化妆品巨头1900万条数据泄漏,企业如何应对这颗定时炸弹?

2020-08-07 17:00

1596787850910920.png


近日,全球化妆品巨头雅芳(Avon)因云服务器配置错误泄漏了1900万条记录,其中包含有关客户和员工的个人身份信息(PII),包括全名、电话号码、生日、电子邮件和家庭住址以及GPS坐标,此外包括40,000多个安全令牌、OAuth令牌、内部日志、账户设置和技术服务器信息

Safety Detectives的研究人员发现:雅芳在Azure服务器上的Elasticsearch数据库公开暴露,且没有密码保护或加密;鉴于可获得的敏感信息的种类和数量,黑客可以建立完整的服务器控制,并采取严重破坏雅芳品牌的行动,也就是说,黑客可以利用勒索软件攻击使该公司的支付基础设施瘫痪。

 

【数据泄漏导致企业损失惨重】

随着数字化进程的加速,各类数据呈现爆炸式增长,而海量数据蕴藏的巨大商业价值,使得数据已成为企业的重要战略资产。然而这些数据如果未得到有效保护,一旦遭到泄漏,必将给企业带来巨大的损失。

一方面,会给受害企业带来直接和间接的经济损失,包括:巨额罚款、事后处理成本和名誉损失恢复成本等。在IBM Security 上个月发布的《2020年数据泄露成本报告》中,揭示了数据泄漏事件给企业造成的平均成本达386万美元,而一次“超大型”数据泄漏事件的平均成本更是上升到了天文数字的级别,受到此类安全事件影响的企业预计将支付高达3.92亿美元的费用。


1596787875150015.jpg


另一方面,在大规模的数据泄漏事件中,绝大部分泄漏信息都包括了个人信息以及敏感数据,这给涉及的用户个人信息与隐私安全都带来了潜在的危害。

 

【企业如何应对这颗定时炸弹?】

闪捷信息技术专家给出了以下建议:


一、增强数据安全意识

数据泄漏事件的发生,都和人有关。无论是员工无意的错误配置,还是被诱骗后的操作,或是利益驱使,又或是恶意报复,都是由人实施完成,通过增强数据安全意识,可以帮助企业降低数据泄漏事件发生的机率。

首先:从公司层面,开展数据安全事故案例分享,使大家认识到数据安全的重要性;

其次:普及数据安全相关法律法规,使员工意识到违反数据安全的后果;

再次:进行安全知识培训,使大家具备基本的数据安全知识,能够避免一些常见错误操作;

最后:就是坚持,任何意识的培养和增强,都是一个长期的过程。


二、加强数据防泄漏

数据防泄漏需要根据业务场景,综合运用多种技术。

首先:应该基于智能内容识别引擎,自动发现敏感数据并分级分类,明确保护对象

其次:能够在终端和网络环境中对数据的操作和流动进行监控、预警和审计;

再次:对外发的数据添加水印,使数据的使用有迹可循,出现泄漏可以溯源追责;

最后:具备统一的管理平台,呈现所有的数据安全风险,并能集中管理安全策略。


三、加强个人信息保护

个人信息保护措施需要覆盖数据的整个生命周期。

首先:在个人信息采集阶段,应该按需收集个人信息,过多的个人信息收集会给企业带来合规风险,也会带来防护成本;

其次:个人信息的传输和存储,应该加密,防止内部人员或外部人员明文窃取;

再次:个人信息的使用和交换过程中,数据应该脱敏,使数据在安全合规的前提下流转;

最后:能够响应用户的要求,删除系统中的个人信息,避免数据遗留带来的额外法律风险。


四、加强访问控制

数据资源联网,需要有访问控制措施保障数据安全。

首先:设置访问数据资源的IP地址范围,可以有效防止陌生IP地址发起的非法请求;

其次:对数据资源的所有请求,都应该经过身份验证,合法的用户才能请求数据;

再次:对用户能够访问的数据内容进行最小权限限制,减少用户越权访问数据的机会;

最后:使用三权分立,分别设置审计管理员账号、安全管理员账号和数据库管理员账号,防止权限过于集中而带来的风险。

 

当企业还未意识到数据泄漏事件所带来的严重危害时,未来它将面临的损失将是无法预估的。闪捷信息作为一家已在数据安全领域深耕十余年的专业厂商,可以根据企业实际需求,提供定制化的防护方案,个性化的服务支持,以及强有力的技术支撑,从而帮助企业降低数据泄漏风险。

 

关于闪捷信息:

闪捷信息(Secsmart)是一家专注数据安全的国家级高新技术企业,在业界率先将人工智能、量子加密技术成功应用于数据安全领域,首创“零信任”动态数据安全治理以及“云管端”立体化数据安全解决方案,产品范围涉及数据安全治理、数据加密、数据脱敏、数据库审计、数据库防火墙、数据防泄漏、大数据安全、云数据安全等,已广泛应用于政府、电力、运营商、金融、教育、医疗等行业。