資訊安全網: 資料外泄

資料外泄簡介

資料外泄屬於網絡安全事件，涉及未經系統擁有人授權下接達、更改、移除、竊取或公開披露的資料。個人、機構甚至政府都可能是資料外泄的受害者，而外泄的資料可以是個人資料、可識別個人身分的資料、醫療記錄、商業秘密、財務資料等。導致資料外泄的原因有多種，例如網絡攻擊、內部人員的惡意行為、員工的疏忽、設備和文件遺失或被盜等。資料外泄可對個人或機構造成嚴重的影響，其中包括身分盜竊、財務損失、聲譽受損及承擔法律責任等。網絡罪犯通常試圖通過網絡攻擊獲取金錢利益，利用竊取的資料盜用身分或達到其他欺詐目的。

資料外泄的趨勢

資料外泄事故顯著增多，情況令人擔憂。根據2021年一間非牟利保安機構發表的全球資料外泄安全報告，資料外泄事故的宗數較2020年同期增加超過68%。據報告顯示，導致資料外泄的三個主要原因分別為網絡攻擊（86%）（包括仿冒詐騙和惡意軟件攻擊）、人為與系統錯誤（9%）（包括系統配置不當和遺失設備）以及實體攻擊（2%）（包括文件或設備被盜）。其中醫療保健、金融服務、製造和公用事業、專業服務及資訊科技等行業首當其衝，涉及的資料外泄事故宗數共佔2021年事故報告總數的一半以上。

數據保護法

近年各地的執法部門和相關機構也加強了對個人資料保護和對跨境資料轉移進行監管。例如歐盟於2018年頒布的《通用數據保障條例》(GDPR)，美國部分地區同年生效的《加州消費者私隱法》(CCPA)，以及中國於2021年頒布的《個人信息保護法》(PIPL)。為應對資料外泄事故的上升趨勢，歐盟的GDPR 和某些國家的法例載有嚴格的資料外泄事件通知規定，強制機構必須向監管機構和相關個別人士通報資料外泄事件。

資料外泄事件的徵兆

雖然網絡安全工具可以預防大部分網絡攻擊，但了解受感染電腦的警告訊號亦十分重要。以下是資料外泄事故常見的徵兆：

圖 1：資料外泄事件的徵兆

-

裝置出現可疑或來源不明的文件，這些文件通常是攻擊者植入的工具或惡意程式，用於尋找裝置的漏洞、操作惡意軟件或自動讀取數據庫資料等；

-

電腦網絡傳輸出現流量異常的狀況，可能代表攻擊者將數據傳輸到外部；

-

出現不正常的文件修改和數據庫讀寫等操作；

-

來自不尋常時間或地點的可疑登錄活動；

-

用戶在不知情的情況下被更改，導致無法登入帳號；

-

網上自檢工具（例如 HaveIBeenPwnd - https://haveibeenpwned.com）或密碼泄露報告的結果顯示涉及資料外泄；以及

-

收到資料使用者的資料外泄事故通報。

常見的資料外泄成因

為了減低資料外泄的風險，了解資料外泄事故的主要成因至為重要。常見的主要成因可以分為以下三類：

圖 2：常見的資料外泄成因

1.

內部威脅
內部威脅通常是指來自合法接達機構資料、網絡或電腦系統的用戶（例如現職僱員、合約承辦商或第三方供應商等）所造成的潛在威脅，其動機和意圖各有不同。

-

惡意的內部人員： 故意接達並暴露敏感資料以損害機構的員工，例如將商業資料出售予公司競爭對手以獲取利益。

例子： 2019年，一間能源公司的兩名員工承認為獲得商業優勢以創辦競爭公司而竊取公司的商業機密。自2011年至2012年間，有超過8 000個載有敏感資料的檔案外泄。

-

疏忽／大意的僱員： 員工由於意外或疏忽而在無意間泄露資料，例如遺失儲存敏感資料的隨身裝置、錯誤設定系統或在家／遙距工作時繞過資訊科技保安控制措施和相關安全工具。

例子： 2021年，一間汽車製造商報稱因未經授權的第三方而導致資料外泄。事緣其營銷商未有妥善保護一個電子檔案，導致超過330萬客戶的資料外泄。

2.

網絡攻擊
通過網絡攻擊，攻擊者可以在未經授權的情況下接達機構的網絡或電腦系統並竊取敏感或機密資料。攻擊者經常藉以下的方式及途徑發動攻擊，以接達受保護的資料：

資料外泄的過程
因網絡攻擊而造成的資料外泄，通常包括偵察、攻擊和泄露資料三個主要階段。

圖 3：資料外泄的過程

a.

