资讯安全网: 资料外泄

资料外泄简介

资料外泄属于网络安全事件，涉及未经系统拥有人授权下接达、更改、移除、窃取或公开披露的资料。个人、机构甚至政府都可能是资料外泄的受害者，而外泄的资料可以是个人资料、可识别个人身分的资料、医疗记录、商业秘密、财务资料等。导致资料外泄的原因有多种，例如网络攻击、内部人员的恶意行为、员工的疏忽、设备和文件遗失或被盗等。资料外泄可对个人或机构造成严重的影响，其中包括身分盗窃、财务损失、声誉受损及承担法律责任等。网络罪犯通常试图通过网络攻击获取金钱利益，利用窃取的资料盗用身分或达到其他欺诈目的。

资料外泄的趋势

资料外泄事故显着增多，情况令人担忧。根据2021年一间非牟利保安机构发表的全球资料外泄安全报告，资料外泄事故的宗数较2020年同期增加超过68%。据报告显示，导致资料外泄的三个主要原因分别为网络攻击（86%）（包括仿冒诈骗和恶意软件攻击）、人为与系统错误（9%）（包括系统配置不当和遗失设备）以及实体攻击（2%）（包括文件或设备被盗）。其中医疗保健、金融服务、制造和公用事业、专业服务及资讯科技等行业首当其冲，涉及的资料外泄事故宗数共佔2021年事故报告总数的一半以上。

数据保护法

近年各地的执法部门和相关机构也加强了对个人资料保护和对跨境资料转移进行监管。例如欧盟于2018年颁布的《通用数据保障条例》(GDPR)，美国部分地区同年生效的《加州消费者私隐法》(CCPA)，以及中国于2021年颁布的《个人信息保护法》(PIPL)。为应对资料外泄事故的上升趋势，欧盟的GDPR 和某些国家的法例载有严格的资料外泄事件通知规定，强制机构必须向监管机构和相关个别人士通报资料外泄事件。

资料外泄事件的征兆

虽然网络安全工具可以预防大部分网络攻击，但了解受感染电脑的警告讯号亦十分重要。以下是资料外泄事故常见的征兆：

图 1：资料外泄事件的征兆

-

装置出现可疑或来源不明的文件，这些文件通常是攻击者植入的工具或恶意程式，用于寻找装置的漏洞、操作恶意软件或自动读取数据库资料等；

-

电脑网络传输出现流量异常的状况，可能代表攻击者将数据传输到外部；

-

出现不正常的文件修改和数据库读写等操作；

-

来自不寻常时间或地点的可疑登录活动；

-

用户在不知情的情况下被更改，导致无法登入帐号；

-

网上自检工具（例如 HaveIBeenPwnd - https://haveibeenpwned.com）或密码泄露报告的结果显示涉及资料外泄；以及

-

收到资料使用者的资料外泄事故通报。

常见的资料外泄成因

为了减低资料外泄的风险，了解资料外泄事故的主要成因至为重要。常见的主要成因可以分为以下三类：

图 2：常见的资料外泄成因

1.

内部威胁
内部威胁通常是指来自合法接达机构资料、网络或电脑系统的用户（例如现职僱员、合约承办商或第三方供应商等）所造成的潜在威胁，其动机和意图各有不同。

-

恶意的内部人员： 故意接达并暴露敏感资料以损害机构的员工，例如将商业资料出售予公司竞争对手以获取利益。

例子： 2019年，一间能源公司的两名员工承认为获得商业优势以创办竞争公司而窃取公司的商业机密。自2011年至2012年间，有超过8 000个载有敏感资料的档案外泄。

-

疏忽／大意的僱员： 员工由于意外或疏忽而在无意间泄露资料，例如遗失储存敏感资料的随身装置、错误设定系统或在家／遥距工作时绕过资讯科技保安控制措施和相关安全工具。

例子： 2021年，一间汽车制造商报称因未经授权的第三方而导致资料外泄。事缘其营销商未有妥善保护一个电子档案，导致超过330万客户的资料外泄。

2.

网络攻击
通过网络攻击，攻击者可以在未经授权的情况下接达机构的网络或电脑系统并窃取敏感或机密资料。攻击者经常借以下的方式及途径发动攻击，以接达受保护的资料：

资料外泄的过程
因网络攻击而造成的资料外泄，通常包括侦察、攻击和泄露资料三个主要阶段。

图 3：资料外泄的过程

a.

