如何準備和應對數據隱私泄露

在我開始介紹網絡安全之前，我認為“違規”一詞只有一個含義——攻擊者從計算機系統中竊取了數據。我還認為這個詞的所有不同版本都意味著同樣的事情。

但是，從那以后，我了解了數據泄露、數據泄露和數據隱私泄露之間的細微差別和差異。區別很重要。對違規行為分類不當可能會導致在不知不覺中違反法律或不遵守法規。

隱私法規，例如通用數據保護條例 (GDPR) 或特定州的法律，規定了組織必須如何應對隱私泄露。不正確遵守可能意味著罰款和更多的負面宣傳。根據Gartner的說法，到2023 年，全球 65% 的人口的個人數據將受到現代隱私法規的保護，這比 2020 年的 10% 有了大幅增長。

違反、數據泄露或數據隱私泄露？

遵守數據隱私法規取決于正確理解條款。

通用術語“破壞”或安全破壞意味著未經授權訪問計算機系統的人已經這樣做了。但是，它僅指訪問系統的行為，而不是真正竊取數據的行為。

在數據泄露中，信息已從被破壞的系統中被訪問——并且很可能被竊取。

在數據隱私泄露中，被訪問的個人信息是個人身份信息 (PII)。國土安全部將 PII 定義為允許直接或間接推斷個人身份的任何信息。這包括與該人鏈接或可鏈接的任何信息。示例包括敏感的財務和個人信息。它可能是社會保障信息、銀行帳號、個人健康數據或信用卡信息。

面臨數據隱私泄露的公司必須遵守所有相關隱私規則，以保護每個人被盜信息。例如，如果單個客戶居住在歐盟，公司必須遵循 GDPR 概述的報告協議。許多公司為面臨數據隱私泄露的消費者提供身份盜竊保護、免費信用報告和信用監控。

更令人困惑的是，媒體和消費者經常使用術語數據泄露來指代數據隱私泄露和一般數據泄露。但是，從隱私監管的角度來看，區別很重要。如果攻擊者訪問專有的公司數據，例如即將推出的產品的信息，那就是數據泄露。另一方面，如果他們竊取員工的社會安全號碼，則該事件屬于數據隱私泄露。

探索 2022 年數據泄露成本報告

違規涉及漫長的恢復和昂貴的罰款

減少數據隱私泄露后損害的最大關鍵之一是響應速度。為了響應數據主體訪問請求 (DSAR)，許多組織使用自動化，例如SOAR 解決方案。借助這項技術，公司可以通過自動化改善團隊合作并加快響應速度。最重要的是，這些平臺確保了可重復和一致的流程。在突破后的高壓力時期，這些通常是一個挑戰。 

許多組織認為，在他們遵循響應協議后，最嚴重的違規影響已經過去。但 SEC 可能仍會認定受害者有過錯并處以巨額罰款。First American Financial Corporation因泄露敏感客戶信息的漏洞被罰款 487,616 美元。對總部位于倫敦的出版公司Pearson plc的影響更大，該公司同意支付 100 萬美元以解決其在 2018 年網絡入侵方面誤導投資者的指控。數據隱私泄露涉及數百萬學生記錄。它包括出生日期和電子郵件地址。該組織沒有適當的披露控制和流程。

除了罰款之外，違規行為的非業務影響也可能很大。IBM 2022 年數據泄露成本報告稱，客戶流失、停機時間和新業務獲取成本平均為 142 萬美元。其他成本包括檢測和升級（144 萬美元）、違規后響應（114 萬美元）和通知成本（270,000 美元）。

防止隱私泄露

組織需要強大的隱私政策、流程和工具來管理數據隱私并減少漏洞。通過正確識別和使用處理敏感數據的特定規則，您可以更好地管理數據。這對于那些使用混合云環境的人來說尤其重要，因為他們必須確保每個環境都符合標準。

在某些情況下，單獨的團隊處理隱私和安全問題。網絡安全工作者專注于保護數據。隱私團隊致力于數據政策，例如收集、存儲和刪除。然而，就實踐和法規而言，安全和隱私是相互交織的。通過確保兩者協同工作，組織既可以降低泄露風險，又可以在發生隱私泄露時改進響應。

IBM 2021 年數據泄露成本將零信任稱為降低泄露成本的最有效方法之一。擁有成熟零信任流程的公司報告稱，與沒有零信任的公司相比，每次違規造成的損失減少了 176 萬美元。零信任框架的原則和策略降低了漏洞的脆弱性和影響。例如，多因素身份驗證降低了未經授權訪問的可能性，而識別和訪問管理 (IAM) 減少了對內部攻擊的訪問。此外，微分段限制了違規造成的損害，因為攻擊者只能訪問網絡和數據的一小部分。

許多專家表示，組織是否會面臨數據隱私泄露問題不是問題，而是何時會發生的問題。減少漏洞是數據隱私泄露準備的第一步。準備好如何應對違規行為。這樣，您可以限制和減少成本和聲譽損失。