1、Click here or press enter for the accessibility optimised version网网络络数据数据隐隐私的理想私的理想状状态态与与现现实实企业是否能满足消费者对数据隐私保护的期望呢？Click here or press enter for the accessibility optimised version简简介介网络安全技术正在快速迭代，但企业仍会不断遭受安全漏洞的困扰。Omdia 的网络安全漏洞跟踪器显示，大约三分之二的安全漏洞会导致数据泄露。尽管网尽管网络络安全技术正在迅速迭代，但企业仍然会遭受安全漏洞的困安全技术正在迅速迭代，但企业仍

2、然会遭受安全漏洞的困扰。扰。令人担忧的是，如此大比例（三分之二）的企业安全漏洞会导致数据泄露，其中许多还涉及个人身份信息(PII)的泄露（见图 10）。图图 X：2022 年按年按结结果划分的果划分的违规违规百分比百分比来源：Omdia版权所有 2023这个三分之二的数字几乎同样适用于所有地区，包括亚太地区。例如，2022 年 9 月，新加坡电信集团子公司 Optus 发生安全漏洞，导致近 1000万条包含个人身份信息(PII)的记录被泄露。同年11月，亚航遭受勒索软件攻击，导致500万唯一乘客和所有员工的个人数据泄露。这两个案例并不罕见，而且很可能只是冰山一角，许多数据隐私侵犯行为并未被媒体

3、报道。不幸的是，企业将继续遭受安全漏洞的困扰，令客户失望。许多此类故障本来可以通过更好的网络防御预案来预防，但由于网络安全的复杂性，这并非简单直达的问题。此外，随着数据隐私侵犯行为案例的增加，监管机构的要求也越来越严格。最终，企业必须具有灵活性，并具有良好且一致的网络完全预防措施。他们必须在运营和数据隐私方面具有一定的灵活性，才能为客户和公民提供服务。保护那些信任您企业数据的客户隐私，对于维持这种信任并与数据隐私监管机构保持正确的立场至关重要。Maxine Holt,网网络络安全高安全高级级总总监监Maxine.HClick here or press enter for the access

4、ibility optimised version企业数据安全的企业数据安全的驱驱动因素动因素网网络络安全是信息安全的一个子集，安全是信息安全的一个子集，专专注于保护注于保护 CIA 的数字信息。的数字信息。因此，数据安全是网因此，数据安全是网络络安全的核心，确保企业用于运安全的核心，确保企业用于运营营其其产产品和服品和服务的数据始务的数据始终终保持适当的机密性和可用性，同时保持其完整性。保持适当的机密性和可用性，同时保持其完整性。Omdia 的 2022 年网络安全决策者调查显示，近一半的企业组织将 CIA 三巨头作为其数据安全战略的核心。另外 14%的人会在事件发生之前关注具体情况。企业数

5、据安全策略企业数据安全策略最令人担忧的反应是，39%的企业在事件发生时根据具体情况解决数据安全问题。这有点像马逃走后关上马厩的门。你可能抓不到马，但它可以防止其他人逃跑。数据隐私中央情报局三巨头机密部分的一部分可能是网络安全中最著名的方面。侵犯数据隐私可能会上头条新闻，消费者普遍意识到企业组织应根据各种法规保护其个人身份信息(PII)，例如欧盟通用数据保护条例(GDPR)、加州消费者隐私法(CCPA)和新加坡个人数据保护法(PDPA)。然而，根据 Omdia 的安全决策者调查，只有大约五分之一的企业组织对其遵守相关数据隐私法规的能力“非常有信心”。尽管还有 53%的人“合理的有信心”，但这确实

6、让这些企业需要做更多的工作来改善其网络卫生安全并进入“非常有信心”的范围。维维护相护相关数据数据隐隐私法私法规规的信心水平的信心水平此外，五分之一的组织没有信心，所有这些组织都将受益于对相关数据隐私法规的全面审查并围绕这些要求改进安全控制措施。尽管合规性并不是直接的安全责任，但部署控制措施以支持数据隐私方面的要求通常是安全功能的责任。决定决定购买购买数据安全解决方案的主要数据安全解决方案的主要驱驱动因素动因素保持对法规的遵守是存在的，但排在安全功能面临的一系列挑战之后的第五位。并非所有数据都是平等的有些数据是关键任务，有些数据不太重要，适当保护所有类型的数据显然是购买数据安全技术的驱动力。勒索

7、软件继续在各种企业中肆虐，因此保护数据安全至关重要，包括防止数据被盗和/或财务损失。这里的关键要点是数据安全有很多方面。了解必须保护哪些数据、这些数据在哪里以及如何管理这些数据是管理公司信息的机密性、完整性和可用性的所有重要组成部分。Maxine Holt,网网络络安全高安全高级级总总监监Maxine.HClick here or press enter for the accessibility optimised version数据安全案列数据安全案列我们可以从 Optus 网络攻击中学到什么？总部位于澳大利亚的总部位于澳大利亚的 Optus 是新加坡电信集团的子公司，最近遭遇安全漏是新加