侦察 - 攻击者首先识别及确定目标，随后找出目标系统的漏洞。

b.

攻击攻击者根据已知的，开发工具并对目标系统发动攻击。

c.

泄露资料 攻击成功后，攻击者可以在未经的情况下接达、获取、更改或披露受害者的资料。

攻击途径

-

社交工程： 攻击者伪装成可信或合法组织以诱骗用户提供敏感资料。仿冒诈骗是最常见的社交工程攻击，攻击者使用伪冒的电子邮件或恶意网站来索取受害者的个人资料。

例子： 2020年，一个社交媒体平台的员工因遭受鱼叉式仿冒诈骗攻击而泄露了平台客户的登入凭证资料。攻击者通过这些外泄的帐户资料接达其中130个知名人士和着名公司的帐号，并利用其中45个帐号宣传比特币骗局。

-

暴力攻击： 攻击者通过反覆试验来破解登入凭证。他们入侵用户的个人帐号后，可以接达机密资料，并盗用身分以进行其他恶意活动。

例子： 2021年，一间电讯公司成为大规模资料外泄的受害者。攻击者使用暴力攻击入侵公司伺服器并窃取超过5 400万个客户的个人资料。

-

供应链攻击： 攻击者通过获信赖的第三方供应商接达机构的网络。攻击者利用供应链的保安漏洞入侵供应商，窃取资料。

例子： 2020年，攻击者入侵一间资讯科技公司的供应链，在该公司的软件系统更新植入恶意程式码，而该更新通过自动推送方式传送给客户。超过18 000名客户安装了受感染的软件更新而遭受攻击。

-

恶意软件： 攻击者将恶意软件安装于目标的电脑系统，以破坏正常的电脑功能，窃取数据并获得未经授权的接达权限。勒索软件是恶意软件之一，常被用于窃取受害者的数据和将数据加密以迫使受害者支付赎金。

例子： 2021年，一间石油管道公司遭受勒索软件攻击，令运作停顿，导致上百万计人士的燃料供应中断。该公司有接近100 GB的资料从伺服器中被盗用，并遭勒索赎金。

-

利用保安漏洞： 攻击者可使用漏洞攻击套件，找寻软件的漏洞并进行破解，以获取用户的登入凭证资料或收集商业资料。

例子： 2021年，一款不用现金的泊车应用程式由于第三方供应商的保安漏洞而遭入侵。2 100万名客户的重要资料外泄并被人于暗网上出售。

3.

实体资料外泄
没有妥善保管储存敏感资料的文件或随身装置（例如USB、硬碟、手提电脑），例如将其放在无人看管的公共地方或将敏感资料储存于未的随身装置上，可能会导致大规模的资料外泄。

资料外泄的影响

资料外泄可能会对机构和个人造成严重后果。视乎资料外泄的程度，社会大衆有可能会受到威胁。资产、健康和身分记录等机密资料外泄或会导致社会恐慌和危害人身安全。

1.

机构

-

财务损失： 资料外泄可能会影响或破坏机构的日常运作，导致业务上的损失。其他财务后果包括收入减少、知识产权损失（例如专利和商业秘密）、向受资料外泄影响的客户作出补偿及支付和解费用，并且要支付法律服务、应对外泄情况和调查费用等。

-

法律后果： 不同地区均已实施有关资料外泄的法律和规例。机构如未能遵守相关法律和规例（例如香港的《个人资料（私隐）条例》(PDPO)），可能会面对监管机构的法律行动（例如罚款和诉讼）。

-

声誉损害： 资料外泄会严重损害机构的声誉。商业信誉受到损害将对品牌形象造成负面影响，并失去客户的信任，以及影响与商业伙伴或供应商的关系。

2.

个人

-

身分盗窃：可识别个人身分的敏感资料外泄会对个人造成严重影响。攻击者使用以欺诈方式获得的登入凭证资料，冒充当事人进行其他恶意活动，例如非法转移受害者的资金及利用受害者的身分进行欺诈。

预防资料外泄的良好作业模式

一般建议

图 5：一般预防资料外泄的措施

-

在个人电脑实施安全措施（请参阅保护你的新电脑，以获取更多有关的资讯。）；

-

安装来源可靠的软件和流动应用程式，如有可疑的权限要求，切勿安装；

-

採用强密码和身分验证措施（例如、生物认证等）；

-

避免使用公共Wi-Fi网络或不受信任的设备处理个人或敏感资料；

-

加强在线私隐设置，以减少个人资料暴露于社交媒体；以及

-

使用有数据加密的便携式媒体来保护敏感资料。

机构的良好作业模式

图 6：机构预防资料外泄的良好作业模式 breach

1.

