随着数字化转型的发展以及各种大数据平台的不断建设,数据泄漏成为一个无法回避的现实。而即将到来的《数据安全法》和《个人信息保护法》使数据泄漏得到越来越多的关注。尤其是《个人信息保护法》草案规定侵害个人信息权益的违法行为情节严重的,没收违法所得,并处5千万元以下或者上一年度营业额5%以下罚款。这5%的额度甚至超过了在个人信息保护方面规定“最严”的欧盟,如果付诸实施足以让那些体量大利润低的企业破产。
那么,如何降低数据泄漏的风险呢?数字取证和网络安全领域公认的专家,谢里·达维多夫(Sherri Davidoff)在她最近出版的《数据泄漏:危机与机遇》一书中谈到了数据泄漏的5大风险因素,在这里摘要编辑分享如下。
1、数据被访问的人和方式越多,被泄漏的风险就越大。
这一点是显而易见的。因此数据-用户互动的可视化以及掌握数据是通过什么手段被访问,对数据泄漏风险的评估至关重要。
2、数据被保留的时间越长,被泄漏的风险就越大。
常见的保留数据类型包括:文件、电子邮件和数据库记录。有些数据的保留是因为法律的规定;有些是因为公司内部规则要求;有些数据可以保留,但不一定必须要保留。许多组织机构都在无限期地保留数据,这使得它们面临着非常高的数据泄漏风险。
3、泄漏的风险随着数据拷贝数的增加、扩散而增加。
许多组织都有同一数据的多个拷贝、甚至是几十个拷贝。每次发送电子邮件时,您的计算机上都有一份数据副本,您发送了它,服务器上也有一份数据副本,收件人可能会下载一份数据副本。
4、将数据从一个地方传输到另一个地方并进行处理的容易程度。
在当今世界,我们一直在大力推动数据的流动性,得以更方便地使用。我们是数据驱动型组织,这也使我们面临巨大的违规风险。例如,美国大型保险公司Anthem,黑客窃取了8000万个社会保险号码,如果这些号码全部都打印在纸张上,是不可能的。事实上,当所有这些微小的电子信息片段都被加载到数据库时,就使得窃取大量信息成为可能。
5、最后一个数据泄漏的风险因素是数据的价值:泄漏的风险随着数据价值的增加而增加,因为这使犯罪分子有动机将其作为攻击目标。
在书中还提到了暗网的相关内容:背后的技术、创造的经济、以及对数据泄漏风险的影响。随着暗网的蓬勃发展和暗网市场的出现,数据泄漏的风险也随之增加。
谢里·达维多夫(Sherri Davidoff)谈到在她从事网络安全工作的20年里,举手就能数出在新闻报道中出现的她处理过的案件。对于每个在新闻中看到的案例,可能还有99个从未被报道过。为什么不是所有的泄漏事件都被通报?有的是因为检测不到,也存在泄漏的溯源问题。例如,将信用卡被盗行为与健康信息被盗行为进行比较。在大多数情况下,由于信用卡被盗,犯罪分子会尽可能快地获取并使用这些信息。第三方(如银行)可以识别并告知商家何时被黑客入侵。而健康信息被盗的情况与信用卡被盗有很大不同,它可能没有任何证据能够让你追溯到源头。今天我们在新闻中看到很多医疗行业泄漏事件,大部分是因为医疗行业对信息泄漏有更严格的规定,如果在泄漏发生后一定时间内不通报就可能会被罚款。”谢里·达维多夫(Sherri Davidoff)说道。
不难预料,当我国实施《数据安全法》和《个人信息保护法》后,我们也将会看到更多的泄漏事件被通报。在上述5个风险因素中,实际上涉及数据的三种状态:存储状态、使用状态、传输状态。前者为静态,后两者为动态。因为数据的真正价值体现在使用和分享,所以数据的价值与其动态性是不可分割的,即有价值的数据一定会处于动态之中。因此,数据风险防范的核心是对动态数据的保护(data in use or in motion)。对政企而言,绝大部分有价值的数据是在企业内部流转使用,这样内部人员就成为企业中最大的安全风险因素。因此,追踪数据在业务系统之间的流转,实时分享掌握其与内部人员的互动关系,并及时检测“人-机-数据”互动的异常行为,成为数据风险防范的必要手段。
对于拥有丰富数据资源的政企单位来说,参考上述5大风险因素,未雨绸缪势在必行。
关于全息网御:全息网御是行为数据驱动信息安全的领航者,通过其特有的专利技术系统性融合了NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台。为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。