2024年度数据泄漏态势分析报告

闪扷信彯 闪扷信彯 免责声明 本分析报告中的数据来源于闪捷信息安全研究中心、合作伙伴、互联网。由于样本收集范围所限，未必能够反映事件的全貌，特此说明。闪扷信彯 闪捷信息根据可获得的数据发布该分析报告，并不保证所有数据的精确和完整，报告中所包含的信息具有一定的概括性，并不能用来解决特定的安全问题。意见和结论只是在报告发布时间得出，后续的变更将不会特别通知。任何人在使用报告中的信息时，责任自负。闪扷信闪扷信彯闪扷信彯 Contents目录 1.概述05 1.1. 背景051.2. 报告内容说明071.3. 数据来源说明07闪扷信彯闪扷信彯 2.数据分析07 2.1. 数据泄漏月份占比082.2. 数据安全事件类型占比092.3. 数据泄漏事件动机占比102.4. 数据泄漏原因占比112.5. 泄露数据类型占比122.6. 数据泄漏人员类型占比142.7. 数据泄漏各阶段占比152.8. 个人信息泄漏行业占比162.9. 个人信息泄漏维度占比172.10. 个人信息泄漏严重程度占比18闪扷信彯闪扷信彯闪扷信彯闪扷信彯 3.典型案例回顾19闪扷信彯 3.1. ChatGPT的长期记忆漏洞19闪扷信彯 3.2. 供应链污染导致的数据泄露20 22闪扷信彯 4.总结 5.建议23闪扷信彯 5.1. 建设数据分类分级保护能力235.2. 加强企业云上数据防护235.4. 加强对合作伙伴的安全能力评估245.3. 重视人工智能领域的数据安全风险24闪扷信彯 5.5. 建设全流程数据安全风险监控24闪扷信彯 5.6. 建立数据安全运营能力25 6.关于闪捷信息 7.附录 附录B：个人信息泄漏严重程度评估表27闪扷信彯 附录C：参考来源27 概述 1.1 背景 2024年对于数据安全行业来说是充满机遇和挑战的一年。随着人工智能技术的不断成熟和应用，人工智能对于数据安全的正面和负面影响日益凸显。同时，不断发生的数据泄露和勒索事件给社会、企业和个人所带来的损失和风险持续增长。数据安全的价值愈发得到社会各界的重视。闪扷信彯闪扷信彯 我国在数据安全法制化建设方面已初具规模，对于各领域各部门的规制作用和影响力还在进一步深化。闪扷信闪扷信彯 1月1日，财政部印发的《企业数据资源相关会计处理暂行规定》（以下简称“《暂行规定》”）于2024年1月1日起正式施行，标志着我国企业数据资产入表进入有制度保障的实质性落地阶段。闪扷信彯 2月初，国家数据局、交通运输部等17部门联合印发《“数据要素×”三年行动计划（2024—2026年）》（简称《行动计划》），旨在通过推动数据在多场景应用，提高资源配置效率，创造新产业新模式，培育发展新动能，从而实现经济发展倍增效应。《行动计划》在“数据要素×交通运输”方面，提出提升多式联运效能、推进航运贸易便利化、提升航运服务能力、挖掘数据复用价值、推进智能网联汽车创新发展等5项行动，具体内容包括：推进货运数据共享互认，推动航运数据可信融合应用，支持海洋地理空间、卫星遥感、定位导航、气象等数据与船舶数据融合，支持龙头企业推进运输高质量数据集建设和复用，支持自动驾驶汽车商业化试运营试点等。闪扷信彯闪扷信彯闪扷信彯 2月底，中央网信办、教育部、工业和信息化部、人力资源社会保障部联合印发《2024年提升全民数字素养与技能工作要点》（以下简称《工作要点》）。《工作要点》部署了6个方面17项重点任务。一是培育高水平复合型数字人才，包括全面提升师生数字素养与技能、提高领导干部和公务员数字化履职能力、培育高水平数字工匠、培育乡村数字人才、壮大行业数字人才队伍。二是加快弥合数字鸿沟，包括建设数字无障碍环境、提供普惠包容的公益服务。三是支撑做强做优做大数字经济，包括加快企业数字化转型升级、扩展数字消费需求空间。四是拓展智慧便捷的数字生活场景，包括推动数字公共服务普惠高效、提升重点生活领域数字化水平。五是打造积极健康有序的网络空间，包括营造共建共享社会氛围、构建数字法治道德规范、维护安全有序数字环境。