偵察 - 攻擊者首先識別及確定目標，隨後找出目標系统的漏洞。

b.

攻擊攻擊者根據已知的，開發工具並對目標系統發動攻擊。

c.

泄露資料 攻擊成功後，攻擊者可以在未經的情況下接達、獲取、更改或披露受害者的資料。

攻擊途徑

-

社交工程： 攻擊者偽裝成可信或合法組織以誘騙用戶提供敏感資料。仿冒詐騙是最常見的社交工程攻擊，攻擊者使用偽冒的電子郵件或惡意網站來索取受害者的個人資料。

例子： 2020年，一個社交媒體平台的員工因遭受魚叉式仿冒詐騙攻擊而泄露了平台客戶的登入憑證資料。攻擊者通過這些外泄的帳戶資料接達其中130個知名人士和著名公司的帳號，並利用其中45個帳號宣傳比特幣騙局。

-

暴力攻擊： 攻擊者通過反覆試驗來破解登入憑證。他們入侵用戶的個人帳號後，可以接達機密資料，並盜用身分以進行其他惡意活動。

例子： 2021年，一間電訊公司成為大規模資料外泄的受害者。攻擊者使用暴力攻擊入侵公司伺服器並竊取超過5 400萬個客戶的個人資料。

-

供應鏈攻擊： 攻擊者通過獲信賴的第三方供應商接達機構的網絡。攻擊者利用供應鏈的保安漏洞入侵供應商，竊取資料。

例子： 2020年，攻擊者入侵一間資訊科技公司的供應鏈，在該公司的軟件系統更新植入惡意程式碼，而該更新通過自動推送方式傳送給客戶。超過18 000名客戶安裝了受感染的軟件更新而遭受攻擊。

-

惡意軟件： 攻擊者將惡意軟件安裝於目標的電腦系統，以破壞正常的電腦功能，竊取數據並獲得未經授權的接達權限。勒索軟件是惡意軟件之一，常被用於竊取受害者的數據和將數據加密以迫使受害者支付贖金。

例子： 2021年，一間石油管道公司遭受勒索軟件攻擊，令運作停頓，導致上百萬計人士的燃料供應中斷。該公司有接近100 GB的資料從伺服器中被盜用，並遭勒索贖金。

-

利用保安漏洞： 攻擊者可使用漏洞攻擊套件，找尋軟件的漏洞並進行破解，以獲取用戶的登入憑證資料或收集商業資料。

例子： 2021年，一款不用現金的泊車應用程式由於第三方供應商的保安漏洞而遭入侵。2 100萬名客戶的重要資料外泄並被人於暗網上出售。

3.

實體資料外泄
沒有妥善保管儲存敏感資料的文件或隨身裝置（例如USB、硬碟、手提電腦），例如將其放在無人看管的公共地方或將敏感資料儲存於未的隨身裝置上，可能會導致大規模的資料外泄。

資料外泄的影響

資料外泄可能會對機構和個人造成嚴重後果。視乎資料外泄的程度，社會大衆有可能會受到威脅。資產、健康和身分記錄等機密資料外泄或會導致社會恐慌和危害人身安全。

1.

機構

-

財務損失： 資料外泄可能會影響或破壞機構的日常運作，導致業務上的損失。其他財務後果包括收入減少、知識產權損失（例如專利和商業秘密）、向受資料外泄影響的客戶作出補償及支付和解費用，並且要支付法律服務、應對外泄情況和調查費用等。

-

法律後果： 不同地區均已實施有關資料外泄的法律和規例。機構如未能遵守相關法律和規例（例如香港的《個人資料（私隱）條例》(PDPO)），可能會面對監管機構的法律行動（例如罰款和訴訟）。

-

聲譽損害： 資料外泄會嚴重損害機構的聲譽。商業信譽受到損害將對品牌形象造成負面影響，並失去客戶的信任，以及影響與商業夥伴或供應商的關係。

2.

個人

-

身分盜竊：可識別個人身分的敏感資料外泄會對個人造成嚴重影響。攻擊者使用以欺詐方式獲得的登入憑證資料，冒充當事人進行其他惡意活動，例如非法轉移受害者的資金及利用受害者的身分進行欺詐。

預防資料外泄的良好作業模式

一般建議

圖 5：一般預防資料外泄的措施

-

在個人電腦實施安全措施（請參閱保護你的新電腦，以獲取更多有關的資訊。）；

-

安裝來源可靠的軟件和流動應用程式，如有可疑的權限要求，切勿安裝；

-

採用強密碼和身分驗證措施（例如、生物認證等）；

-

避免使用公共Wi-Fi網絡或不受信任的設備處理個人或敏感資料；

-

加強在線私隱設置，以減少個人資料暴露於社交媒體；以及

-

使用有數據加密的便攜式媒體來保護敏感資料。

機構的良好作業模式

圖 6：機構預防資料外泄的良好作業模式 breach

1.