8、坡电信集团的子公司，最近遭遇安全漏洞，近洞，近 1000 万条包含个人身份信息万条包含个人身份信息(PII)的的记记录被泄露。录被泄露。这一引人注目的泄露事件引起了人们对电信公司网络安全的警惕，并不可避免地对组织针对网络攻击的准备情况提出了疑问。该安全漏洞于 2022 年 9月 21 日被发现，并于次日公开宣布。Optus安全漏洞是过去三年来澳大利亚电信行业最大的安全漏洞之一。数据泄露的影响数据泄露的影响Optus 表示，被泄露的信息包括“客户的姓名、出生日期、电话号码、电子邮件地址，以及部分客户的地址、身份证件号码，例如驾驶执照或护照号码”。这通常被称为个人身份信息（PII），它是直接或间接

9、识别个人身份并可被不法分子用来实施欺诈活动的任何信息。据领先的安全出版物Dark Reading报道，此次泄露事件之后的事件发生了各种曲折。其中包括，在暴露 10,200 条记录后，攻击者撤回了 100 万美元的赎金要求，据称删除了泄露的数据，并向 Optus 的客户道歉。然而，这些都不能否认泄露事件已经发生的事实，也不能保证赎金要求不会再次出现，也不能保证泄露的数据实际上已被删除。Omdia的安全漏洞跟踪器捕获了 2019-22 年间公开发布的公告（英文），并指出，电信行业的安全漏洞仅占该期间近 5,000 个公告中的 2.4%。尽管同期目标行业所占份额相对较大，即：医医疗疗保健保健(18%

10、)、政府、政府(15.3%)和信和信息技术服务息技术服务(11.8%)，但电信行业受到的损害足以波及其他行业影响其交付和安全的服务。电信公司运营的基础设施是一个国家重要的国家基础设施(CNI)的一部分，因此该行业的违规行为引发的不安和警报也就不足为奇了。Optus 泄露事件中泄露的记录数量很高：总共 980 万条，其中 280 万条被描述为“大量数据”被泄露。Optus 的困境并不仅仅限于处理与客户的违规事件的后果。据报道，受影响的 Optus 客户正在准备一项潜在的集体诉讼。这显示了 PII 数据泄露的影响-信任丧失、声誉受损、恢复时间和成本、补救时间和成本以及公关活动不应被低估。例如，澳大

11、利亚内政部长克莱尔奥尼尔(Claire ONeil)对 Medicare 号码的暴露（Medicare 是澳大利亚公共资助的全民医疗保险计划，由国家社会保障部门运营）和身份盗窃风险加大表示担忧，特别是在大量数据被泄露的280 万数据池中。Optus 为“受影响最大”的客户提供免费 12 个月订阅Equifax Protect（一项信用监控服务及其身份保护服务）的选项，说明了所涉及的成本。人人为为因素在安全漏洞中发因素在安全漏洞中发挥挥作用作用据 ABC 新闻报道，来自 Optus 一位匿名高级官员的消息来源透露，Optus的漏洞源于未经身份验证的应用程序编程接口(API)暴露在互联网上。人为错

12、误被认为是此次泄露的根源假设该 API 只能由授权的公司系统访问，Optus 客户身份数据库通过 API 向其他系统开放。最终，其中一个接口通过测试网络开放，该接口又可以访问互联网，从而提供对 Optus 网络的外部访问。威胁行为者本质上是使用 API 下载客户记录。前澳大利亚联邦警察奈杰尔菲尔(Nigel Phair)承认，虽然 Optus 在防火墙和入侵检测方面设有安全控制措施，但测试网络不太可能拥有与其他网络相同水平的安全控制措施。Omdia 的安全漏洞跟踪器的安全漏洞跟踪器显显示，疏忽和意外故障占示，疏忽和意外故障占 2019-22 年跟踪安全攻年跟踪安全攻击击背后因素的背后因素的 2

13、1.4%。尽管复杂的外部力量也可能促成了 Optus 的攻击，但很可能存在疏忽或意外故障。公司可以通过实施适当的安全控制来预防，以最大限度地减少损害（包括人员、流程和技术这些疏忽和意外故障），降低系统风险方面发挥着至关重要的作用。根据 Omdia 的数据安全市场跟踪报告，数据发现市场目前价值约为 114 亿美元，预计到 2026 年将增长至 214 亿美元，Optus 等组织可能会为该市场增长做出贡献，因为他们试图了解必须保护的数据是哪些。（Omdia 将数据发现定义为“出于安全目的，专注于在组织控制范围内成功发现和分类任先前未识别的数据的解决方案”。）数据发现远不是 Optus 安全控制中唯

14、一缺失的元素，多因素身份验证(MFA)、漏洞管理以及解决人为因素在安全漏洞中的作用等功能也是值得研究的领域的其他示例。Maxine Holt,网网络络安全高安全高级级总总监监Maxine.HClick here or press enter for the accessibility optimised version企业是否能企业是否能满满足足对客户数据对客户数据隐隐私私的期的期许许？企业可能将企业可能将继续继续再数据再数据隐隐私方面令客户失望。私方面令客户失望。各种报告表明，安全控制失各种报告表明，安全控制失败败是造成数据泄露的主要的、但可是造成数据泄露的主要的、但可预预防的一个原因。防的

