数据泄露是指未经授权的个人发布、查看、窃取或使用的敏感、受保护或机密信息的网络安全事件。近年来,各大媒体不断披露科技厂商未授权获得公民个人身份信息、面部识别信息、简历信息等等的案件。数据保护相关的法律法规不断出台,网信、工信、公安等多部门也不断加强对公民个人信息保护的监管力度。对此,昆明亭长朗然科技有限公司网络安全研究专员董志军表示:科技厂商无疑应该加强用户信息保护,在合规守法的前提下,最大范围地开展商业赢利活动。
通常来讲,数据泄露可能是有针对性攻击的后果,也有可能仅仅只是人为错误、应用程序漏洞或安全措施不足的结果。应该避免泄露的涉及不宜公开发布的所有信息,包括但不限于个人健康信息、财务信息、个人身份信息、国家秘密、商业秘密和知识产权等等。对此,相关的法规都有对相关的术语进行定义,比如GB/T 35273《信息安全技术 个人信息安全规范》就对“个人信息”和“个人敏感信息”进行了定义。
让我们看几个案例:
1.某电商平台用户数据库的访问控制失效,遭到黑客攻击,8000万用户的个人信息,包括姓名、电话和收件地址遭窃。
2.由于云计算平台的问题,某大型游戏的玩家数据库包括用户名和密码遭泄露,影响了300万用户的虚拟财产遭到不可恢复的破坏。
3.几亿用户面部识别信息和简历信息遭某科技公司内部人员非法复制和进行地下交易,包括手机号码、识别号、通讯录、短信等等。
为了保护科技公司的名声和隐私权,也减少一些可能的麻烦,我们使用了“某”字,聪明的读者应该知晓这都是海量数据失窃案件中的“冰山一角”。对于这些案例,警方表示:大规模个人信息泄露的源头主要有两个,一个是黑客攻击,另一个是掌握大量个人信息的相关企业、单位、平台的“内鬼”。在多次专项行动中,警方对网络交易平台、论坛、网站等进行全面排查,梳理了一批非法获取、贩卖、使用公民个人信息的线索,尤其是加大对金融、电信、网络服务提供商等单位内部故意泄露公民个人信息的“内鬼”,以及通过黑客入侵手段获取公民个人信息犯罪行为的查处力度。
数据泄露的负面后果有多样的,可能包括:
- 可能因违法而导致金钱方面的罚款;
- 对品牌声誉和商业信任的影响;
- 知识产权失窃可能会影响产品的竞争力;
- 媒体爆出丑闻可能导致市值下降;
- 响应安全事故和取证而产生的费用。
对此,董志军补充说:数据泄露导致的负面恶果可能不会立即表现出来,一方面难以被立即发现,另一方面,各方的响应也都不全是即时的,往往会有一个“长尾效应”。对此,科技厂商应该采取哪些措施,来防范来自外部的黑客和数据窃贼,以及来自内部的“内鬼”呢?如下,我们简单分享几点想法:
1.成立数据安全保护委员会及工作组,发布数据安全保护政策及制度。
2.在全员范围内,加强数据安全重要性的宣导,强化信息安全合规意识。
3.建立数据安全保护的生命周期框架模型,全方位斩断数据泄露渠道。
4.设置数据加密、访问控制、访问审计等措施,保护关键的数据。
5.改进数据安全事件响应计划,快速应对数据泄露,降低恶劣影响。
为帮助各类型的网络运营者保护关键的信息数据,防止外部黑客的入侵,以及“内鬼”盗窃,昆明亭长朗然科技有限公司推出了大量的数据安全保护意识教程,以从职业道德、法律法规、以及日常安全行为规范等多个层面,加强员工们的数据安全保护意识。欢迎有兴趣和有需求的客户及合作伙伴联系我们,预览作品以及采购。
- 电话:0871-67122372
- 微信、手机:18206751343
- 邮件:info@securemymind.com
- QQ: 1767022898