近日,某全球化妆品巨头因云服务器配置错误泄漏了1900万条记录,其中包含有关客户和员工的个人身份信息(PII),包括全名、电话号码、生日、电子邮件和家庭住址以及GPS坐标,此外包括40,000多个安全令牌、OAuth令牌、内部日志、账户设置和技术服务器信息。
Safety Detectives的研究人员发现:该公司在Azure服务器上的Elasticsearch数据库公开暴露,且没有密码保护或加密;鉴于可获得的敏感信息的种类和数量,黑客可以建立完整的服务器控制,并采取严重破坏雅芳品牌的行动,也就是说,黑客可以利用勒索软件攻击使该公司的支付基础设施瘫痪。
【数据泄漏导致企业损失惨重】
随着数字化进程的加速,各类数据呈现爆炸式增长,而海量数据蕴藏的巨大商业价值,使得数据已成为企业的重要战略资产。然而这些数据如果未得到有效保护,一旦遭到泄漏,必将给企业带来巨大的损失。
一方面,会给受害企业带来直接和间接的经济损失,包括:巨额罚款、事后处理成本和名誉损失恢复成本等。在IBM Security 上个月发布的《2020年数据泄露成本报告》中,揭示了数据泄漏事件给企业造成的平均成本达386万美元,而一次“超大型”数据泄漏事件的平均成本更是上升到了天文数字的级别,受到此类安全事件影响的企业预计将支付高达3.92亿美元的费用。
另一方面,在大规模的数据泄漏事件中,绝大部分泄漏信息都包括了个人信息以及敏感数据,这给涉及的用户个人信息与隐私安全都带来了潜在的危害。
【企业如何保障数据安全?】
对此,技术专家给出了以下建议:
一、增强数据安全意识
数据泄漏事件的发生,都和人有关。无论是员工无意的错误配置,还是被诱骗后的操作,或是利益驱使,又或是恶意报复,都是由人实施完成,通过增强数据安全意识,可以帮助企业降低数据泄漏事件发生的机率。
首先:从公司层面,开展数据安全事故案例分享,使大家认识到数据安全的重要性;
其次:普及数据安全相关法律法规,使员工意识到违反数据安全的后果;
再次:进行安全知识培训,使大家具备基本的数据安全知识,能够避免一些常见错误操作;
最后:就是坚持,任何意识的培养和增强,都是一个长期的过程。
二、加强数据防泄漏
数据防泄漏需要根据业务场景,综合运用多种技术。
首先:应该基于智能内容识别引擎,自动发现敏感数据并分级分类,明确保护对象;
其次:能够在终端和网络环境中对数据的操作和流动进行监控、预警和审计;
再次:对外发的数据添加水印,使数据的使用有迹可循,出现泄漏可以溯源追责;
最后:具备统一的管理平台,呈现所有的数据安全风险,并能集中管理安全策略。
三、加强个人信息保护
个人信息保护措施需要覆盖数据的整个生命周期。
首先:在个人信息采集阶段,应该按需收集个人信息,过多的个人信息收集,会给企业带来合规风险,也会带来防护成本;
其次:个人信息的传输和存储,应该加密,防止内部人员或外部人员明文窃取;
再次:个人信息的使用和交换过程中,数据应该脱敏,使数据在安全合规的前提下流转;
最后:能够响应用户的要求,删除系统中的个人信息,避免数据遗留带来的额外法律风险。
四、加强访问控制
数据资源联网,需要有访问控制措施保障数据安全。
首先:设置访问数据资源的IP地址范围,可以有效防止陌生IP地址发起的非法请求;
其次:对数据资源的所有请求,都应该经过身份验证,合法的用户才能请求数据;
再次:对用户能够访问的数据内容进行最小权限限制,减少用户越权访问数据的机会;
最后:使用三权分立,分别设置审计管理员账号、安全管理员账号和数据库管理员账号,防止权限过于集中而带来的风险。
当企业还未意识到数据泄漏事件所带来的严重危害时,未来它将面临的损失将是无法预估的。闪捷信息作为一家已在数据安全领域深耕十余年的专业厂商,可以根据企业实际需求,提供定制化的防护方案,个性化的服务支持,以及强有力的技术支撑,从而帮助企业降低数据泄漏风险。