最近�����,英國(guó)信息專員辦公室(ICO)的信息專員伊麗莎白·德納姆“表示自己忙翻了”,因?yàn)镮CO在7月9日和10日接連開出兩張巨額罰單��,累計(jì)罰金超3.5億美金�����!處罰對(duì)象分別是國(guó)際航空集團(tuán)旗下英國(guó)航空公司以及國(guó)際知名連鎖酒店萬(wàn)豪國(guó)際集團(tuán)��。
一���、事件簡(jiǎn)述
1�、英國(guó)航空公司
2018年9月��,英國(guó)航空公司向信息監(jiān)管局通報(bào)了一起始于當(dāng)年6月的數(shù)據(jù)泄露事件����,該事件導(dǎo)致約50萬(wàn)名英航乘客的個(gè)人基本信息和付款記錄等數(shù)據(jù)被黑客竊取。其中��,至少有7.7萬(wàn)張支付卡持有者的姓名�����、賬單地址���、電子郵箱地址�����、信用卡支付信息(包括卡號(hào)���、有效期和信用卡驗(yàn)證碼)可能遭到泄露,成千上萬(wàn)的乘客被迫緊急取消掉了他們的信用卡�����。對(duì)此英航方面宣稱:是黑客對(duì)其官方網(wǎng)站進(jìn)行了“復(fù)雜�、惡意的犯罪攻擊”。針對(duì)此次事件�,英國(guó)信息專員辦公室向英國(guó)航空公司開出了高達(dá)2.3億美元的罰單。
2���、萬(wàn)豪國(guó)際集團(tuán)
2018年11月�����,萬(wàn)豪國(guó)際集團(tuán)公開披露一起數(shù)據(jù)泄露事件�,該事件導(dǎo)致3.83億酒店客戶信息被黑客竊取。萬(wàn)豪國(guó)際集團(tuán)在2016年9月收購(gòu)了喜達(dá)屋連鎖酒店��,可經(jīng)調(diào)查顯示���,自2014年7月以來(lái)�����,黑客就一直駐留在喜達(dá)屋的IT網(wǎng)絡(luò)當(dāng)中���,并從其客戶預(yù)訂數(shù)據(jù)庫(kù)內(nèi)竊取到了詳盡的客戶信息。針對(duì)此次事件���,英國(guó)信息專員辦公室向萬(wàn)豪國(guó)際集團(tuán)開出了1.23億美元的罰單����。
二�����、處罰差異解讀
同是數(shù)據(jù)泄露�����,同是巨額罰款,但如下圖對(duì)比之后可以發(fā)現(xiàn)�,ICO對(duì)英航和萬(wàn)豪的處罰力度還是有明顯差別的:
萬(wàn)豪國(guó)際集團(tuán)在數(shù)據(jù)泄露總量上遠(yuǎn)超英國(guó)航空公司���,可ICO對(duì)萬(wàn)豪方面的罰款金額和比例卻更低���!
要知道,ICO這次對(duì)兩家開出的巨額罰單�����,都是根據(jù)歐盟于2018年5月25日出臺(tái)的《通用數(shù)據(jù)保護(hù)條例》(簡(jiǎn)稱GDPR)執(zhí)行的結(jié)果����,也是新規(guī)定公布后ICO開出的第一和第二筆處罰。而GDPR對(duì)于違法行為并沒(méi)有設(shè)置具體的罰金幅度��,只有最高金額限制�����,且針對(duì)不同的違法行為�����,處罰分為兩檔:
1、 GDPR第83條第4款:針對(duì)違反隱私保護(hù)設(shè)計(jì)���,以及默認(rèn)隱私保護(hù)����,沒(méi)有實(shí)施充分的IT安全保障措施�����、違反數(shù)據(jù)泄露通知要求等行為����;處以1000萬(wàn)歐元或者上一年度全球營(yíng)收的2%,兩者取其高�����。
2�、 GDPR第83條第5款:針對(duì)違反數(shù)據(jù)處理原則,數(shù)據(jù)處理沒(méi)有合法基礎(chǔ)���,違法同意要求��,侵害數(shù)據(jù)主體的合法權(quán)利等行為�;處以2000萬(wàn)歐元或者企業(yè)上一年度全球營(yíng)業(yè)收入的4%,兩者取其高���。
此外����,GDPR規(guī)定了監(jiān)管機(jī)構(gòu)在評(píng)估是否應(yīng)當(dāng)適用罰款和罰款金額的標(biāo)準(zhǔn)時(shí)���,應(yīng)當(dāng)考慮以下因素:(a) 違法的性質(zhì)、嚴(yán)重性與持續(xù)時(shí)間���;(b) 基于故意還是過(guò)失�;(c) 控制者或處理者為了減輕數(shù)據(jù)主體損失而采取的所有行動(dòng)����;(d) 與監(jiān)管機(jī)構(gòu)的合作程度;(h)監(jiān)管機(jī)構(gòu)得知違法行為的方式等等�。
具體的判罰依據(jù)細(xì)節(jié)雖然沒(méi)有公開,但是從兩起罰款中公開信息及GDPR上述法規(guī)內(nèi)容來(lái)看�,相比于英國(guó)航空在用戶資料被轉(zhuǎn)移到一個(gè)欺詐網(wǎng)站后,數(shù)據(jù)泄露事件才被知曉和上報(bào)��,萬(wàn)豪方面被“從輕處罰”很可能與其“表現(xiàn)良好”有關(guān)��,主要體現(xiàn)在:
1、有防護(hù)措施:因管理員賬戶的異常查詢觸發(fā)萬(wàn)豪數(shù)據(jù)庫(kù)監(jiān)控系統(tǒng)告警��;
2���、有及時(shí)調(diào)查:在意識(shí)到可能存在的違規(guī)行為后����,萬(wàn)豪在三天內(nèi)迅速引入第三方專業(yè)安全團(tuán)隊(duì)進(jìn)行取證調(diào)查�����;
