科技
业界 互联网 行业 通信 科学 创业

安恒信息:盘点个人信息泄露背后的数据安全账

来源:搜狐 2023-02-15 11:42:01
A+ A-

2月12日,Telegram各大频道突然大面积转发某隐私查询机器人链接。网传消息称该机器人泄露了国内45亿条个人信息,疑似电商或快递物流行业数据。用户只需输入手机号,就可以查询到姓名、手机号和详细的收货地址等隐私信息。

近年来,数据泄露事件频出,每一次数据泄露背后,都是一次甚至多次不可估算的损失。这些损失不仅来自于被泄露信息的个人,也包括数据被泄露的机构,甚至威胁到国家安全。

根据IdentifyTheft Research Center中心的数据显示,2022年世界范围内的数据泄露事件比2021年增长了14%。其中,医疗机构、金融服务公司、制造企业和公用事业企业成为黑客的首要攻击目标。

2022年7月,美国电信巨头T-Mobile 就2021年一起盗取部分客户数据的网络攻击的集体诉讼达成和解协议,同意支付3.5亿美元来处理集体诉讼原告的索赔。

IBM在2022年底发布的一项企业数据泄漏成本报告显示,近两年来,数据泄漏导致企业每年的平均成本支出超过400万美元。

AI人工智能,其实也存在着数据泄露风险。微软、亚马逊等科技巨头就纷纷提醒员工不要与ChatGPT分享敏感数据。

安恒信息在实践中发现,数据泄露往往有3种原因。一是,网络攻击。据统计,60%以上的数据泄露是由网络攻击导致的。二是,内部泄漏。现在各行各业都推进数字化转型,大量员工、开源人员、合作伙伴都可以接触到数据,过程中的管理不当就可能造成数据泄露。三是,在各组织之间的流通受阻,数据给出后无法收回。

忽视数据安全治理的背后,不仅仅是千百万甚至上亿的经济损失,事故背后为社会、企业带来的无形损失,更是一笔无法评估的“安全账”。这种风险直接成为阻碍数据要素价值充分释放的拦路虎、绊脚石,如何解决这一问题?

首先,需要制定安全规划,确定数据安全的边界范围、目标、基本原则以及工作重心;设立专门的组织机构,并细化数据安全管理职责和职能,明确各部门的协同配合和职责划分;建立完整的制度体系。

在数据安全框架体系的基础上,制定纲领、指南与安全实现设计规范以及管理办法。建立完整的数据安全体系,确定面对不同数据安全风险采用何种技术方式应对,并进行落实。建立数据安全运营体系,使得数据安全工作能够持续的改进优化,保证安全工作长久有效。

其次,在数据安全防护工作开展之前,需要进行梳理评估数据资产。包括数据资产运行环境安全评估、数据分类分级以及权限梳理,以便清楚数据资产状况,如数据资产的分类情况,敏感数据的分布情况,访问者来源,访问者本身拥有的权限是否满足最小够用原则。《数据安全法》的第二十一条明确指出“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护”。对数据及相关信息进行梳理,对数据进行分类分级,是数据安全重要的第一步。

在对数据进行梳理及分类分级后需要针对数据不同的安全级别以及不同的应用场景采取不同的防护。

1、对数据的访问登录采取多因子身份验证,按照“零信任”策略进行持续认证,动态访问控制,防止非法访问登录;

2、对开发测试库的数据进行静态脱敏处理,防止敏感数据在开发测试环节的数据泄露;

3、对数据库运维操作,按照敏感数据级别精确到字段级配置精细化访问控制策略、命令审批机制以及动态脱敏处理,防止运维人员对敏感数据的越权访问、恶意操作等;

4、对高度敏感数据进行加密存储处理,保证即使被盗黑客也无法看懂真实数据;

5、对外发的数据植入水印种子保护,确保数据泄露后可有效溯源;

6、对所有的数据库和API访问进行审计留痕,对敏感数据的访问采取更严格的审计策略,做到全流程的完整操作审计;

7、覆盖数据全生命周期,以统一的数据安全管控平台对各探针进行统一纳管、策略打通和态势感知,实时威胁检测,第一时间洞察异常和风险。

最后,数据安全防护是一个长期的工作,应当在做好防护的基础上建立好安全工作的常态化持续运营机制。通过风险识别、安全防护、持续检测、响应处置,IPDR进行可持续改进、闭环管理的常态化安全运营,不断迭代优化数据安全整体防护能力和效果。

免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。

责任编辑:kj005
文章投诉热线:156 0057 2229  投诉邮箱:29132 36@qq.com

相关新闻

精彩推荐