《2021年度数据泄漏态势分析报告》

近日，闪捷信息安全与战略研究中心重磅发布《2021年度数据泄漏态势分析报告》（以下简称“《报告》”），《报告》通过统计分析2021年国内所发生的数据泄漏事件，结合全球数据泄漏事件的趋势，从数据泄漏事件、时间、人员、动机、数据源以及个人信息泄漏态势进行总结分析，多维度呈现2021年国内数据泄漏的态势全景，并提供2022年数据泄漏的研判预测。

2021数据泄漏态势分析概况

【研究背景】

2021 年是十四五规划的开局之年，依据《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，“ 十四五 ”期间会注重数字经济发展，以数据为关键要素，以数字技术与实体经济深度融合为主线，加强数字基础设施建设，完善数字经济治理体系，协同推进数字产业化和产业数字化，赋能传统产业转型升级，培育新产业 新业态新模式，不断做强做优做大我国数字经济，为构建数字中国提供有力支撑。

数字经济的健康发展，离不开数据安全的保驾护航。2021年，《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》和《关键信息基础设施安全保护条例》相继在下半年施行，数据安全行业迈入了有法可依的时代。

数据安全至关重要，通过对数据泄漏事件进行态势分析，一方面可以了解数据泄漏事件的表现和特点，使社会各界意识到数据安全的危害;另一方面也可以帮助组织机构洞察数据安全的规律，预判数据安全威胁的发展趋势，对机构的决策和行业发展有一定参考意义。

【数据泄漏】

2021年数据泄漏事件呈现不断增长的宏观态势，尤其在2021年下半年，数据泄漏事件发生的频率较高，这与《数据安全法》《个人信息保护法》在这期间相继出台有一定的关系，数据安全相关法律法规将数据的安全级别做出清晰划分，前期没有意识到的情景也纳入了数据泄漏范畴。

• 要点1：与2020年相比，2021年数据泄漏所占比例进一步上升，占所有数据安全事件类型的80%，其中以获利为目的的数据泄漏事件占比最高，同为80%，可见造成数据泄漏，仍然是利益驱动。

• 要点2：从数据的全生命周期阶段分析数据泄漏发现，2021年数据泄漏发生在存储阶段的占比最高，接近40%，其次是数据使用阶段，占比接近30%，都属于数据泄漏的高风险阶段和数据安全防御的重点阶段，应给予重视。

• 要点3：2021年的数据统计表明，导致数据泄漏的原因中，内部人员和黑客攻击所占比例大致相当，内部人员占比为42%，黑客攻击的占比为39%，16%是对数据的越权访问，10%是数据处置不当。

• 要点4：统计数据中，仍有近半数的数据泄漏事件无法确定数据源类型。在已知数据源的数据泄漏事件中，Elasticsearch占比最高，达到25%，S3 bucket 和 SQL数据库的占比分别为9% 和6%，其余为Azure、Git 和 BlueKai 这一类云端存储。

• 要点5：在所有数据泄漏事件中，泄漏数据包含个人信息的占比超过 60%，居首位。个人信息可细分为个人自然信息、个人行为信息、个人身份鉴别信息和个人关系信息等子类。其中，个人自然信息包括基本信息、财产信息、健康信息等个人本身具有的属性，在数据泄漏事件中占比为 51%。

• 要点6：每一个数据泄漏事件背后，都是有实际操作人员的。统计发现，内部人员导致的数据泄漏事件占比接近 60%。包括主动的泄密和由于失误造成的泄密。在主动的泄密类型中，内部人员受利益驱动泄漏数据，或者被外部人员欺骗泄漏，或者对企业有不满情绪而泄漏。失误造成的泄密类型中，由于安全意识或者流程的问题，造成安全策略配置错误，例如访问权限控制缺失、安全管控粒度粗放、账号凭据丢失等。

• 要点7：个人信息泄露行业占比

【个人信息泄漏】

通过对各大行业的个人信息泄漏态势调查分析发现，个人信息泄漏最严重的是互联网行业，占比为27%，互联网行业数据安全建设实质性投入少，成为个人信息泄漏的重灾区。另外，个人信息的泄漏，还会通过地下市场流向黑灰产业，对社会造成二次危害。

本报告将泄漏的个人信息进行危险等级评估，分为低等危害、中等危害、高等危害和严重危害，这样的分类分级有助于组织机构根据评估等级选择不同级别的响应措施。

【分析总结】

风险监测能力不足：目前大多数组织机构对数据泄漏事件的风险监测能力不足，未能在发生数据泄漏事件时，及时采取应急措施减少损失。

数据云端化趋势：业务上云这样的新型IT架构让很多组织机构不能及时了解其安全风险，数据存放在传统的网络安全边界之外，责任边界、安全风险对组织机构来说都模糊不清。

双重勒索常态化：数据泄漏事件同时伴随勒索攻击行为，发生勒索攻击+数据泄漏事件占比正逐年递增，攻击者以公开敏感数据为要挟，比以加密的数据为筹码更具杀伤力。

数据安全能力需要体系化建设：数据安全风险存在于数据全生命周期中，任何一个环节的漏洞将会导致整个数据安全防护体系功亏一篑，若仅依赖若干孤立产品进行安全防护，已不能应对当前复杂的数据泄漏场景。

【降低数据安全风险的建议】：

加强全流程数据安全风险监控：尽早发现数据安全风险并进行处置，是减少安全事件，降低损失的最佳办法。对数据安全的风险监控应重点从安全措施稽核、操作行为监测、系统漏洞监测三个维度考虑，对监测数据分类分级，进行风险评估和处置。 

加强企业云上数据防护：没有实施保护措施而将数据上云，几乎等同于直接把数据公开。建议数据上云的企业对上云的数据进行分类分级、对业务数据进行梳理，明确数据使用场景，同时提升员工的数据安全保护意识。

数据防泄漏与数据防勒索并重：传统的数据防勒索方案无法发现数据泄漏行为，更完善的防勒索方案除了防止数据被加密、不可用，还需要能够识别并防范数据泄漏行为，真正杜绝被勒索。

对数据进行分类分级保护：数据分级分类是建设合理数据安全体系的前提基础，对数据分类分级能够正确地评估数据所面临的风险，制订差异化的防护策略。