數據外洩頻密！首三個月逾 2 億紀錄失竊

很多企業在部署不同方案時，均會十分重視數據的保密性；舉個例子，當企業需要落實 BYOD 政策時，除選購一些針對 BYOD 的方案之外，亦會定立相關法規，以對員工的行為作規範。不過筆者認為，企業要做的除了有上述提及的種種，最重要更是教育員工，以提高他們的警覺性，同時亦可培養他們對數據安全的觸覺。

但十分遺憾，很多員工仍然十分善忘，很多時任企業如何部署先進的方案，亦似乎毫無作用；就好像今年頭三個月，有安全機構便已錄得了逾 2 億筆記錄外洩。有關機構為 SafeNet，數據引用自 2014 年第一季 SafeNet 外洩水平指數(SafeNet Breach Level Index；BLI)撮要。

數據顯示 1 至 3 月內接近 2 億項紀錄被竊，平均每小時有 93,000 項紀錄被竊，較去年同期上升 233%。本季內發生的 254 宗數據外洩事故中，只有 1% 屬於「安全外洩」(secure breach)，或是屬於採用了穩健加密、密鑰管理或認證方案來保護有關數據的外洩事故。

另外，報告之中的外洩水平指數亦提供了數百宗個別數據外洩事故的詳情，有關事故可根據來源、行業、風險水平及日期排序，重點如下：

– 已公布的數據外洩事故超過 254 宗，合共 2 億項數據紀錄遺失或被竊。由於世界各地對數據外洩報告所要求的嚴謹程度各有不同，本季度報告並未包括沒有公開受影響數據紀錄數量的機構，因此本季內實際發生的事故總數有可能高於 254 宗。

－ 全球 5 宗最重大型數據外洩事故中，有 4 宗發生於南韓，涉及不同行業的機構共損失 1.58 億項紀錄，佔全球外洩事故損失紀錄總數 79%。4 宗事故的受影響機構分別是韓國信用局、韓國醫學協會、韓國電訊及韓國主要搜尋引擎網站 Naver。雖然南韓損失了大量數據紀錄，但亞太區外洩事故總數只佔全球總數 7%，遠低於北美的 78%(199 宗事故)及歐洲的 13%。

－ 金融業界是遭受最嚴重打擊的行業，佔遺失或被竊數據紀錄總數 56%。然而，這個界別在這季內的外洩事故數量只佔總數 14%。

－ 按事故數量計算，醫療保健業界亦受到嚴重打擊，佔所有事故總數 24%。然而，這個界別所遺失或被竊數據紀錄，只佔總數 9%。

－ 科技業界佔遺失或被竊數據紀錄總數 20%，零售業界則僅佔遺失或被竊數據紀錄總數 1%，佔外洩事故總數 10%，其中包括登上了媒體頭條的 Sally Beauty Supply 外洩事故。

－ 政府及教育界的外洩事故佔被竊數據紀錄總數少於 1%，佔數據外洩事故總數 23%，其中包括今年初美國馬里蘭大學失竊 287,000 項紀錄的事故。

－ 第一季之中，156 宗事故(62%)涉及惡意外來侵害者，被竊紀錄超過 8,600 萬項。只有 11% 事故涉及惡意內部侵害者，但他們的效率較高，佔失竊紀錄總數 52%。意外損失佔事故總數 25%，而黑客行動主義及國家支持的攻擊，合共只佔總數 2%。

－ 另一方面，報導指出現時平均每日發生約 3 宗外洩事故及 220 萬項紀錄被竊，每小時超過 9.2 萬項紀錄被竊。

數據外洩報告引起各方談論，令人思考所有外洩事故看來都是一樣壞，但事實並非如此。一些機構持守對客戶數據的保密責任，有些則不大理會；而今次引用的外洩水平指數是一個結合全球數據外洩的數據庫，根據多方面因素計算事故的嚴重程度，包括失竊的數據類別及紀錄被竊數量、外洩源頭，以及數據有否加密。外洩水平指數為每宗外洩事故評分，提供外洩事故的比較清單，分辨出輕微滋擾與真正嚴重的大事件。外洩水平指數數據庫的內容來自公開的外洩事故信息。