六是强化支撑保障和协调联动，闪扷信彯闪扷信彯彯闪扷信彯闪扷信彯 包括完善协同支撑体系、加大优质数字资源供给、积极参与国际交流合作。闪扷信彯 2024年3月13日，欧洲议会正式通过了《人工智能法案》。这一法案的通过，标志着欧盟在人工智能监管方面取得了重大进展。《人工智能法案》不仅延续了此前的人工智能系统四级监管框架，还新增了对通用人工智能模型及系统的监管要求。这些要求旨在确保通用人工智能模型及系统的安全、可靠和合规，以保障公众的利益和权益。具体而言，法案对通用人工智能模型及系统的训练数据、性能、伦理影响等方面提出了明确的要求，并规定了相应的监管措施和处罚机制。这些新增的监管要求将进一步推动通用人工智能模型及系统的健康发展，确保其为社会带来更多的益处。闪扷信闪扷信彯闪扷信彯 5月底，为深入落实《“十四五”国家信息化规划》《国家标准化发展纲要》任务部署，中央网信办、市场监管总局、工业和信息化部在联合印发《信息化标准建设行动计划（2024—2027年）》（以下简称《行动计划》），要求加强统筹协调和系统推进，健全国家信息化标准体系，提升信息化发展综合能力，有力推动网络强国建设。闪扷信彯闪扷信彯 6月初，工业和信息化部、中央网络安全和信息化委员会办公室、国家发展和改革委员会、国家标准化管理委员会组织编制了《国家人工智能产业综合标准化体系建设指南（2024版）》。（以下简称《指南》）。《指南》的目标主要是贯彻落实《国家标准化发展纲要》《全球人工智能治理倡议》，进一步加强人工智能标准化工作系统谋划，加快构建满足人工智能产业高质量发展和“人工智能+”高水平赋能需求的标准体系，夯实标准对推动技术进步、促进企业发展、引领产业升级、保障产业安全的支撑作用，更好推进人工智能赋能新型工业化。闪扷信彯闪扷信彯 8月13日，美国国家标准与技术研究院（NIST）发布了首批3项后量子加密标准，以帮助抵御量子计算机的网络攻击。NIST发布的这3项新标准是应对量子计算威胁的前沿防线。这些标准建立在先进的密码学研究基础上，确保它们能够抵御未来量子计算机可能发起的攻击。这些标准涵盖了具体加密算法的设计、实施以及应用领域，旨在保护从机密电子邮件到电子商务交易在内的广泛电子信息，确保在未来量子计算时代的安全性。闪扷信彯闪扷信彯闪扷信彯闪扷信彯 2024年12月底，美国司法部发布了“应对外国对手获取美国公民敏感个人数据”的最终规则。通过该规则，美国政府针对美国个人敏感数据向中国（包括香港和澳门）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉的跨境传输，设立了一个数据出境国家安全审查制度。这意味着中美之间的“数据脱钩”落地。闪扷信彯 无论数字技术如何发展，无论世界格局如何变化，作为数字时代的基座，数据安全至 关重要。通过对数据泄露事件进行态势分析，一方面可以了解数据泄露事件的表现和特点，使社会各界意识到数据安全的危害；另一方面也可以帮助组织机构洞察数据安全的规律，预判数据安全威胁的发展趋势，对机构的决策和行业发展有一定参考意义。闪扷信彯 1.2 报告内容说明 本报告通过统计分析2024年国内所发生的数据泄露事件，结合全球数据泄露事件的趋势，尽力为读者呈现2024年国内数据泄露的态势全景。闪扷信彯 数据分析章节里，对收集的数据泄露事件进行了多维度的统计分析，例如数据泄露事件在时间维度上的占比、导致数据泄露的各种原因占比等。意图使数据泄露事件与各种因素之间的相关性得到展现。分析内容包括统计图表展现和描述，包括趋势、比例和排名等形式。并根据统计图表展现的内容，结合掌握的其它情报信息，进行原因分析和说明。在本报告的总结部分，概括性地叙述了数据泄露态势可能蕴含的信息。建议章节里，是根据分析的原因对组织机构提出降低数据安全风险的建议和措施。闪扷信闪扷信彯闪扷信彯 1.3 数据来源说明 本期报告分析所采用的数据来源于闪捷信息安全与战略研究中心、合作伙伴、互联网等。