不要泄露!疑似45億條國內個人信息泄露背后的數據安全賬
2月12日晚,Telegram各大頻道突然大面積轉發某隱私查詢機器人鏈接。網傳消息稱該機器人泄露了國內45億條個人信息,疑似電商或快遞物流行業數據。用戶只需輸入手機號,就可以查詢到姓名、手機號和詳細的收貨地址等隱私信息。
近年來,數據泄露事件頻出,每一次數據泄露背后,都是一次、甚至多次不可估算的損失,這些損失不僅來自于被泄露信息的個人,也包括泄露數據的機構,甚至整個國家、社會。
根據IdentifyTheft Research Center中心的數據顯示,2022年世界范圍的數據泄露事件比2021年增長了14%,其中熱門的醫療機構、金融服務公司、制造企業和公用事業企業成為黑客的首要攻擊目標。
從表面看來,數據泄露伴隨著巨大的經濟損失,2022年7月,美國電信巨頭T-Mobile 在一份公告中披露,該公司就2021年一起盜取部分客戶數據的網絡攻擊的集體訴訟達成和解協議。T-Mobile 同意支付3.5億美元來處理集體訴訟原告的索賠。
IBM在2022年底發布的發布的一項企業數據泄漏成本報告顯示,近兩年來,數據泄漏導致企業每年的平均成本支出超過400萬美元。
進入數字時代,作為關鍵的生產要素,數據的重要性大幅提升,同時因數據安全風險造成的損失也同比例,甚至更大比例的提升。忽視數據安全治理的背后,不僅僅是千百萬甚至上億的經濟損失,事故背后為社會、企業帶來的無形損失,更是一筆無法評估的“安全賬”。這種風險直接成為阻礙數據要素價值充分釋放的攔路虎、絆腳石,如何解決這一問題?
安恒信息在實踐中發現,數據泄露往往有三種情況:
一、網絡攻擊
據統計,60%以上的數據泄露是由網絡攻擊導致的,正因為數據要素的重要性,使得黑客組織熱衷于攻擊關鍵部門、大型企業,以達到其經濟訴求,或者破壞目的。
二、來自內部
現在各行各業都推進數字化轉型,大量員工、開源人員、合作伙伴都可以接觸到數據,過程中的管理不當就可能造成數據泄露。
三、在組織之間的流通
數據只要給出去就沒有辦法拿回來了。雖然這種情況發生比較少,卻是阻礙數據要素發展最重要的一個因素。
當前火爆一時的AI,其實也存在著數據泄露風險。微軟、亞馬遜等科技巨頭就紛紛提醒員工不要與ChatGPT分享敏感數據。
近年來,《網絡安全法》《數據安全法》《關鍵信息基礎設施安全保護條例》《個人信息保護法》等法律的相繼落地施行,以及市場監管總局、國家網信辦印發的《數據安全管理認證實施規則》《個人信息保護認證實施規則》,為數據保護提供了政策支持,護航數據安全,從而最大化發揮數據價值。
制定安全規劃
首先,需要制定安全規劃,確定數據安全的邊界范圍、目標、基本原則以及工作重心;設立專門的組織機構,并細化數據安全管理職責和職能,明確各部門的協同配合和職責劃分;建立完整的制度體系。
在數據安全框架體系的基礎上,制定綱領、指南與安全實現設計規范以及管理辦法。建立完整的數據安全體系,確定面對不同的數據安全風險采用何種技術方式應對,并進行落實。建立數據安全運營體系,使得數據安全工作能夠持續的改進優化,保證安全工作長久有效。
梳理評估數據資產
第二步,在數據安全防護工作開展之前,需要進行梳理評估數據資產。包括數據資產運行環境安全評估、數據分類分級以及權限梳理,以便清楚數據資產狀況,如數據資產的分類情況,敏感數據的分布情況,訪問者來源,訪問者本身擁有的權限是否滿足最小夠用原則。《數據安全法》的第二十一條明確指出“各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護”。對數據及相關信息進行梳理,對數據進行分類分級,是數據安全重要的第一步。
在對數據進行梳理及分類分級后,需要針對數據不同的安全級別以及不同的應用場景采取不同的防護。
1、對數據的訪問登錄采取多因子身份驗證,按照“零信任”策略進行持續認證,動態訪問控制,防止非法訪問登錄;
2、對開發測試庫的數據進行靜態脫敏處理,防止敏感數據在開發測試環節的數據泄露;
3、對數據庫運維操作,按照敏感數據級別精確到字段級配置精細化訪問控制策略、命令審批機制以及動態脫敏處理,防止運維人員對敏感數據的越權訪問、惡意操作等;
4、對高度敏感數據進行加密存儲處理,保證即使被盜黑客也無法看懂真實數據;
5、對外發的數據植入水印種子保護,確保數據泄露后可有效溯源;
6、對所有的數據庫和API訪問進行審計留痕,對敏感數據的訪問采取更嚴格的審計策略,做到全流程的完整操作審計;
7、覆蓋數據全生命周期,以統一的數據安全管控平臺對各探針進行統一納管、策略打通和態勢感知,實時威脅檢測,第一時間洞察異常和風險。
建立持續運營機制
最后,數據安全防護是一個長期的工作,應當在做好防護的基礎上建立好安全工作的常態化持續運營機制。通過風險識別、安全防護、持續檢測、響應處置,IPDR進行可持續改進、閉環管理的常態化安全運營,不斷迭代優化數據安全整體防護能力和效果。
