化妆品巨头1900万条数据泄漏,企业如何应对这颗定时炸弹?

2020-08-07 17:00

1596787850910920.png


近日,全球化妆品巨头雅芳(Avon)因云服务器配置错误泄漏了1900万条记录,其中包含有关客户和员工的个人身份信息(PII),包括全名、电话号码、生日、电子邮件和家庭住址以及GPS坐标,此外包括40,000多个安全令牌、OAuth令牌、内部日志、账户设置和技术服务器信息

Safety Detectives的研究人员发现:雅芳在Azure服务器上的Elasticsearch数据库公开暴露,且没有密码保护或加密;鉴于可获得的敏感信息的种类和数量,黑客可以建立完整的服务器控制,并采取严重破坏雅芳品牌的行动,也就是说,黑客可以利用勒索软件攻击使该公司的支付基础设施瘫痪。

 

【数据泄漏导致企业损失惨重】

随着数字化进程的加速,各类数据呈现爆炸式增长,而海量数据蕴藏的巨大商业价值,使得数据已成为企业的重要战略资产。然而这些数据如果未得到有效保护,一旦遭到泄漏,必将给企业带来巨大的损失。

一方面,会给受害企业带来直接和间接的经济损失,包括:巨额罚款、事后处理成本和名誉损失恢复成本等。在IBM Security 上个月发布的《2020年数据泄露成本报告》中,揭示了数据泄漏事件给企业造成的平均成本达386万美元,而一次“超大型”数据泄漏事件的平均成本更是上升到了天文数字的级别,受到此类安全事件影响的企业预计将支付高达3.92亿美元的费用。


1596787875150015.jpg


另一方面,在大规模的数据泄漏事件中,绝大部分泄漏信息都包括了个人信息以及敏感数据,这给涉及的用户个人信息与隐私安全都带来了潜在的危害。

 

【企业如何应对这颗定时炸弹?】

8797威尼斯老品牌信息技术专家给出了以下建议:


一、增强数据安全意识

数据泄漏事件的发生,都和人有关。无论是员工无意的错误配置,还是被诱骗后的操作,或是利益驱使,又或是恶意报复,都是由人实施完成,通过增强数据安全意识,可以帮助企业降低数据泄漏事件发生的机率。

首先:从公司层面,开展数据安全事故案例分享,使大家认识到数据安全的重要性;

其次:普及数据安全相关法律法规,使员工意识到违反数据安全的后果;

再次:进行安全知识培训,使大家具备基本的数据安全知识,能够避免一些常见错误操作;

最后:就是坚持,任何意识的培养和增强,都是一个长期的过程。


二、加强数据防泄漏

数据防泄漏需要根据业务场景,综合运用多种技术。

首先:应该基于智能内容识别引擎,自动发现敏感数据并分级分类,明确保护对象

其次:能够在终端和网络环境中对数据的操作和流动进行监控、预警和审计;

再次:对外发的数据添加水印,使数据的使用有迹可循,出现泄漏可以溯源追责;

最后:具备统一的管理平台,呈现所有的数据安全风险,并能集中管理安全策略。


三、加强个人信息保护

个人信息保护措施需要覆盖数据的整个生命周期。

首先:在个人信息采集阶段,应该按需收集个人信息,过多的个人信息收集会给企业带来合规风险,也会带来防护成本;

其次:个人信息的传输和存储,应该加密,防止内部人员或外部人员明文窃取;

再次:个人信息的使用和交换过程中,数据应该脱敏,使数据在安全合规的前提下流转;

最后:能够响应用户的要求,删除系统中的个人信息,避免数据遗留带来的额外法律风险。


四、加强访问控制

数据资源联网,需要有访问控制措施保障数据安全。

首先:设置访问数据资源的IP地址范围,可以有效防止陌生IP地址发起的非法请求;

其次:对数据资源的所有请求,都应该经过身份验证,合法的用户才能请求数据;

再次:对用户能够访问的数据内容进行最小权限限制,减少用户越权访问数据的机会;

最后:使用三权分立,分别设置审计管理员账号、安全管理员账号和数据库管理员账号,防止权限过于集中而带来的风险。

 

当企业还未意识到数据泄漏事件所带来的严重危害时,未来它将面临的损失将是无法预估的。8797威尼斯老品牌信息作为一家已在数据安全领域深耕十余年的专业厂商,可以根据企业实际需求,提供定制化的防护方案,个性化的服务支持,以及强有力的技术支撑,从而帮助企业降低数据泄漏风险。

 

关于8797威尼斯老品牌信息:

8797威尼斯老品牌信息(Secsmart)是一家专注数据安全的高新技术企业,在业界率先将人工智能、量子加密技术成功应用于数据安全领域,创新性提出“零信任”动态数据安全治理以及“云管端”立体化数据安全解决方案,产品范围涉及数据安全治理、数据加密、数据脱敏、数据库审计、数据库防火墙、数据防泄漏、大数据安全、云数据安全等,已广泛应用于政府、电力、运营商、金融、教育、医疗等行业。