最近,英國信息專員辦公室(ICO)的信息專員伊麗莎白·德納姆“表示自己忙翻了”����,因為ICO在7月9日和10日接連開出兩張巨額罰單,累計罰金超3.5億美金�����!處罰對象分別是國際航空集團旗下英國航空公司以及國際知名連鎖酒店萬豪國際集團�。
一、事件簡述
1����、英國航空公司
2018年9月,英國航空公司向信息監(jiān)管局通報了一起始于當年6月的數據泄露事件�����,該事件導致約50萬名英航乘客的個人基本信息和付款記錄等數據被黑客竊取�。其中�����,至少有7.7萬張支付卡持有者的姓名����、賬單地址�����、電子郵箱地址�、信用卡支付信息(包括卡號、有效期和信用卡驗證碼)可能遭到泄露����,成千上萬的乘客被迫緊急取消掉了他們的信用卡。對此英航方面宣稱:是黑客對其官方網站進行了“復雜�、惡意的犯罪攻擊”。針對此次事件�����,英國信息專員辦公室向英國航空公司開出了高達2.3億美元的罰單�。
2、萬豪國際集團
2018年11月�,萬豪國際集團公開披露一起數據泄露事件�����,該事件導致3.83億酒店客戶信息被黑客竊取�。萬豪國際集團在2016年9月收購了喜達屋連鎖酒店�,可經調查顯示,自2014年7月以來��,黑客就一直駐留在喜達屋的IT網絡當中�,并從其客戶預訂數據庫內竊取到了詳盡的客戶信息�。針對此次事件,英國信息專員辦公室向萬豪國際集團開出了1.23億美元的罰單�。
二、處罰差異解讀
同是數據泄露�,同是巨額罰款,但如下圖對比之后可以發(fā)現���,ICO對英航和萬豪的處罰力度還是有明顯差別的:
萬豪國際集團在數據泄露總量上遠超英國航空公司�,可ICO對萬豪方面的罰款金額和比例卻更低�����!
要知道���,ICO這次對兩家開出的巨額罰單���,都是根據歐盟于2018年5月25日出臺的《通用數據保護條例》(簡稱GDPR)執(zhí)行的結果�����,也是新規(guī)定公布后ICO開出的第一和第二筆處罰�����。而GDPR對于違法行為并沒有設置具體的罰金幅度�����,只有最高金額限制���,且針對不同的違法行為,處罰分為兩檔:
1�、 GDPR第83條第4款:針對違反隱私保護設計,以及默認隱私保護��,沒有實施充分的IT安全保障措施�����、違反數據泄露通知要求等行為;處以1000萬歐元或者上一年度全球營收的2%���,兩者取其高��。
2����、 GDPR第83條第5款:針對違反數據處理原則�����,數據處理沒有合法基礎�����,違法同意要求��,侵害數據主體的合法權利等行為�;處以2000萬歐元或者企業(yè)上一年度全球營業(yè)收入的4%��,兩者取其高���。
此外���,GDPR規(guī)定了監(jiān)管機構在評估是否應當適用罰款和罰款金額的標準時�����,應當考慮以下因素:(a) 違法的性質���、嚴重性與持續(xù)時間;(b) 基于故意還是過失���;(c) 控制者或處理者為了減輕數據主體損失而采取的所有行動�����;(d) 與監(jiān)管機構的合作程度�����;(h)監(jiān)管機構得知違法行為的方式等等�。
具體的判罰依據細節(jié)雖然沒有公開����,但是從兩起罰款中公開信息及GDPR上述法規(guī)內容來看,相比于英國航空在用戶資料被轉移到一個欺詐網站后,數據泄露事件才被知曉和上報��,萬豪方面被“從輕處罰”很可能與其“表現良好”有關���,主要體現在:
1��、有防護措施:因管理員賬戶的異常查詢觸發(fā)萬豪數據庫監(jiān)控系統(tǒng)告警�;
2���、有及時調查:在意識到可能存在的違規(guī)行為后��,萬豪在三天內迅速引入第三方專業(yè)安全團隊進行取證調查����;
3�����、有主動上報:經調查證實黑客已竊取數據庫內客戶信息后�����,立即梳理的整個攻擊流程�,確認了數據泄露范圍,并向政府當局進行了通報�����;
4��、有積極止損:向聯(lián)邦調查局�����、美國各州檢察長��、美國聯(lián)邦貿易委員會�、美國證券交易委員會、20個來自不同國家的監(jiān)管機構�、四大主要支付卡網絡與信用卡處理供應商以及三家美國信用報告機構及時發(fā)出通知,公開披露了此次數據泄露事件�����,減輕數據主體損失����。
由此可見,在事前形成相對完善的數據管理制度�����,事中能夠及時主動關注,采取有效措施��,并在數據泄露事件發(fā)生后與監(jiān)管機構保持良好密切的溝通��,都有助于避免更為嚴厲的處罰���,降低損失并將影響控制在盡可能小的范圍內��。
三���、數據安全縱深防御體系
盡管如此,亡羊補牢的代價都過于高昂���!縱觀國內外被公開的大型數據泄露事件�,對企業(yè)和組織帶來的損失將是多方面的���,這其中包括可量化的經濟損失����,以及不可量化的品牌信譽和業(yè)務影響�����。數據泄露的根本原因都在于安全管理機制的缺失���,數據作為商業(yè)創(chuàng)新的源動力�,其安全防護應結合多層次安全技術防護能力����,形成整體的縱深防護體系。
一��、應用側����、運維側—主動防御
安華金和數據庫安全防護系統(tǒng)基于針對不同的數據庫用戶,提供敏感表的操作權限��、訪問行數和影響行數的控制�����,以及限制NO WHERE 查詢和更新��,可以有效避免內部高危操作和外部黑客入侵引起的大規(guī)模數據泄露和篡改���。
二�、存儲層—防止明文泄密
安華金和數據庫加密系統(tǒng)基于底層加密存儲與獨立權控兩大核心機制,實現數據落庫加密����。有效防止內部數據庫維護人員,DBA等�����,訪問所有數據��,以及輕易拿到用戶信息和訂單信息的行為�����。也可以防止外部攻擊造成的脫庫或內部及駐場工作人員工作之便將數據文件�、備份文件等拷貝,造成整體數據批量泄密�。
三、安全稽核
安華金和數據庫安全審計系統(tǒng)具備全面�����、高效的數據庫監(jiān)控告警和審計追溯能力�����。在行為分析基礎上�����,通過強大的風險行為描述語言����,實現對數據庫風險和攻擊行為的有效描述:對違反安全策略的訪問行為進行及時告警;通過其數據庫風險特征庫�����,迅速實現數據庫風險監(jiān)測和告警�����。
要知道����,不只歐盟有GDPR;也不止外國企業(yè)才會因數據泄露等安全事件而被問責和處罰���。在中國�����,《網絡安全法》和等保2.0均已正式施行�����,而《個人信息保護法》《數據安全法》等緊密相關的法律法規(guī)也正在積極制訂中���。新環(huán)境下���,保障數據安全已成為中國企業(yè)實現持續(xù)健康發(fā)展的重要前提和基礎。亡羊補牢代價太高…為何不防患于未然���?
產品咨詢:4000 258 365 
