今年以來,數(shù)據(jù)泄露事件頻發(fā)!雅詩蘭黛被爆泄露4.4億用戶敏感信息;微盟員工“刪庫”宕機(jī)36小時,面臨客戶流失、巨額賠償風(fēng)險;螞蟻金服P6員工錄屏從釘釘獲取8萬條個人信
今年以來,數(shù)據(jù)泄露事件頻發(fā)!雅詩蘭黛被爆泄露
4.4億用戶敏感信息;微盟員工“刪庫”宕機(jī)36小時,面臨客戶流失、巨額賠償風(fēng)險;螞蟻金服P6員工錄屏從釘釘獲取8萬條個人信息被開除;迪卡儂數(shù)據(jù)庫1.23億個人信息泄露;微博5億用戶手機(jī)號疑在暗網(wǎng)出售....
隨著信息技術(shù)的快速發(fā)展,個人和企業(yè)的數(shù)據(jù)價值日益凸顯,各行各業(yè)逐漸暴露在
數(shù)據(jù)安全風(fēng)險當(dāng)中。特別是醫(yī)療、金融、服務(wù)等擁有海量個人數(shù)據(jù)的企業(yè)成為了黑客的主要目標(biāo)。數(shù)據(jù)泄露成本逐年升高,及時識別數(shù)據(jù)危機(jī)成為企業(yè)痛點。
數(shù)據(jù)泄露不僅使企業(yè)形象大打折扣,也讓企業(yè)面臨著巨額經(jīng)濟(jì)損失。2018年的數(shù)據(jù)泄露事件導(dǎo)致該酒店面臨125億美元索賠,同時因違反歐盟GDPR(通用數(shù)據(jù)保護(hù)條例)被罰款1.24億美元。
據(jù)IBM 《2019 年全球數(shù)據(jù)泄露成本報告》顯示,數(shù)據(jù)泄露事件全球平均成本為392萬美元,每條記錄的成本為150美元,對比2014年上漲12%。巨大的經(jīng)濟(jì)損失讓企業(yè)難以招架,及時識別數(shù)據(jù)安全危機(jī)成為企業(yè)痛點。
IBM 調(diào)研顯示,數(shù)據(jù)泄露的平均生命周期為 279 天,即在事件發(fā)生后企業(yè)平均需要 206 天才能發(fā)現(xiàn),另需 73 天才能控制住事件發(fā)展態(tài)勢。
企業(yè)加強(qiáng)防護(hù),阻止數(shù)據(jù)泄密,急需解決?。
1. 完善數(shù)據(jù)安全防護(hù)手段
當(dāng)前,企業(yè)對數(shù)據(jù)安全主要采取防范計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入的網(wǎng)絡(luò)邊界防護(hù)和終端管控手段,缺少對內(nèi)容的深度識別或感知技術(shù),并且缺少對敏感數(shù)據(jù)的全方位治理和安全管理手段。
敏感數(shù)據(jù)是什么、存放在什么位置、流轉(zhuǎn)經(jīng)過哪些節(jié)點、數(shù)據(jù)泄露后如何溯源追責(zé),企業(yè)都應(yīng)該采取相應(yīng)的數(shù)據(jù)安全產(chǎn)品和技術(shù)手段來解決這些問題。
2. 建立可落地的行業(yè)性數(shù)據(jù)安全規(guī)范和企業(yè)數(shù)據(jù)安全管理制度
最近幾年,數(shù)據(jù)安全已經(jīng)被逐步納入國家法規(guī)和行業(yè)規(guī)范中,包括《
網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級保護(hù)基本要求
2.0》、《個人信息安全規(guī)范》、歐盟《GDPR》等。數(shù)據(jù)安全已經(jīng)成為新一代信息安全標(biāo)準(zhǔn)的基本內(nèi)容。
雖然這些已頒布的法律法規(guī)對數(shù)據(jù)安全和個人信息保護(hù)進(jìn)行了明確立法規(guī)定,對各類組織承擔(dān)的數(shù)據(jù)安全保障義務(wù)與責(zé)任進(jìn)行明確要求,并保障個人對其個人信息的安全可控。
3. 提高安全意識,增加對內(nèi)部數(shù)據(jù)泄露風(fēng)險的防護(hù)
目前,企業(yè)對數(shù)據(jù)安全的投入,主要是針對外部攻擊的防護(hù),如
防火墻、
IDS、防病毒軟件等,而這些技術(shù)手段很難對內(nèi)部人員有意或無意的泄露行為進(jìn)行識別和防護(hù)。
調(diào)查結(jié)果表明,絕大部分的泄露風(fēng)險來自企業(yè)內(nèi)部,其中郵件外發(fā)和
互聯(lián)網(wǎng)上傳是兩個最方便的數(shù)據(jù)外傳手段,也是泄露事件發(fā)生概率最高的兩個渠道。
因此,企業(yè)應(yīng)加強(qiáng)對內(nèi)部員工或運維人員的安全意識管理,增加對數(shù)據(jù)防泄漏產(chǎn)品的投入,實行對內(nèi)部人員泄露行為的檢測和管控,降低內(nèi)部人員有意無意的拷貝、外發(fā)和上傳等操作帶來的數(shù)據(jù)泄露風(fēng)險。?