泄密高发,监管趋严,2023年数据泄露事件盘点

各类新技术被广泛应用,企业面临的信息安全挑战也更多。纵观过去一年,国内数据泄露事件仍然处于高发态势,单次被泄露的数据量令人震惊,因为供应链安全意识薄弱、未对机密加密保护、恶意软件攻击等引发的数据泄露不断增多。

除此之外,去年相关部门的数据安全巡检也呈常态化,已经有不少企业因为没有履行数据保护义务而受到处罚。下面我们将盘点过去一年国内的数起数据安全事件,了解更多当前的数据安全态势,提高安全防范意识。

供应商泄露图纸被罚100万

2023年2月,某知名企业被下游供应商泄露汽车设计图纸,该企业直接对泄密供应商处罚100万,责成泄密供应商加强信息安全管理,同时要求供应商出具行之有效且责任到人的详细整改方案,全面升级保密措施。

45亿条快递信息被泄露

2023年2月,一则“45亿条快递信息泄露,数据包大小达435GB!”消息震惊了不少人,当天快递股票也闪崩了。后被证实仅需输入手机号,即可通过某机器人查询出姓名、手机号码、收货地址等真实信息,泄露来源直指国内多家知名电商平台,如此大规模的泄密,引发了各界的高度关注。

知名电脑制造商160GB数据被挂牌出售

2023年2月,某知名电脑制造商证实,其托管的服务器被入侵,导致部分数据被窃取泄露。在这之前,就已经有黑客出售声称从该电脑制造商窃取的共计160GB的“各种机密资料”,资料包括产品技术手册、软件工具、后台基础设施详细信息、手机、平板电脑和笔记本电脑的产品模型文档、BIOS映像、ROM 文件、ISO文件和替换数字产品密钥 (RDPK)等。

学生信息被盗,供人“颜值打分”

2023年7月,中国人民大学的一位硕士毕业生盗取了该校2014级到2022级学生的大量个人隐私信息,包括照片、姓名、学号、籍贯等,并制作成网站,分门别类供人搜索浏览甚至颜值打分。目前犯罪嫌疑人马某某已经被刑事拘捕,至于数据如何被泄露,有知情人透漏,马某某就读期间,曾在学校信息中心勤工俭学,做过学生助理,有机会使用到信息系统的高权限账号。

不履行网络安全保护义务,昌平某公司被行政处罚

2023年6月,昌平网安部门检查发现,昌平某生物技术有限公司存在数据泄露的情况,其委托的另一软件公司研发的“基因外显子数据分析系统”,包含公民信息、技术等信息,涉及泄露数据总量达19.1GB。经检查,该软件公司在开发系统互联网测试阶段,未对相关数据进行加密,未落实安全保护措施,属于未履行数据安全保护义务。

针对这一情况,北京市公安局昌平分局依据《数据安全法》相关规定,给予警告并处罚款五万元的行政处罚。

某高校数据泄露被罚款80万

2023年8月,南昌公安网安部门工作发现,南昌某高校未建立全流程数据安全管理制度,未采取技术措施保障数据安全,未履行数据安全保护义务,导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。南昌公安网安部门对该学校作出责令改正、警告并处80万元人民币罚款,对主要责任人作出人民币5万元罚款的处罚。

某大药房“内鬼”窃取大量交易数据售卖,被罚款110万元

2023年11月,公安网安部门查处了一起某大药房“内鬼”侵犯公民个人信息案。“内鬼”得到应有的法律处罚外,该大药房也因未履行数据保护义务造成数据泄露的违法行为被公安机关罚款110万元。通过侦查,该大药房数据分析师利用工作便利将大量交易数据导出并售卖。

重庆某公司未履行好网络数据安全保护义务,被行政处罚

12月,重庆渝中区一科技公司开发运营的某OA系统因未履行好网络数据安全保护义务,导致大量数据泄露,情节严重。网信办在重庆市网信办指导下,依法对该公司涉数据泄露等违法违规行为进行立案查处,作出责令限期五日改正,给予行政警告并处10万元罚款的行政处罚。

可以看到过去一年,企业内数据安全隐患仍然严峻,许多因为缺乏有效保密措施导致大量数据机密外泄,其中不少也因此受到了行政处罚,遭受财产和名誉损失,这些都在警示我们要不断完善自身的数据保护措施,防患于未然。

现在企业的大量用户信息、业务信息以及技术机密等以电子形式存储于各类终端,企业内网终端存在大量突破点以及机密外传渠道,让“内鬼”以及外部的窃密者有更多便利带走机密文档,因此对终端的各类操作进行规范管控至关重要。

在防范泄密风险的道路中,不少企业就正在应用IP-guard保护机密安全,IP-guard覆盖文档加密、终端操作管控、日志审计、敏感内容识别、文档备份等终端所需的全部管控功能,可以为企业提供整体的终端安全管理,对机密文档实行加密、管控、审计的全链条管控,帮助企业搭建完善的信息保护体系,履行保护数据安全的职责。