回到学校,我们听到令人振奋的消息:法律部门的数据安全事件已报告给 信息专员’s Office 两年来增长了112%,远高于平均水平,而司法部门增长了128%。在大多数情况下,人为错误(而非网络事件)是由数据发送给错误的收件人而导致的。

这些统计资料是通过 克罗尔 根据“信息自由”要求,表明在所有部门中,安全事件的数量均增加了75%。但是,报告的事件数量上升幅度远远超过两个部门的行业包括‘general business’(215%)和教育与育儿(142%)。‘Justice’报告的事件数量增加了128%。

虽然我们知道法律部门是黑客的增长目标,但数量的增加实际上可能归因于公司根据《通用数据保护条例》为新的透明时代做准备,该条例于5月生效,根据该条例违反是强制性的。

克罗尔网络风险实践的董事总经理兼EMEA负责人安德鲁·贝克特(Andrew Beckett)表示:“在GDPR生效之前,对于大多数组织而言,报告数据泄露并不是强制性的,因此,尽管数据在泄露,但只能提供真实情况的快照英国组织遭受的破坏。最近报告数量的增加可能是由于组织为GDPR做好准备以及事件增加的缘故。既然该法规已经生效,我们可以预期报告的事件数量将大大增加,因为GDPR要求所有组织有义务报告某些类型的个人数据泄露。

“我们还希望看到罚款的价值会增加,因为最高可能的罚款已从500,000英镑增加到2000万欧元或年营业额的4%,以较高者为准。最终的影响是,企业不仅面临着围绕个人数据的更大的财务风险,而且还面临着更高的声誉风险。”

克罗尔的分析表明,人为错误造成的数据泄露风险至少与网络攻击造成的数据泄露风险一样大。在过去一年中,在指定了违规类型的事件中,有2124个报告可以归因于人为错误,而故意的网络事件只有292个。

由于人为错误而导致的最常见的事件类型包括:通过电子邮件将数据发送给错误的收件人(447个事件),丢失或盗窃文书工作(438)以及将数据保留在不安全的位置(164)。未加密设备(133)的丢失或失窃是数据泄露报告的另一个常见原因。

在报告的蓄意网络事件中,记录的特定情况包括未授权访问(102),恶意软件(53),网络钓鱼攻击(51)和勒索软件(33)。

 

部门 2017/18年报告的事件数量 两年内的百分比变化
健康 1,214 41%
一般业务 362 215%
教育和育儿 354 142%
地方政府 328 80%
金融,保险和信贷 207 74%
正义 164 128%
法律 159 112%
慈善和自愿 148 100%
土地或财产服务 86 56%
中央政府 53 56%

 

由特定类型的网络事件引起的数据泄露报告:

违规类型 与此类违规有关的报告数量2017/18
未经授权的访问(网络) 102
恶意软件 53
网络钓鱼 51
勒索软件 33
其他网络事件 31
蛮力(密码攻击) 20
拒绝服务 2

 

由特定类型的人为错误引起的数据泄露报告:

违规类型 与此类违规有关的报告数量2017/18
通过电子邮件将数据发送给不正确的收件人 447
数据发布/传真给不正确的收件人 441
文书丢失/失窃 438
无法编辑数据 256
数据留在不安全的位置 164
发送电子邮件时未使用密件抄送 147
未加密设备的丢失/失窃 133
口头披露 46
文书处理不安全 35
仅加密数据的副本丢失/被盗 16
硬件处理不安全 1

 

数据泄露报告的前十大行业,2017/18年和两年内的百分比变化

部门 2017/18年报告的事件数量 两年内的百分比变化
健康 1,214 41%
一般业务 362 215%
教育和育儿 354 142%
地方政府 328 80%
金融,保险和信贷 207 74%
正义 164 128%
法律 159 112%
慈善和自愿 148 100%
土地或财产服务 86 56%
中央政府 53 56%