根据一份新报告,公司在开发、测试、分析和 AI/ML 等非生产环境中存储的敏感数据量正在增加。高管们也越来越关心保护它——而将其纳入新的人工智能产品也无济于事。《Delphix 2024 年数据合规性和安全性状况报告》发现,去年,74% 处理敏感数据的组织增加了在非生产环境(也称为低生产环境)中保存的数量。此外,91%的受访者担心他们的暴露足迹会因此扩大,使他们面临违规和违规处罚的风险。

由于在线消费者数量的增长和他们正在进行的数字化转型努力,公司持有的消费者数据量总体上正在上升。IDC 预测,到 2025 年,全球数据领域将增长到 163 泽字节,是 2016 年生成的 16.1 泽字节数据的十倍。

因此,存储的敏感数据(例如个人身份信息、受保护的健康信息和财务详细信息)的数量也在增加。

敏感数据通常是在生产或实时环境(如 CRM 或 ERP)中创建和存储的,这些环境具有严格的控制和有限的访问权限。但是,标准 IT 操作通常会导致数据被多次复制到非生产环境中,从而允许更多人员访问并增加泄露风险。

该报告的调查结果是对250名高级员工进行调查的结果,这些员工至少有5,000名员工,负责处理敏感的消费者数据。它由软件提供商Perforce进行。

请参阅:国家公共数据泄露:27亿条记录在暗网上泄露

超过一半的企业已经经历过数据泄露

超过一半的受访者表示,他们已经经历过保存在非生产环境中的敏感数据泄露。

其他证据支持这个问题正在恶化:苹果公司的一项研究发现,从 2022 年到 2023 年,数据泄露事件增加了 20%。事实上,61%的美国人已经知道他们的个人数据在某个时候被泄露或泄露。

Perforce 报告发现,42% 的受访组织经历过勒索软件。具体来说,这种恶意软件在全球范围内是一个日益严重的威胁;Malwarebytes 本月发布的一项研究发现,全球勒索软件攻击在去年增加了 33%。

部分问题在于,全球供应链变得越来越长、越来越复杂,增加了攻击者的潜在切入点数量。身份盗窃资源中心的一份报告发现,在 2018 年至 2023 年期间,受供应链攻击影响的组织数量激增了 2,600 多个百分点。此外,2023 年支出首次超过 10 亿美元(7.9 亿英镑),使其成为攻击者越来越有利可图的漏洞。

当涉及到不安全的消费者数据时,人工智能是最大的罪魁祸首

随着公司现在在业务流程中采用人工智能,控制哪些数据流向何处变得越来越困难。

人工智能系统通常需要使用敏感的消费者数据进行训练和操作,而算法的复杂性以及与外部系统的潜在集成可能会产生难以管理的新攻击向量。事实上,正如 60% 的受访者所指出的那样,该报告发现,AI 和 ML 是非生产环境中敏感数据增长的主要原因。

“与生产环境相比,人工智能环境的治理和保护可能更少,”该报告的作者写道。“因此,他们更容易妥协。

业务决策者意识到了这种风险:85% 的人表示担心 AI 环境中的监管违规行为。虽然许多针对人工智能的法规还处于起步阶段,但 GDPR 要求以合法和透明的方式处理人工智能系统中使用的个人数据,并且美国有各种适用的州级法律。

请参阅:AI 行政命令:白宫发布 90 天进展报告

《欧盟人工智能法案》于8月生效,该法案对使用人工智能进行面部识别制定了严格的规则,并为通用人工智能系统提供了保护措施。不遵守该法规的公司将面临 3500 万欧元(3800 万美元)或全球营业额 7% 至 750 万欧元(810 万美元)或营业额 1.5% 的罚款,具体取决于公司的违规行为和规模。据认为,在不久的将来,其他地区将出现更多类似的人工智能特定法规。

在Perforce研究中,超过80%的受访者提到了对AI环境中敏感数据的其他担忧,包括使用低质量数据作为AI模型的输入、个人数据的重新识别以及模型训练数据的盗窃,其中可能包括知识产权和商业秘密。

企业担心不安全数据的财务成本

大型企业如此担心不安全数据的另一个主要原因是可能会面临巨额的违规罚款。消费者数据广泛受到 GDPR 和 HIPAA 等不断扩大的法规的约束,这些法规可能会令人困惑并经常更改。

许多法规,如GDPR,都根据年营业额进行处罚,因此大公司面临更高的费用。Perforce报告发现,43%的受访者已经不得不支付或调整不合规情况,52%的受访者经历过与非生产数据相关的审计问题和失败。

但是,数据泄露的成本可能会超过罚款,因为收入损失的一部分来自停止运营。Splunk最近的一份报告发现,停机事件的最大原因是与网络安全相关的人为错误,例如点击网络钓鱼链接。

全球最大的公司每年因计划外停机而损失 4000 亿美元,其造成因素包括直接收入损失、股东价值下降、生产力停滞和声誉受损。事实上,到 2031 年,勒索软件造成的损失预计将超过 2650 亿美元。

根据 IBM 的数据,2024 年数据泄露的平均成本为 488 万美元,比 2023 年增加 10%。这家科技巨头的报告补充说,40%的违规行为涉及存储在多个环境中的数据,如公共云和本地环境,这些平均成本超过500万美元,并且需要最长的时间来识别和遏制。这表明,企业领导者对数据蔓延的担忧是正确的。

SEE:近 100 亿个密码在有史以来最大规模的汇编中泄露

在非生产环境中采取措施保护数据可能会占用大量资源

有一些方法可以保护存储在非生产环境中的数据,例如屏蔽敏感数据。然而,Perforce的报告发现,企业不愿意这样做有几个原因,包括受访者认为这既困难又耗时,以及因为它可能会减慢组织的速度。

  • 近三分之一的人担心这可能会减慢软件开发速度,因为将生产数据库安全地复制到非生产环境可能需要数周时间。
  • 36%的受访者表示,屏蔽数据可能不切实际,因此会影响软件质量。
  • 38%的受访者认为安全协议可能会抑制公司跟踪和遵守法规的能力。

该报告还发现,86%的组织允许在非生产环境中出现数据合规性异常,以避免安全存储数据的麻烦。这些措施包括使用有限的数据集、数据最小化或获得数据主体的同意。

在非生产环境中保护敏感数据的建议

Perforce 团队概述了企业在非生产环境中保护其敏感数据的四种主要方法:

  1. 静态数据屏蔽:用虚构但真实的等效值永久替换敏感值。
  2. 数据丢失防护 (DLP):一种外围防御安全方法,可检测潜在的数据泄露和盗窃,并尝试防止它们。
  3. 数据加密:暂时将数据转换为代码,仅允许授权用户访问数据。
  4. 严格访问控制:一种策略,它按角色和其他属性对用户进行分类,并根据这些类别配置这些用户对数据集的访问权限。

作者写道:“一般来说,保护敏感数据并不容易。 AI/ML增加了这种复杂性。

“专门用于保护其他非生产环境(例如开发、测试和分析)中的敏感数据的工具非常适合帮助您保护 AI 环境。”