300 萬選民資料外洩與間諜有關嗎？2016 約 14 億條數據記錄被洩漏

近日一部載有全港 300 萬選民資料的手提電腦被盜，當中的資料雖然已被加密，但仍不禁令人憂心忡忡！這次小圈子選舉只有 1200 人有資格進行投票，那為甚麼愚蠢到要將沒有資格選舉的全港選民資料帶到現場？不禁令人一問：「是否有人故意將載有全港選民資料的電腦帶到現場？」「是否藉此製造一個機會讓間諜偷走？」當然這是沒有事實根據的推測，但卻是值得大家深思。

香港政府應如何保護數據？

其實準確知道數據存放的位置和可以訪問該數據的人員將幫助企業概括安全策略，基於對組織最合理的數據類別。加密和身份驗證不再是「最佳實踐」，但這是必要的。對於新的政府強制命令來說，這尤其如此，如歐洲即將頒布的《一般數據保護條例》(GDPR)，美國和亞太國家的洩漏披露法律。但是，這也在於保護您企業的數據完整性，以便可以基於準確的信息作出正確的決策，從而保護您的聲譽和利潤。

資料黑市價值高、全球 14 億條數據記錄被洩漏

提到資料外洩，其實現今世代已是十分平常，除了今次事件之外，日前一份由金雅拓發表的洩漏級別指數的調查結果表示，2016 年全球出現的 1,792 次數據洩漏導致約 14 億條數據記錄被洩漏，與 2015 年相比增加 86%。身份盜用是 2016 年的主要數據洩漏類型，佔所有數據洩漏的 59%。此外，2016 年報告的 52% 數據洩露未公佈洩露的記錄數量。

洩漏級別指數是全球數據庫，用於跟踪數據洩漏，同時基於多個維度測量其嚴重程度，包括洩露的記錄數量、數據類型和洩露來源、如何使用數據及數據是否加密。洩露級別指數為每次洩露的嚴重級別評分，從而提供可比的洩露清單以區分不嚴重和非常嚴重的數據洩露（分數為 1-10）。根據洩漏級別指數，自 2013 年開始公開標杆管理公開的數據洩漏以來，已有超過 70 億條數據記錄被洩漏。這相當於每天有超過 300 萬條記錄，或每秒有約 44 條記錄被洩漏。

去年，AdultFriend Finder上基於帳戶訪問的攻擊洩漏了 4 億條記錄，洩漏級別指數的嚴重性達到 10。2016 年的其他主要洩漏包括 Fling (BLI:9.8)、菲律賓電子委員會(COMELEC) (BLI:9.8 )、17 Media (BLI:9.7) 和 Dailymotion (BLI:9.5)。事實上，嚴重性前 10 的洩漏佔所有洩漏的記錄超過一半。2016 年，Yahoo! 報告了兩次數據洩漏，涉及 15 億用戶帳戶，但未計入 BLI 的 2016 年數字，因為它們發生在 2013 和 2014 年，而下年今次選舉的 300 萬資料外洩事件，將會傍上有名！

洩漏級別指數突顯了過去一年的四大主要網絡犯罪趨勢。黑客正針對更大的目標，使用可以輕鬆獲取的帳戶和身份信息作為高價值目標的起點。很明顯，詐騙者也從針對金融機構的攻擊轉到滲透大型數據庫，如娛樂和社交媒體網站。最後，詐騙者使用加密讓洩漏的數據不可讀，然後保留數據以索取贖金，同時在收到付款後解密。

按類型的數據洩漏

2016 年，身份盜用是領先的數據洩漏類型，佔所有數據洩漏的 59%，與 2015 年相比增加 5%。 2016 年的第二大普遍的洩漏類型是基於帳戶訪問的洩漏。儘管此類洩漏類型的發生率減少 3%，但仍佔所有洩漏記錄的 54 %，與上一年相比增加了 336%。這表明，從財務信息攻擊轉到擁有大量個人可識別信息的更大數據庫的網絡犯罪趨勢。另一個主要的數據點是妨害類別，增長 101%，佔所有洩漏記錄的 18%，自 2015 年起增加 1474%。

按源的數據洩漏

惡意外「人」是最大的數據洩露來源，佔洩露的 68%，2015 年的這一數字為 13%。與 2015 年相比，惡意外「人」導致的記錄洩漏數量增加 286%。 2016 年，黑客訪問數據洩漏也增加了 31%，但僅佔去年出現的所有洩漏的 3%。

按行業的數據洩漏

跨各種行業，2016 年的技術領域數據洩漏的增幅最大。洩漏增長 55%，但僅佔去年所有洩漏的 11%。這一領域約 80% 的洩漏都與帳戶訪問和身份盜用相關。它們還佔 2016 年被洩漏記錄的 28%，與 2015 年相比增加 278%。

醫療保健行業佔數據洩漏的 28%，與 2015 年相比增加 11%。然而，自 2015 年以來，醫療保健被洩漏數據記錄的數量減少 75%。 2015 年至 2016 年之間，教育出現 5% 的數據洩漏降低，被洩漏的數據記錄減少 78%。 2016 年，政府佔所有數據洩漏的 15%。然而，被洩露數據記錄的數量相對於 2015 年增加 27%。金融服務公司佔所有數據洩漏的 12%，與上一年相比降低 23%。

所有「其他」類別的行業佔數據洩漏的 13%，洩漏數據記錄佔 36%。在本類別中，整體數據洩漏數量減少 29%，而被洩露記錄的數量則自 2015 年起激增 300%。社交媒體和娛樂行業相關數據洩漏佔絕大多數。

去年，4.2% 的洩漏事件總數涉及部分或全部加密的數據，2015 年則為 4%。對於其中一些情況，密碼將被加密，但其他信息則未被加密。然而，在 2016 年被洩漏、遺失或被盜的約 14 億條記錄中，僅 6% 的記錄部分或完全加密（與 2015 年的 2% 相比）。