數據泄露怕丟臉？英國大部分企業被黑客攻擊後不向公眾披露

英國文化、媒體與體育部在研究中發現：「近半數」英國企業曾遭遇網路攻擊或者信息泄露事故。

英國政府的年度網路犯罪研究發現，近50%的英國本土企業曾經受到黑客的網路攻擊侵擾。

E安全4月21日訊 英國新一項政府研究報告發現，針對英國本土各企業的網路攻擊活動要遠超普通消費者的想像，此類威脅行為的頻率極高且由於大多數企業並不需要針對此類事故進行公開披露，因此大部分客戶可能永遠意識到事故的存在。

57%的企業不公開披露安全違規事故

在本周三（4月19日）由英國文化、媒體與體育部（簡稱DCMS）發布的調查結果顯示，「近半數」英國企業曾經在過去一年中遭遇到「信息泄露或網路攻擊侵擾」。這份報告由Ipsos Mori公司負責整理，調查範疇涵蓋總計1523家英國企業。

報告警告稱，「儘管安全違規行為並不一定總會導致數據泄露或者網路入侵等嚴重後果，但此類狀況仍然會對相關企業造成重大影響。」

報告同時補充稱，「此項調查發現此類企業可能由於安全違規事故而面臨相當沉重的財務成本——除了直接性違規及恢復或維護成本之外，企業還可能因在客戶或者投資者群體中聲譽受損而承受巨大損失。」

過去幾年來，Three Mobile、Tesco Bank以及TalkTalk等企業皆曾報告遭遇網路攻擊。然而，英國政府發布的報告意味著，實際受害者數量要比我們印象中要多得多，這主要是由於目前法律要求的安全違規報告標準相對較為寬鬆。

這項調查指出，「安全違規事件的外部報告數量還相當有限。」

調查發現，57%的企業並沒有向組織之外的任何人士或機構報告其遭遇到的「最具破壞性」的安全違規事故。英國政府方面同時指出，即使進行報告，其報告對象也大多為網路安全供應商——這意味著與事件最息息相關的客戶幾乎毫無知情權。

「只有26%的企業會主動公開披露」

這份報告指出，「只有四分之一（約26%）企業會向除網路安全供應商之外的其他人士報告其最具破壞性的安全違規事件。此類報告主要由銀行機構、建築企業或者信用卡公司提供，其次為警察機構。」

「而除此之外，幾乎沒有其它企業向公眾報告其遭遇的安全違規狀況。」

據此，報告得出結果稱「調查結果表明，一部分企業缺乏明確的報告意識，包括應向誰報告、為何應報告安全違規以及報告應實現怎樣的效果。我們將在隨後的調查當中追蹤安全報告的趨勢性變化情況。」

安全企業Covata公司經理肖恩·馬丁表示，公眾獲取數據泄露事件信息的主要途徑仍為新聞報道及頭條消息，實際上此類事件的發生頻率要遠高於公眾的想像。

根據英國法律，目前大多數企業並無義務對數據泄露事故進行公開報告。然而，政府內已經有相當一部分官員強調稱，導致網路犯罪肆虐的核心原因正是「行業與個人的安全問題報告缺失」。

從2018年5月開始，全部負責處理個人數據的企業皆有義務確保符合新的常規數據保護條例（簡稱GDPR）立法要求。如果未對客戶數據濫用或者數據泄露事故進行報告，相關企業可能面臨高達年收入4%的罰款。

此項研究亦表明，目前最常見的攻擊類型為通過欺詐性電子郵件實現——即由犯罪分子利用針對性「網路釣魚」手段誘導員工打開惡意軟體附件，進而泄露其個人及企業財務信息。另外，今年年內勒索軟體的活動也開始變得更為猖獗。

網路違規調查幫助各英國企業免受黑客攻擊影響

網路違規調查是英國政府制定的為期五年的國家網路安全戰略的重要組成部分，此項戰略旨在幫助各英國企業免受黑客攻擊影響。作為戰略的一部分，英國政府最近亦建立了新的國家網路安全中心（簡稱NCSC）並將其作為GCHQ的分支機構。

GCHQ（全名為英國政府通訊總部）屬於英國的三大情報機構之一，相當於英國版本的美國國家安全局。

前任GCHQ局長、現任NCSC主要負責人夏蘭·馬丁在報告公布之後指出，「英國各企業必須將網路安全視為頭等大事，只有這樣其才能充分利用由英國國內活躍的數字化經濟所帶來的發展機遇。」

他同時補充稱，網路攻擊活動中成功率最高的手段並非高複雜度攻擊，但此類並無多少技術含量可言的行為同樣會造成嚴重的商業破壞。通過建立基本防禦能力，各類規模不同的企業皆能夠保護其商業聲譽、財務與運營能力。

就在此份報告發布的24天之前，英國商業銀行（簡稱BCC）曾發布其自行整理的報告，宣稱「五分之一」的企業可能遭遇過網路安全違規問題。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱eapp@easyaq.com

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp） , 查看更多精彩內容。