15、一个原因。Omdia 于 2022 年进行的网络安全决策者调查发现，32%的组织对其组织的安全控制“非常有信心”，另有 58%的组织称自己“合理的有信心”。Omdia 网网络络安全决策者安全决策者调调查：安全信心查：安全信心Source:OmdiaCopyright 2023各种报告表明，安全控制失败是造成数据泄露的主要的、但可预防的一个原因。对现有安全控制过度自信的进一步证据可以在网络安全决策者调查中找到，该调查显示 77%的企业组织遭受过大量安全事件和漏洞，其中一些对企业造成了严重影响。其中一些安全漏洞将包含在 Omdia 的安全漏洞跟踪器中。该数据着眼于安全漏洞的主要结果，在 2022

16、年安全漏洞报告中，65%的漏洞被跟踪为数据泄露。Omdia 安全漏洞追踪器：按安全漏洞追踪器：按结结果划分的漏洞份果划分的漏洞份额额Source:OmdiaCopyright 2023回顾 2019 年的历史数据，我们发现大约三分之二的违规行为始终导致数据泄露：2021 年为 68%，2020 年为 67%，2019 年为 64%。因此，可以毫不夸张地说，企业可能将继续在数据隐私方面让客户失望。Maxine Holt,网网络络安全高安全高级级总总监监Maxine.HClick here or press enter for the accessibility optimised version

17、数据是安全数据是安全态态势势管理的最新管理的最新领领域域安全安全态态势管理势管理(SPM)已成已成为为云时代主动安全的增长趋势。云时代主动安全的增长趋势。它从云安全它从云安全态态势势管理管理(CSPM)开始，它始，它寻寻找基找基础础设施和平台即服务（设施和平台即服务（IaaS 和和 PaaS）环境中）环境中可能可能导导致漏洞的致漏洞的错误错误配置。配置。在过去几年中，它已扩展到 SaaS（软件即服务）安全态势管理，为 SaaS 应用程序做基本上相同的事情。现在，我们看到数据安全态势管理(DSPM)的出现，Cyera、Laminar、Uptycs、Veza 和 Xage 等公司都在争夺这一不断扩

18、大的细分市场的知名度。DSPM 最初以观察模式运行，映射客户在云中的所有数据存储，包括 IaaS、PaaS 和 SaaS 环境中的结构化和非结构化数据。该过程完成后，它会对这些数据（包括个人身份信息或 PII 和其他敏感类型的数据）进行解析和分类，并显示需要修复的最高优先级风险，并为此目的建议采取行动。数据安全数据安全态态势管理势管理(DSPM)DSPM 还处于早期阶段，但随着越来越多的公司认识到需要对其云中的数据进行控制，它将与 CSPM 和 SSPM 等其他主动功能一起在市场上获得知名度。对于在此领域运营的供应商，他们需要更好地阐明 DSPM 的明显优势。此外，云安全是另一个领域的供应商可

19、能会考虑通过内部开发或收购该领域现有的初创公司之一将其添加到他们的产品组合中。为为什么企业什么企业现现在要考在要考虑虑 DSPM 技术？技术？在 IaaS、PaaS 和 SaaS 环境中定位数据、检测访问权限的任何错误配置并在适当的情况下限制它们，将是其他云安全措施的有用辅助，甚至可能成为高度监管行业的法律要求。组织应熟悉 DSPM 领域的可用产品，并考虑如何将它们纳入安全控制中。Rik Turner,高高级级首席分析师首席分析师Rik.TClick here or press enter for the accessibility optimised version关于于 Omdia关于于

20、OmdiaOmdia 是 Informa Tech 旗下的技术研究和咨询集团。我们对技术市场的深入了解结合可操作的见解，使组织能够做出明智的增长决策。无论是从概念和产品开发，到市场推广和销售效能，我们都可以帮助您发展业务。我们通过我们的综合研究、咨询服务以及提供咨询分析师服务来实现这一目标。综综合研究合研究我们领先的预测和见解研究涵盖了技术行业的全部领域，提供超过2亿个数据点的访问权限，每年发布250多个预测和3000多份报告。咨询服务咨询服务我们的咨询团队充当您团队的延伸，与您合作进行定制项目，从市场规模评们队队进项场规评估到竞争环境评估，并为您提供营销策略建议。咨询分析师服务咨询分析师服务通过订阅我们的服务，您可以享受到与市场领先的分析师进行独特交流的机会，并从他们深厚的行业专业知识中受益。其他信息其他信息网站网站联系我联系我们们咨询分析师咨询分析师Click here or press enter for the accessibility optimised version感谢阅读数据数据隐隐私电子私电子书书Cookies 使用条款 隐私声明P O W E R E D B Y