数据安全事件应急及溯源分析实践案例

 

1、2021年数据安全事件态势分析

2021年数据安全事件类型中,数据泄漏事件占比超八成,并呈现不断增长的宏观态势,尤其在下半年,数据泄漏事件发生的频率较高。

高频率发生的原因可能与《数据安全法》、《个人信息保护法》的颁布有关,相关法律法规将数据的安全类型、级别做出了更为清晰的划分之后,前期遗漏的诸多场景也纳入了数据泄漏事件的范畴。除此之外,以“获利”为目的的数据泄漏事件占比最高,由利益驱使的数据泄漏事件仍然最为常见。

从数据的全生命周期阶段分析发现,2021年数据泄漏事件最易发生在存储阶段,其次是数据使用阶段,整体占比将近70%。这两个阶段都属于数据泄漏的高风险阶段和数据安全防御的重点阶段,应当予以重视。

导致数据泄漏的诸多原因中,内部人员恶意泄漏和黑客攻击所占比例最高,内部原因占比高达42%。除此之外,越权访问也是值得注意的成因之一。

内部人员导致的数据泄漏事件包括主动泄密和失误泄密。主动泄密事件,大部分是受到利益驱使,或者被外部人员欺骗,或者对雇主企业存在不满情绪。失误泄密事件,大多是由于安全意识薄弱或者流程设置有问题造成的,从而进一步导致安全策略配置错误,例如访问权限控制缺失、安全管控粒度粗放、账号凭据丢失等。

在所有数据泄漏事件中,个人类信息(包括隐私信息、生物特征信息、行为信息、人脉关系信息)等仍是被最主要泄漏的数据类型。例如,个人自然信息(基本信息、财产信息、健康信息等)占比就高达 51%。

各大行业中,互联网、医疗行业对个人信息的数据泄漏情况最为严重,占比近五成,大多是由于行业对数据安全保护方面的投入较少导致的。不仅如此,被泄漏的个人数据信息还会通过各种渠道流向黑灰产业,对社会造成二次危害。

 

2、数据安全事件应急处置

预防数据泄露是数据合规工作中的重点和难点之一,数据泄露事件一旦发生,企业不仅需要承担高昂的经济损失,还可能承担严重的法律后果。《数据安全法》规定,对造成大量数据泄露等严重后果的数据处理者,将处以较高数额的罚款,责令暂停相关业务、停业整顿、吊销相应业务许可证或营业执照;《个人信息保护法》也规定,违反个人信息保护义务导致信息数据泄露的,将没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务,相关违法行为还会被计入信用档案并公示。本次将围绕“47家医院数据泄露”案例来分析数据安全事件发生后,应该如何进行应急响应。

企业在数据安全事件发生后应注意采取如下应对措施:

2.1调查起因,评估影响与风险,采取补救措施

接到威胁情报或者监管部门事件通知后,涉事企业应按照本企业的《网络安全应急预案》部署事件处理团队,立即进行事件确认,调查排查数据泄露的原因,识别涉及的数据类型和数量以及数据的敏感程度,确定受影响的个人信息主体的范围,分析所涉数据是否已加密、防控措施是否有效抵御了攻击等,据此评估对个人信息主体的权利和自由的影响程度以及其他可能造成的后果。同时,企业应当立即保护网络系统,修复可能造成数据泄露的漏洞,并防止数据进一步泄露,例如封锁环境、限制访问、监控出入点、关闭受影响的设备、更改秘钥等。在此过程中,企业可以聘请外部法律和技术团队协助电子数据取证并留存证据,以备后续可能发生的调查和争议。

2.2上报监管机构,通知受影响的个人信息主体

根据对安全事件的影响与风险的评估以及相关法律法规要求,确定企业是否需要上报监管机构、是否需要通知受影响的个人信息主体。如有必要,企业应迅速确定如下内容:(1)此次安全事件是否受域外法律管辖,且所涉域外法律是否有特殊规定;(2)上报哪个/哪些监管机构,是否包括域外的监管机构;(3)需要通知的数据主体的范围以及通知的方式;(4)上报的内容以及通知的内容。在确定上述内容后,及时根据相关法律法规要求进行上报和通知。

《网安法》也在第22和25条规定了网络运营者的通知义务和补救义务。网络运营者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;在发生危害网络安全的事件时,应立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

GDPR第33和34条规定了在发生个人数据泄露的情形时,数据控制者的报告和通知义务。除非个人数据泄露不太可能会对自然人的权利和自由造成风险,数据控制者应当在发现数据泄露的72小时内将个人数据泄露的情况报告监管机构。如果数据泄露可能对自然人的权利和自由产生较高风险,数据控制者还应当立即将个人数据泄露的事实告知数据主体。

2.3做好安全事件记录

《网安法》第21条还要求网络运营者采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。

无论安全事件是否需要上报监管机关或通知受影响的自然人,企业都应当做好安全事件的记录。如果企业根据评估决定不上报和通知,企业应当记录评估的分析过程与结果。企业还应当留存安全事件有关的事实、事件起因、相关影响以及采取的补救措施的相关记录,且相关网络日志至少要留存六个月的时间。这不仅是法律法规的要求,在监管机构介入并可能定性和判罚时,也将成为判罚的重要参考依据。

 

3、47家医院数据泄露事件溯源分析

通过对泄露数据的综合分析研判,47家医院提供的数据均与“JXKH”相关,并包含数据采集相关文档、SQL语句等内容,其中部分医院提供了以“XXXXX_”为开头的*.xlsx文件,内容为就医患者个人敏感身份信息及就医信息。在互联网上对该字段进行检索发现其为国家WJWXXXX管理平台XXXX关联字段。考虑存在两个泄露路径:源代码泄露路径、供应链泄露路径等。详情分析可点击这里:https://articles.zsxq.com/id_5ss2a078h1ha.html

 

4、相关法律规定

《网络安全法》第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

《数据安全法》第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

《数据安全法》第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。

《网络安全法》第五十一条国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。

《网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

《数据安全法》第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。

 

5、参考文献链接

https://mp.weixin.qq.com/s/emGbS_Axv35_DBliGv1oVw

https://mp.weixin.qq.com/s/CSRe_nhdzjZa1hZd6JF61A

https://mp.weixin.qq.com/s/8XRpQG8WR1BbL4nYk-oeRQ

https://www.jingtian.com/Content/2019/08-14/1056180730.html

(完)