在2020-2021财政年度，澳大利亚信息专员办公室(OAIC)收到了976份数据泄露通知，其中卫生部门是数据泄露最多的部门。在今年下半年，30%的实体报告了12个月后发现的系统故障引发的事件。

截止至2021年6月30日，在下半年期间，OAIC收到了446起数据泄露事件通知，在这些事件涉及的行业中，卫生服务行业是造成澳大利亚数据泄露事件最多的行业，占其中的85起。

446个通知与上半年的530个通知相比，减少了16%。

在报告所述期间，81%的数据泄露事件发生后，实体会在30天内将它们识别出来，但在4%的情况下，该实体识别花费的时间超过365天。72%的实体在意识到事件后，会在30天内通知OAIC，这些事件随后被评估为合格的数据泄露。

在澳大利亚政府2021财年上半年前五的行业中，卫生部门是受影响最大的部门。其次是金融部门，有57个通知，法律和会计部门有35个通知，澳大利亚政府和保险部门有34个通知。

1988年《隐私法》(Privacy Act 1988)规定，澳大利亚所有机构和组织在意识到数据泄露可能导致“严重损害”的情况下，必须尽快通知个人。《隐私法》涵盖了大多数澳大利亚政府机构;但它不包括一些情报和国家安全机构，也不包括州和地方政府机构、公立医院和公立学校。

OAIC在其最新的报告(PDF)中提到了根据新开发银行计划发出的通知。该报告称，大多数数据泄露涉及的个人信息不超过5000人。

数据泄露中最常见的个人信息类型是联系信息、身份信息和财务细节。在407起(约91%)被该计划通知的数据泄露事件中，涉及到了个人姓名、家庭住址、电话号码和电子邮件地址等联系信息。

身份信息被泄露的事件有247件，财务信息被泄露的事件有193件，健康信息被泄露的事件有136件，税务档案号被泄露的事件有102件，其他敏感信息被泄露的事件有75件。

恶意或犯罪攻击造成的事件共289起，是OAIC通报的数据泄露事件的主要来源。192起是由“网络事件”造成的，其中35起是由社会工程或模仿造成的，28起是由流氓员工或内部威胁造成的，34起是由盗窃文件或存储设备造成的。

报告表明，人为错误也是造成数据泄露的一个主要来源，共有134起，其余23起是由系统故障造成的。

人为错误行为包括通过电子邮件将个人信息发送给错误的收件人，无意中发布个人信息，以及在群发电子邮件时没有注意保密。

澳大利亚政府没有报告任何与系统故障有关的事件，但报告称有25起是人为失误，9起是恶意或犯罪攻击。澳大利亚政府也将其中一起事件称为“黑客入侵”。

在报告所述期间，网络事件的主要来源是网络钓鱼、泄露或被盗证书以及勒索软件。

OAIC表示:“在报告所述期间，62%的网络事件涉及恶意行为者使用泄露或窃取的凭证访问账户。”“恶意行为者窃取证书最常见的方法是基于电子邮件的网络钓鱼(58起通知)。”

今年下半年，勒索软件事件增加了24%，从37起上升到46起。（本文出自SCA安全通信联盟，转载请注明出处。）