最近�����,英國信息專員辦公室(ICO)的信息專員伊麗莎白·德納姆“表示自己忙翻了”����,因?yàn)镮CO在7月9日和10日接連開出兩張巨額罰單,累計(jì)罰金超3.5億美金����!處罰對象分別是國際航空集團(tuán)旗下英國航空公司以及國際知名連鎖酒店萬豪國際集團(tuán)。
一����、事件簡述
1、英國航空公司
2018年9月���,英國航空公司向信息監(jiān)管局通報(bào)了一起始于當(dāng)年6月的數(shù)據(jù)泄露事件����,該事件導(dǎo)致約50萬名英航乘客的個(gè)人基本信息和付款記錄等數(shù)據(jù)被黑客竊取��。其中���,至少有7.7萬張支付卡持有者的姓名�、賬單地址�、電子郵箱地址、信用卡支付信息(包括卡號�����、有效期和信用卡驗(yàn)證碼)可能遭到泄露����,成千上萬的乘客被迫緊急取消掉了他們的信用卡。對此英航方面宣稱:是黑客對其官方網(wǎng)站進(jìn)行了“復(fù)雜���、惡意的犯罪攻擊”����。針對此次事件����,英國信息專員辦公室向英國航空公司開出了高達(dá)2.3億美元的罰單。
2���、萬豪國際集團(tuán)
2018年11月��,萬豪國際集團(tuán)公開披露一起數(shù)據(jù)泄露事件����,該事件導(dǎo)致3.83億酒店客戶信息被黑客竊取�。萬豪國際集團(tuán)在2016年9月收購了喜達(dá)屋連鎖酒店��,可經(jīng)調(diào)查顯示����,自2014年7月以來��,黑客就一直駐留在喜達(dá)屋的IT網(wǎng)絡(luò)當(dāng)中�����,并從其客戶預(yù)訂數(shù)據(jù)庫內(nèi)竊取到了詳盡的客戶信息��。針對此次事件����,英國信息專員辦公室向萬豪國際集團(tuán)開出了1.23億美元的罰單。
二�����、處罰差異解讀
同是數(shù)據(jù)泄露�,同是巨額罰款,但如下圖對比之后可以發(fā)現(xiàn)���,ICO對英航和萬豪的處罰力度還是有明顯差別的:
萬豪國際集團(tuán)在數(shù)據(jù)泄露總量上遠(yuǎn)超英國航空公司�����,可ICO對萬豪方面的罰款金額和比例卻更低��!
要知道�����,ICO這次對兩家開出的巨額罰單�����,都是根據(jù)歐盟于2018年5月25日出臺的《通用數(shù)據(jù)保護(hù)條例》(簡稱GDPR)執(zhí)行的結(jié)果�����,也是新規(guī)定公布后ICO開出的第一和第二筆處罰��。而GDPR對于違法行為并沒有設(shè)置具體的罰金幅度�����,只有最高金額限制����,且針對不同的違法行為,處罰分為兩檔:
1���、 GDPR第83條第4款:針對違反隱私保護(hù)設(shè)計(jì)�����,以及默認(rèn)隱私保護(hù)��,沒有實(shí)施充分的IT安全保障措施���、違反數(shù)據(jù)泄露通知要求等行為;處以1000萬歐元或者上一年度全球營收的2%�����,兩者取其高��。
2���、 GDPR第83條第5款:針對違反數(shù)據(jù)處理原則�����,數(shù)據(jù)處理沒有合法基礎(chǔ)�,違法同意要求,侵害數(shù)據(jù)主體的合法權(quán)利等行為���;處以2000萬歐元或者企業(yè)上一年度全球營業(yè)收入的4%����,兩者取其高��。
此外���,GDPR規(guī)定了監(jiān)管機(jī)構(gòu)在評估是否應(yīng)當(dāng)適用罰款和罰款金額的標(biāo)準(zhǔn)時(shí),應(yīng)當(dāng)考慮以下因素:(a) 違法的性質(zhì)���、嚴(yán)重性與持續(xù)時(shí)間�;(b) 基于故意還是過失���;(c) 控制者或處理者為了減輕數(shù)據(jù)主體損失而采取的所有行動�����;(d) 與監(jiān)管機(jī)構(gòu)的合作程度���;(h)監(jiān)管機(jī)構(gòu)得知違法行為的方式等等����。
具體的判罰依據(jù)細(xì)節(jié)雖然沒有公開�����,但是從兩起罰款中公開信息及GDPR上述法規(guī)內(nèi)容來看���,相比于英國航空在用戶資料被轉(zhuǎn)移到一個(gè)欺詐網(wǎng)站后����,數(shù)據(jù)泄露事件才被知曉和上報(bào)�����,萬豪方面被“從輕處罰”很可能與其“表現(xiàn)良好”有關(guān)��,主要體現(xiàn)在:
1���、有防護(hù)措施:因管理員賬戶的異常查詢觸發(fā)萬豪數(shù)據(jù)庫監(jiān)控系統(tǒng)告警;