数据的整理沿用了VERIS（Vocabulary for Event Recording and Incident Shar-ing）框架。这样的收集整理工作还在持续进行中，这为后续的数据分析工作打下了基础。VERIS框架在未来使用过程中还会不断改进和细化，这与数据安全行业自身处在高速发展中有关。报告撰写团队也希望在这一过程中，能形成一个适用于国内数据安全事件记录的框架，欢迎读者为报告撰写团队提供有建设性的指导意见。闪扷信彯闪扷信彯闪扷信彯闪扷信彯 数据分析 2.1数据泄露月份占比 数据泄露事件在2024年各月份的数量占比整体持续上升。年初增长迅速，在四月份至七月份的占比保持平稳，在2024年下半年，又呈现爆发式增长。考虑到数据样本的局限性，这种增长趋势不一定能反映真实的数值，但可以一定程度上帮助了解数据泄露事件占比在2024年的变化规律。对各月份数据进行线性拟合（红色虚线），可以发现数据泄露事件在2024年各月份的数量占比分布线性呈上升趋势。闪扷信彯闪扷信彯闪扷信彯 2024年10月、11月和12月，数据泄露事件的数量总数超过全年总数的30%。这种现象也体现了数据泄露事件在时间维度的特点。临近年末，暗网交易更加活跃，为前期攻击“结账”。同时，年初数起供应链漏洞导致的数据泄露事件的后续效应显现，并且节假日前的攻击窗口扩大，人工智能技术更新带来的新风险，以及勒索软件和地缘政治攻击的集中爆发。这些因素共同作用，使得10月至12月成为数据泄露的高峰期。闪扷信彯闪扷信彯闪扷信彯 网络空间是继陆、海、空、天之外，人类活动的“第五空间”。这一点在近年来的多次地区冲突中体现更加直接。战争所依赖的能源、制造、运输和医疗，以及战争中的兵力、分布和作战计划，无一不受到网络攻击的威胁。没有网络安全就没有国家安全，网络空间的安全建设更加迫切紧要。闪扷信彯彯 2.2.数据安全事件类型占比 数据安全事件类型目前汇集了数据泄露、数据加密+数据泄露、数据加密、数据损毁和数据篡改。数据加密+数据泄露表示数据安全事件所涉及数据既发生了泄露，也被进行了加密处理。闪扷信彯 与其它数据安全事件类型相比，单纯的数据泄露类型具有显著高占比，占全年度所有数据安全事件的66%。兼有数据加密和数据泄露的安全事件，则占全年度所有数据安全事件的21%。闪扷信彯闪扷信彯 自2022年起，本报告并没有将勒索攻击作为一种数据安全事件类型。主要是因为勒索并不是一种针对数据的行为，而且勒索并不能准确表达数据所面临的安全问题，勒索攻击的背后，可能是数据被加密，也可能是数据被泄露，或者二者皆有。因此，防勒索方案应该包含数据防泄露技术，从多个方面防止勒索事件的发生。闪扷信彯闪扷信彯 数据损毁的比例偏低，与2023年相比并没有显著变化。主要是因为数据存储方面的建设过程中，对数据备份容灾等问题考虑得很充分，因此，这一类型的数据安全事件相比较少。闪扷信彯闪扷信彯 2.3.数据泄露事件动机占比 不同的数据泄露事件背后，有不同的动机。以经济利益为目的的数据泄露事件占比接近80%，这说明数据泄露事件，仍然是利益驱动。据观察发现，不法分子在窃取数据后，可以通过售卖个人信息或知识产权变现，也可以勒索受害者获得收入。闪扷信彯闪扷信彯 据美国卫生与公众服务部的统计数据显示，美国医疗IT公司Change Healthcare在2月遭受的勒索软件攻击损失惨重。联合健康集团首席执行官AndrewWitty向参议员证实，联合健康集团确实向攻击者支付了2200万美元。另据Rapid7统计，全球前10勒索组织在2024年获取的赎金接近4亿美金。巨大的利益催生了更多的数据泄露事件。数据防泄露将是一个系统工程，需要社会各界共同努力。闪扷信彯闪扷信彯 另外，接近15%的数据泄露事件关系国家安全。这类数据泄露事件同时具有长期性的特点。近年来多起APT攻击就属于此类型。2024年12月18日，国家互联网应急中心CNCERT发布公告，发现处置两起美对我大型科技企业