面对频发的数据泄露事件,企业如何加强防护?

今年以来,数据泄露事件频发!雅诗兰黛被爆泄露4.4亿用户敏感信息;微盟员工“删库”宕机36小时,面临客户流失、巨额赔偿风险;蚂蚁金服P6员工录屏从钉钉获取8万条个人信息被开除;迪卡侬数据库1.23亿个人信息泄露;微博5亿用户手机号疑在暗网出售….
随着信息技术的快速发展,个人和企业的数据价值日益凸显,各行各业逐渐暴露在数据安全风险当中。特别是医疗、金融、服务等拥有海量个人数据的企业成为了黑客的主要目标。数据泄露成本逐年升高,及时识别数据危机成为企业痛点。
数据泄露不仅使企业形象大打折扣,也让企业面临着巨额经济损失。2018年的数据泄露事件导致该酒店面临125亿美元索赔,同时因违反欧盟GDPR(通用数据保护条例)被罚款1.24亿美元。

据IBM 《2019 年全球数据泄露成本报告》显示,数据泄露事件全球平均成本为392万美元,每条记录的成本为150美元,对比2014年上涨12%。巨大的经济损失让企业难以招架,及时识别数据安全危机成为企业痛点。
IBM 调研显示,数据泄露的平均生命周期为 279 天,即在事件发生后企业平均需要 206 天才能发现,另需 73 天才能控制住事件发展态势。
企业加强防护,阻止数据泄密,急需解决​。
1. 完善数据安全防护手段
当前,企业对数据安全主要采取防范计算机病毒、网络攻击、网络侵入的网络边界防护和终端管控手段,缺少对内容的深度识别或感知技术,并且缺少对敏感数据的全方位治理和安全管理手段。
敏感数据是什么、存放在什么位置、流转经过哪些节点、数据泄露后如何溯源追责,企业都应该采取相应的数据安全产品和技术手段来解决这些问题。
2. 建立可落地的行业性数据安全规范和企业数据安全管理制度
最近几年,数据安全已经被逐步纳入国家法规和行业规范中,包括《网络安全法》、《网络安全等级保护基本要求 2.0》、《个人信息安全规范》、欧盟《GDPR》等。数据安全已经成为新一代信息安全标准的基本内容。
虽然这些已颁布的法律法规对数据安全和个人信息保护进行了明确立法规定,对各类组织承担的数据安全保障义务与责任进行明确要求,并保障个人对其个人信息的安全可控。
3. 提高安全意识,增加对内部数据泄露风险的防护
目前,企业对数据安全的投入,主要是针对外部攻击的防护,如防火墙、IDS、防病毒软件等,而这些技术手段很难对内部人员有意或无意的泄露行为进行识别和防护。
调查结果表明,绝大部分的泄露风险来自企业内部,其中邮件外发和互联网上传是两个最方便的数据外传手段,也是泄露事件发生概率最高的两个渠道。
因此,企业应加强对内部员工或运维人员的安全意识管理,增加对数据防泄漏产品的投入,实行对内部人员泄露行为的检测和管控,降低内部人员有意无意的拷贝、外发和上传等操作带来的数据泄露风险。