識別：

-

界定和分類敏感資料（例如可識別個人身分的資料、知識產權和機密資料），並制定政策以證明其合規性（如必要）；

-

記錄關鍵系統／數據資產，並參考行業良好作業模式實行適當的措施（例如數據加密、和審計）；以及

-

根據適用的保障個人資料私隱的法例（例如 PDPO 或 GDPR）對所有涉及個人資料的操作進行私隱影響評估。

2.

偵測：

-

監控網絡接達的使用情況並定期查看系統記錄，以識別異常的系統或網絡活動；以及

-

應採用有效的資料外泄防護 (Data loss prevention，簡稱DLP) 和定期掃描電腦以偵測惡意軟件。

3.

保護：

-

加強電腦系統的保安，關閉不必要的連接埠和服務；

-

傳輸資料時採用適當措施保障網絡安全（例如採用應用系統、將保安及功能要求不一的網絡分隔）；

-

避免在電腦或移動設備上連接來歷不明的便攜式媒體；

-

考慮實施零信任網絡安全架構：

圖 7：零信任網絡安全架構運作流程

界定關鍵和重要的資料或數據資產，並執行政策，確保安全接達已界定的資料或數據（請參閱「識別」部分）；
根據用戶和設備識別細微分隔網絡和制定安全的子網絡，以建立更具體的安全控制措施；以及
加強身分識別與接達管理，並只允許對數據端點所需的系統資源和服務進行認證和授權。

-

對傳輸中和靜態的敏感資料使用嚴謹的保安規約進行加密（例如傳輸中的資料以傳輸層保安加密）；

-

採用密碼匙的管理服務，例如硬件安全模組或企業密碼匙的管理系統，以適當地建立、儲存和交換用於資料加密的密鑰；

-

處置儲存設備前應適當地刪除敏感資料（例如對儲存媒體進行消磁和實體銷毀）；

-

為不同層的用戶（由高級管理層到前線員工）安排定期的培訓，以提高他們對資訊保安的認識；

-

定期進行保安風險評估和審計，以檢查和找出資料保護措施的風險，並採取適時的緩解措施；以及

-

定期備份資料，並保留至少一份以離線方式儲存的數據備份。

4.

應對：

-

制定資訊保安事故處理計劃（包括資料外泄事件），並定期進行演習和檢討計劃，以及在需要時修訂計劃；

-

出現資料外泄事件後須加強保安監控的次數和範圍，以確保完全消除威脅；以及

-

請參閱「應對資料外泄」部分，以獲取更多有關的資訊。

應對資料外泄事件

圖 8：應對資料外泄事件

1.

制止資料繼續外泄

根據最早找出的成因，制止資料繼續外泄的措施包括：

-

把受影響的系統或服務進行離線處理，以免外泄資料造成進一步的損害；

-

暫停懷疑與事件有關的帳戶；

-

保留資料外泄事件有關的證據，以便調查；

-

通過與互聯網服務承辦商，或是網站、論壇或搜尋器等相關團體的管理員聯繫，刪除外泄的資料（例如外界管理的平台所公布的資料）；以及

-

如有需要，向香港電腦保安事故協調中心尋求有關事故應變和復原的意見。

2.

風險評估

-

評估資料外泄事件所引起的風險和影響（例如資料外泄的數量、類型和敏感性、資料外泄的成因、事件再次發生的可能性、已泄露資料的加密狀態等）。

3.

通報事件

-

通知受影響的人士，提供與資料外泄事件相關的資訊，包括涉及的個人資料類別、事件的成因和潛在影響、已採取的補救措施和提供個人可以採取的緩解措施等。

-

若事件懷疑涉及犯罪，向香港警務處舉報。

-

若事件涉及個人資料外泄，向個人資料私隱專員公署作出資料外泄事故通報。

4.

事後評估

-

調查資料外泄事件的根本原因，並考慮採取補救措施，以免重蹈覆轍。

-

根據調查結果，提出可行的改善建議，例如：

改善敏感資料的處理流程；
檢視及修訂用戶對敏感資料的接達權限設定；
評估防止未經授權接達敏感資料的保安措施是否足夠，並在有需要時採取進一步的保安措施；以及
加強資料處理的監控機制和提高資料外泄的早期偵測效率。

-

進行查核以確保相關的建議得到落實。