识别：

-

界定和分类敏感资料（例如可识别个人身分的资料、知识产权和机密资料），并制定政策以证明其合规性（如必要）；

-

记录关键系统／数据资产，并参考行业良好作业模式实行适当的措施（例如数据加密、和审计）；以及

-

根据适用的保障个人资料私隐的法例（例如 PDPO 或 GDPR）对所有涉及个人资料的操作进行私隐影响评估。

2.

侦测：

-

监控网络接达的使用情况并定期查看系统记录，以识别异常的系统或网络活动；以及

-

应採用有效的资料外泄防护 (Data loss prevention，简称DLP) 和定期扫描电脑以侦测恶意软件。

3.

保护：

-

加强电脑系统的保安，关闭不必要的连接埠和服务；

-

传输资料时採用适当措施保障网络安全（例如採用应用系统、将保安及功能要求不一的网络分隔）；

-

避免在电脑或移动设备上连接来历不明的便携式媒体；

-

考虑实施零信任网络安全架构：

图 7：零信任网络安全架构运作流程

界定关键和重要的资料或数据资产，并执行政策，确保安全接达已界定的资料或数据（请参阅「识别」部分）；
根据用户和设备识别细微分隔网络和制定安全的子网络，以建立更具体的安全控制措施；以及
加强身分识别与接达管理，并只允许对数据端点所需的系统资源和服务进行认证和授权。

-

对传输中和静态的敏感资料使用严谨的保安规约进行加密（例如传输中的资料以传输层保安加密）；

-

採用密码匙的管理服务，例如硬件安全模组或企业密码匙的管理系统，以适当地建立、储存和交换用于资料加密的密钥；

-

处置储存设备前应适当地删除敏感资料（例如对储存媒体进行消磁和实体销毁）；

-

为不同层的用户（由高级管理层到前线员工）安排定期的培训，以提高他们对资讯保安的认识；

-

定期进行保安风险评估和审计，以检查和找出资料保护措施的风险，并採取适时的缓解措施；以及

-

定期备份资料，并保留至少一份以离线方式储存的数据备份。

4.

应对：

-

制定资讯保安事故处理计划（包括资料外泄事件），并定期进行演习和检讨计划，以及在需要时修订计划；

-

出现资料外泄事件后须加强保安监控的次数和范围，以确保完全消除威胁；以及

-

请参阅「应对资料外泄」部分，以获取更多有关的资讯。

应对资料外泄事件

图 8：应对资料外泄事件

1.

制止资料继续外泄

根据最早找出的成因，制止资料继续外泄的措施包括：

-

把受影响的系统或服务进行离线处理，以免外泄资料造成进一步的损害；

-

暂停怀疑与事件有关的帐户；

-

保留资料外泄事件有关的证据，以便调查；

-

通过与互联网服务承办商，或是网站、论坛或搜寻器等相关团体的管理员联系，删除外泄的资料（例如外界管理的平台所公布的资料）；以及

-

如有需要，向香港电脑保安事故协调中心寻求有关事故应变和复原的意见。

2.

风险评估

-

评估资料外泄事件所引起的风险和影响（例如资料外泄的数量、类型和敏感性、资料外泄的成因、事件再次发生的可能性、已泄露资料的加密状态等）。

3.

通报事件

-

通知受影响的人士，提供与资料外泄事件相关的资讯，包括涉及的个人资料类别、事件的成因和潜在影响、已採取的补救措施和提供个人可以採取的缓解措施等。

-

若事件怀疑涉及犯罪，向香港警务处举报。

-

若事件涉及个人资料外泄，向个人资料私隐专员公署作出资料外泄事故通报。

4.

事后评估

-

调查资料外泄事件的根本原因，并考虑採取补救措施，以免重蹈覆辙。

-

根据调查结果，提出可行的改善建议，例如：

改善敏感资料的处理流程；
检视及修订用户对敏感资料的接达权限设定；
评估防止未经授权接达敏感资料的保安措施是否足够，并在有需要时採取进一步的保安措施；以及
加强资料处理的监控机制和提高资料外泄的早期侦测效率。

-

进行查核以确保相关的建议得到落实。