防止敏感數據泄露對企業的重要性

近年來，數據泄露事件成為了各大媒體的頭條新聞。由數據泄露引發的訴訟仍呈現出不斷增長的趨勢。各種規模的數據泄露事件發生之后，國際律師事務所Bryan Cave對日益增長的法律訴訟趨勢進行了分析。研究發現，僅2016年就有76起與數據泄露有關的集體訴訟：

34%的訴訟來自醫療行業；

95%的人認為疏忽大意是最常見的法律理論；

86%的人強調了敏感數據的泄露。

Radware的研究也證實了這些觀點。Radware的2018年消費者意見研究發現，55%的美國消費者表示，他們認為個人數據比汽車、手機、錢包等物理資產更重要。此外，Radware的最高管理層視角報告也指出，41%的高管表示，客戶在遭受數據泄露后有采取法律行動。數據泄露的后果不僅僅是負面新聞，還包括對股價、客戶獲取成本、流動性，甚至是最高層高管離職等的持久影響。

敏感數據的類型因行業而異，攻擊方法也各不相同。例如，金融和工商業必須保護姓名、聯系信息、社保號、賬號和其他金融信息。

同樣，醫療記錄中包含相同的個人數據，除此之外還包含可以進行身份欺詐的更多詳細信息，如醫生和處方記錄、醫療保險信息以及身高、體重、血型等個人健康特征，因此，醫療行業面臨的數據泄露風險也很高。

從表面上看，數據泄露屬于CISO、CTO等的管轄范圍，但CEO們現在同樣可能對這些事件負責。

2013年數據泄露發生后，Target當時就任的CEO被迫辭職。另外，在引人注目的泄露事件發生后，Sony和Home Depot的CEO被免職6個月。

隨著歐盟通用數據保護法規(GDPR)的實施，以及美國對數據隱私和保護措施的興趣和需求的日益增長，為了避免更嚴重的后果發生，圍繞數據泄露的法律法規正在快速實施。維持最低限度的數據安全已經不再可行，數據安全將變成明智企業的競爭優勢。不審查安全規劃的最高層高管會讓自己和公司都承擔重大責任。

GDPR對企業有何影響？

GDPR的目的是為消費者個人數據的使用提供防護措施。目前，企業對保護消費者數據的期望越來越高，進一步強調了將網絡安全作為企業必需品的發展趨勢。嚴格來說，準備不足的企業有可能會面臨高達2000萬歐元或企業全球年收入4%的罰款。

數據泄露一般來說會引致數月的負面報道，但消費者的憤怒往往源自于企業遲遲沒有通知和回應。當企業嘗試隱瞞數據泄露事件，從而導致訴訟成本增加時，他們就會產生這種憤怒。現在，GDPR要求并鼓勵企業采取在72小時內通知到受數據泄露影響消費者的高標準。

數據泄露的目標

2013年，最引人注目的頭條新聞之一是總部位于明尼蘇達州的零售巨頭Target公司發生的數據泄露事件。在假日購物季期間，Target披露了大量的個人信息泄露事件，其中，4000萬客戶的個人財務數據被盜，7000萬客戶的個人信息(如電子郵件和地址)被泄露。攻擊者可以利用惡意軟件作為武器，通過第三方供應商竊取的憑證入侵企業的客戶數據庫；隨后，同一惡意軟件還可以用來攻擊Home Depot等其他零售商。

圖1 企業高管對安全防護措施實施中的態度

在金融和零售行業之后，黑客仍在利用像Target的2013年數據泄露這樣的惡意軟件來創建從幾乎未被保護的第三方進入更復雜系統的路徑。

調查結束時，Target除了支付累積高達2.02億美元的法律費用外，還不得不在全美范圍內支付了1850萬美元的罰款。然而，數據泄露導致的客戶流失和品牌聲譽受損更無法明確計算。該公司還必須遵從各州檢察總長提出的新協議條款，除了其他相關指導方針，還要求Target雇傭一名安全主管，負責創建并管理全面的信息安全項目。

越早行動才能越早避免攻擊

Target事件已成為在企業架構和業務流程中必需實施網絡安全的例子。不單只是技術行業，保護客戶數據這個話題在各行業都備受矚目，。能夠積極主動地處理與公司產品/服務相關的安全問題，并保護好采集的數據，將成為企業未來的競爭優勢。

Radware研究發現，全球66%的最高層高管認為黑客可以入侵企業網絡，但在實施如圖1所示的防護措施方面，幾乎沒有什么變化。

所有行業的敏感數據都很有價值，在Darknet市場的價格各不相同。由于數據泄露越來越常見，各行業不得不采取不同程度的預防措施來保護消費者的個人數據。例如，醫療行業大量使用加密技術來保護數據，如醫療技術和處方歷史記錄等。然而，攻擊者也在利用加密攻擊工具來訪問這些信息。為了防止數據泄露，對這些企業的網絡安全系統而言，能夠區分合法加密流量與利用SSL加密的攻擊信息至關重要。全面設計的網絡基礎架構可以通過安全系統持續管理并監控SSL和加密技術，確保網絡和數據隱私得到保護。

將網絡安全從IT轉移出來并嵌入到企業運營的基礎中，可以幫助企業擴大規模并專注于安全創新，而不是在新威脅發展或惡化時倉促緩解，這會引發代價高昂的集體訴訟。

此外，這種主動方法還可以通過提高信任和忠誠度進一步建立客戶關系。了解網絡安全是企業和CEO的首要任務，將有助于提高客戶對潛在合作伙伴的認可度，并增強客戶之間的信任。