Spirion发布指南详细介绍了2021年的敏感数据泄露事件，该指南基于对2021年美国发生的1500多起数据事件的分析，这些事件具体涉及包括个人身份信息(PII)在内的敏感数据。该报告根据受影响的个人数量、被泄露的记录数量、威胁参与者、暴露媒介和行业部门暴露的敏感数据类型确定了最严重的敏感数据泄露事件。

2021年是有记录以来数据泄露最多的一年，超过了2017年的历史最高水平。去年，美国组织共报告了1,862起数据泄露事件，比2020年增加了68%。ITRC数据显示，83%的事件暴露了8.89亿条敏感数据记录，影响了超过1.5亿人。

尽管我们在前几年看到了大量敏感数据被攻击的情况，但远程工作状态和不断提高的攻击方法使得2021年敏感数据攻击激增。”Spirion首席执行官Kevin Coppins表示。

去年敏感数据泄露中最常见的目标数据：

社会保险号：65%的敏感数据事件涉及SSN

个人健康信息：41%的敏感数据事件

银行账户信息：占所有敏感数据的23%

驾照：占所有敏感数据的23%

信用卡/借记卡信息：占所有敏感数据的12%

电子邮件/密码凭据：占所有敏感数据事件的10%

大部分敏感数据泄露是由外部行为者执行的，占全部事件的93%。2021年，有针对性的网络攻击是外部行为者获得未经授权访问个人数据的主要方式。外部行为者实施了超过1440次网络攻击(占所有敏感数据事件的89%)，获取了1.48亿人的个人信息。

网络攻击者用来访问敏感数据的主要攻击媒介：

第三方/供应链漏洞：25%的敏感数据事件影响了690万人
网络钓鱼/网络钓鱼/商业电子邮件通信：23%的敏感数据事件影响了480万人
勒索软件：17%的敏感数据事件影响了1400万人
恶意软件：8%的敏感数据事件影响了250万人

与此同时，7%的敏感数据泄露事件与内部人员有关，这些泄露导致 878,556 人的 PII 处于危险之中，主要是由于人为错误，包括电子邮件通信和错误配置的云安全或防火墙。
2021年，敏感数据泄露的平均生命周期是非敏感数据泄露的两倍。从最初的检测到入侵遏制，平均敏感数据入侵需要112天来解决，而非敏感数据入侵只需要52天。检测和控制内部错误所花的时间是外部网络攻击的两倍。平均而言，人为错误导致的数据暴露的生命周期需要207天来检测和控制，而外部攻击的平均生命周期为75天。

在2021年影响了84%的个人的大部分敏感数据泄露事件主要涉及三个行业：

专业和商业服务：157起事件影响了5200万人（占总人数的35%）
电信：8起事件影响了4780万人（占总人数的32%）
医疗保健：447起事件影响了2480万人（占总人数的17%）

趋势

不断演变的攻击方式：供应链和第三方攻击成为2021年敏感数据泄露的主要原因。总共93次第三方攻击影响了559个组织，暴露了超过11亿份数据记录。在这些事件中，83%包含敏感数据，泄露了720万人的个人信息。值得注意的是，在2021年的所有供应链攻击中，53%医疗保健行业受到影响。

一年内多次遭受攻击：去年有二十多个组织遭遇了多次数据泄露。从安泰保险(Aetna ACE)的三起数据泄露事件，到领英(LinkedIn)的两起影响12亿人的大规模数据泄露事件，这种令人不安的趋势的出现是远程工作水平不断提高的结果，这使得比以往任何时候都更大的数据处于风险之中。

文章来源：
https://www.helpnetsecurity.com/2022/02/09/2021-sensitive-data-breaches/

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课