3�、有主動(dòng)上報(bào):經(jīng)調(diào)查證實(shí)黑客已竊取數(shù)據(jù)庫(kù)內(nèi)客戶信息后,立即梳理的整個(gè)攻擊流程��,確認(rèn)了數(shù)據(jù)泄露范圍���,并向政府當(dāng)局進(jìn)行了通報(bào)�����;
4�、有積極止損:向聯(lián)邦調(diào)查局��、美國(guó)各州檢察長(zhǎng)、美國(guó)聯(lián)邦貿(mào)易委員會(huì)�����、美國(guó)證券交易委員會(huì)�����、20個(gè)來(lái)自不同國(guó)家的監(jiān)管機(jī)構(gòu)���、四大主要支付卡網(wǎng)絡(luò)與信用卡處理供應(yīng)商以及三家美國(guó)信用報(bào)告機(jī)構(gòu)及時(shí)發(fā)出通知�,公開披露了此次數(shù)據(jù)泄露事件,減輕數(shù)據(jù)主體損失�。
由此可見(jiàn),在事前形成相對(duì)完善的數(shù)據(jù)管理制度�����,事中能夠及時(shí)主動(dòng)關(guān)注�����,采取有效措施�,并在數(shù)據(jù)泄露事件發(fā)生后與監(jiān)管機(jī)構(gòu)保持良好密切的溝通�,都有助于避免更為嚴(yán)厲的處罰��,降低損失并將影響控制在盡可能小的范圍內(nèi)��。
三����、數(shù)據(jù)安全縱深防御體系
盡管如此�����,亡羊補(bǔ)牢的代價(jià)都過(guò)于高昂��!縱觀國(guó)內(nèi)外被公開的大型數(shù)據(jù)泄露事件,對(duì)企業(yè)和組織帶來(lái)的損失將是多方面的��,這其中包括可量化的經(jīng)濟(jì)損失�,以及不可量化的品牌信譽(yù)和業(yè)務(wù)影響���。數(shù)據(jù)泄露的根本原因都在于安全管理機(jī)制的缺失,數(shù)據(jù)作為商業(yè)創(chuàng)新的源動(dòng)力,其安全防護(hù)應(yīng)結(jié)合多層次安全技術(shù)防護(hù)能力���,形成整體的縱深防護(hù)體系。
一���、應(yīng)用側(cè)��、運(yùn)維側(cè)—主動(dòng)防御
安華金和數(shù)據(jù)庫(kù)安全防護(hù)系統(tǒng)基于針對(duì)不同的數(shù)據(jù)庫(kù)用戶�,提供敏感表的操作權(quán)限���、訪問(wèn)行數(shù)和影響行數(shù)的控制����,以及限制NO WHERE 查詢和更新���,可以有效避免內(nèi)部高危操作和外部黑客入侵引起的大規(guī)模數(shù)據(jù)泄露和篡改。
二���、存儲(chǔ)層—防止明文泄密
安華金和數(shù)據(jù)庫(kù)加密系統(tǒng)基于底層加密存儲(chǔ)與獨(dú)立權(quán)控兩大核心機(jī)制����,實(shí)現(xiàn)數(shù)據(jù)落庫(kù)加密����。有效防止內(nèi)部數(shù)據(jù)庫(kù)維護(hù)人員,DBA等����,訪問(wèn)所有數(shù)據(jù),以及輕易拿到用戶信息和訂單信息的行為���。也可以防止外部攻擊造成的脫庫(kù)或內(nèi)部及駐場(chǎng)工作人員工作之便將數(shù)據(jù)文件�����、備份文件等拷貝���,造成整體數(shù)據(jù)批量泄密。
三�����、安全稽核
安華金和數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)具備全面����、高效的數(shù)據(jù)庫(kù)監(jiān)控告警和審計(jì)追溯能力。在行為分析基礎(chǔ)上,通過(guò)強(qiáng)大的風(fēng)險(xiǎn)行為描述語(yǔ)言���,實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)和攻擊行為的有效描述:對(duì)違反安全策略的訪問(wèn)行為進(jìn)行及時(shí)告警����;通過(guò)其數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)特征庫(kù)����,迅速實(shí)現(xiàn)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)監(jiān)測(cè)和告警。
要知道�,不只歐盟有GDPR;也不止外國(guó)企業(yè)才會(huì)因數(shù)據(jù)泄露等安全事件而被問(wèn)責(zé)和處罰���。在中國(guó)����,《網(wǎng)絡(luò)安全法》和等保2.0均已正式施行��,而《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》等緊密相關(guān)的法律法規(guī)也正在積極制訂中���。新環(huán)境下,保障數(shù)據(jù)安全已成為中國(guó)企業(yè)實(shí)現(xiàn)持續(xù)健康發(fā)展的重要前提和基礎(chǔ)���。亡羊補(bǔ)牢代價(jià)太高…為何不防患于未然����?
產(chǎn)品咨詢:4000 258 365 
