安全事件中，内部威胁占25%，75%是外部攻击导致；在外部攻击中，51%的网络攻击涉及到有组织有计划的犯罪集团。在数据泄露原因方面，62%的数据泄露与黑客攻击有关；81%的的数据泄露涉及到撞库或弱口令。

据悉，上述报告是一份“10周年报”，统计结果主要基于威瑞森在过去10年里从65家不同的组织获得的泄露数据，总共分析了42068个安全事件以及来自84个国家的1935个漏洞。

数据泄漏案例不断增加，CIC灼识咨询执行董事赵晓马向《每日经济新闻》记者表示，企业数据安全能力必须充分考虑组织保障、管理政策及流程的落地、大数据治理、数据生命周期的安全、数据的风控、数据生态的安全协同六大要素。

赵晓马称，数据安全能力成熟度模型(data security maturity model，DSMM)以数据生命周期为主线，聚焦数据安全相关的四大能力：组织建设、人员能力、制度流程、技术工具，对组织机构的数据安全能力进行评级，能够很好地帮助组织自身及合作伙伴评估数据安全能力，找到差距，有的放矢地提升数据安全能力，并作为数据共享的风险评判依据之一。

网络安全如何反应为重中之重

在安永全球信息安全咨询服务主管Paul van Kessel看来，“新技术所带来的紧密联结性和新浪潮在创造巨大机会的同时，也给企业引入了新的风险。不仅是数据和隐私容易遭受攻击，物联网的应用将企业的运营科技暴露给攻击者，使攻击者有机会中断或破坏工业控制等系统。因此，随着企业逐渐进入数字化时代，他们必须从各个角度审视自己的数字生态系统，以保护他们当前、近期与未来的业务。近期最成功的网络攻击采用了常规方法，即利用企业已知漏洞。”

据安永调查显示，全球有43%的受访企业认为恶意软件是其面临的最大威胁，与钓鱼邮件并列首位，明显高于中国区的16%（恶意软件）和12%（钓鱼邮件）。88%的受访者认为，信息安全系统并不能完全满足企业的需求。

安永（中国）企业咨询有限公司风险咨询服务合伙人顾卿华认为，现在网络安全威胁无处不在，且公司被网络攻击攻破或许只是时间问题，基本上没有企业可以独善其身，也没有企业可以置身事外，这种情况下网络安全响应机制很重要。

Paul van Kessel在接受采访时进一步表示，信息安全有3个方面非常重要，即防护、适当反应，如何反应。“最后一方面（如何反应）是将来一个比较重中之重的投资热点。”