2���、有及時(shí)調(diào)查:在意識到可能存在的違規(guī)行為后�����,萬豪在三天內(nèi)迅速引入第三方專業(yè)安全團(tuán)隊(duì)進(jìn)行取證調(diào)查��;
3�����、有主動上報(bào):經(jīng)調(diào)查證實(shí)黑客已竊取數(shù)據(jù)庫內(nèi)客戶信息后��,立即梳理的整個(gè)攻擊流程����,確認(rèn)了數(shù)據(jù)泄露范圍����,并向政府當(dāng)局進(jìn)行了通報(bào);
4��、有積極止損:向聯(lián)邦調(diào)查局�、美國各州檢察長、美國聯(lián)邦貿(mào)易委員會����、美國證券交易委員會���、20個(gè)來自不同國家的監(jiān)管機(jī)構(gòu)、四大主要支付卡網(wǎng)絡(luò)與信用卡處理供應(yīng)商以及三家美國信用報(bào)告機(jī)構(gòu)及時(shí)發(fā)出通知����,公開披露了此次數(shù)據(jù)泄露事件,減輕數(shù)據(jù)主體損失�����。
由此可見�����,在事前形成相對完善的數(shù)據(jù)管理制度����,事中能夠及時(shí)主動關(guān)注,采取有效措施�,并在數(shù)據(jù)泄露事件發(fā)生后與監(jiān)管機(jī)構(gòu)保持良好密切的溝通,都有助于避免更為嚴(yán)厲的處罰�����,降低損失并將影響控制在盡可能小的范圍內(nèi)�����。
三�、數(shù)據(jù)安全縱深防御體系
盡管如此,亡羊補(bǔ)牢的代價(jià)都過于高昂���!縱觀國內(nèi)外被公開的大型數(shù)據(jù)泄露事件,對企業(yè)和組織帶來的損失將是多方面的�,這其中包括可量化的經(jīng)濟(jì)損失���,以及不可量化的品牌信譽(yù)和業(yè)務(wù)影響�。數(shù)據(jù)泄露的根本原因都在于安全管理機(jī)制的缺失,數(shù)據(jù)作為商業(yè)創(chuàng)新的源動力�����,其安全防護(hù)應(yīng)結(jié)合多層次安全技術(shù)防護(hù)能力����,形成整體的縱深防護(hù)體系。
一����、應(yīng)用側(cè)、運(yùn)維側(cè)—主動防御
安華金和數(shù)據(jù)庫安全防護(hù)系統(tǒng)基于針對不同的數(shù)據(jù)庫用戶��,提供敏感表的操作權(quán)限��、訪問行數(shù)和影響行數(shù)的控制����,以及限制NO WHERE 查詢和更新�����,可以有效避免內(nèi)部高危操作和外部黑客入侵引起的大規(guī)模數(shù)據(jù)泄露和篡改��。
二���、存儲層—防止明文泄密
安華金和數(shù)據(jù)庫加密系統(tǒng)基于底層加密存儲與獨(dú)立權(quán)控兩大核心機(jī)制�����,實(shí)現(xiàn)數(shù)據(jù)落庫加密���。有效防止內(nèi)部數(shù)據(jù)庫維護(hù)人員�,DBA等�����,訪問所有數(shù)據(jù)�����,以及輕易拿到用戶信息和訂單信息的行為���。也可以防止外部攻擊造成的脫庫或內(nèi)部及駐場工作人員工作之便將數(shù)據(jù)文件�����、備份文件等拷貝��,造成整體數(shù)據(jù)批量泄密�����。
三、安全稽核
安華金和數(shù)據(jù)庫安全審計(jì)系統(tǒng)具備全面�、高效的數(shù)據(jù)庫監(jiān)控告警和審計(jì)追溯能力�。在行為分析基礎(chǔ)上��,通過強(qiáng)大的風(fēng)險(xiǎn)行為描述語言���,實(shí)現(xiàn)對數(shù)據(jù)庫風(fēng)險(xiǎn)和攻擊行為的有效描述:對違反安全策略的訪問行為進(jìn)行及時(shí)告警�;通過其數(shù)據(jù)庫風(fēng)險(xiǎn)特征庫�����,迅速實(shí)現(xiàn)數(shù)據(jù)庫風(fēng)險(xiǎn)監(jiān)測和告警��。
要知道��,不只歐盟有GDPR���;也不止外國企業(yè)才會因數(shù)據(jù)泄露等安全事件而被問責(zé)和處罰。在中國�,《網(wǎng)絡(luò)安全法》和等保2.0均已正式施行,而《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》等緊密相關(guān)的法律法規(guī)也正在積極制訂中�。新環(huán)境下,保障數(shù)據(jù)安全已成為中國企業(yè)實(shí)現(xiàn)持續(xù)健康發(fā)展的重要前提和基礎(chǔ)�。亡羊補(bǔ)牢代價(jià)太高…為何不防患于未然?
產(chǎn)品咨詢:4000 258 365 
