今日读法讯:在“数据为王”的当今社会,海量网络数据在促进技术创新与应用、成为数字经济发展的关键生产要素的同时,也催生了数据过度采集滥用、非法交易及用户数据泄露等数据安全问题,数据所给企业带来的收益,已远大于其它资产产生收益,数据就意味着竞争力。但数据泄露的层出不穷,却直接给企业造成经济损失并影响其品牌形象。
企业应如何保护数据资产,防范数据泄露已经成为了数据安全的重中之重。事实上,在面对数据泄露时,多数企业是反应迟钝的。IBM公司报告显示,企业发现数据泄露的平均时间是197天,而控制住由此产生的后果还额外需要平均69天。数据泄露企业发现越晚,损失越大。 数据从何处泄露? 一种为企业对于数据的技术管控策略不足到导致的数据泄露,技术方面,网站/平台/应用/系统因为存在安全问题。 另一种来自于人为泄露,内部员工出于利益买卖数据或黑客外部攻击系统获取数据。
数据泄露后企业又该防范数据泄露? 根据企业的实际情况,梳理当前可能会引起数据泄露的情况;针对这些情况,制定相应的保密措施,如今大部分互联网企业数据库安全系统由第三方数据库安全平台维护。根据各公司不同的需要和需求,制定不同的数据库安全产品方案,灵活对数据库进行加密或脱敏,风险扫描,数据库防火墙,运维审计等等产品的运用。
1、数据库脱敏系统。一次性对大量敏感数据进行脱敏,实时保护敏感数据, 以此提高网络数据的安全性。
2、数据库运维审计。全面、高效精确行为分析能力,能通过强大的风险行为描述语言,实现对数据库风险和攻击行为的有效描述;及时告警违反安全策略的访问行为能力,保证数据库操作满足合规性要求;系统自带数据库风险特征库,能迅速实现数据库风险检测和告警。
3、数据库加密系统。敏感数据的加密存储,访问控制增强、应用访问安全,安全审计、三权分立,明确了访问界限,便于及时阻止数据泄露的危险,达到数据的安全使用。
然而,一边是不法分子集中火力,寻找漏洞;另一边是企业,特别是互联网服务提供商事无巨细地收集用户信息。
我国有近40部法律、30余部法规涉及个人信息保护。《消费者权益保护法》《民法总则》《网络安全法》《刑法修正案(九)》等法律法规进一步明确了责任主体、犯罪要件等,织密了法律保障网络。比如,当相关主体以出售、提供、窃取或其他非法手段获取公民个人信息超过一定数量时,就构成刑事犯罪,可以说很具有威慑力。
但对个人信息安全的管理权分散在不同部门,工信、工商、公安等都能管,但都管得不彻底。相关部门要加强联动,紧密配合,不能让公众求助无门。
企业也责无旁贷。翟振轶说,现在不少企业已经开始重视保护消费者的信息安全。加大投入,购买技术服务,打上技术“补丁”,完善管理制度,防止“内鬼”的出现。比如几家快递公司推出电子扫码面单,尽量隐去快递单上的个人信息,受到消费者欢迎。
但整体上,当前企业的技术、管理手段仍跟不上现实需求。首先,个人信息会在企业各部门之间流动,许多员工都能接触,风险点很多。以电商网站为例,从技术、市场到客服都有一定的数据访问权限。不法分子可通过各种手段利诱工作人员,为其提供服务。其次,不同企业之间合作时共享数据,导致信息安全存在系统性风险。“大量的数据都存储在‘云’里,企业不仅要保障自家数据库的安全,不同的企业更要一起保障‘云’的安全。”
更重要的是,企业保护公民个人信息的意识还不够。升级信息保护系统,对企业而言,意味着投入增加。互联网企业不少是创新型公司,实力较弱,对长远利益考虑不足。应鼓励、引导社会力量,对企业信息安全工作开展监督、评价和评级等,督促企业重视这一问题。
个人因信息泄露造成财产等损失,如何维权?翟振轶说,此类案件因金额小、数量多,公众想要挽回损失,确实比较困难。但不能选择忍气吞声,应尽快到公安机关报案。如果一定时期内,报案和投诉集中在某个企业或某个领域,达到立案的标准,相关部门会根据法律的规定,采取措施,维护公众的权益。
个人也应绷紧信息安全这根弦。冯铭提醒消费者,快递单、收据等重要信息不要乱扔;下载软件要认真阅读隐私条款;在社会网站上尽量不暴露个人信息;分级设置密码;平时多和父母朋友沟通,减少他们被骗的几率。
保护公民个人信息,需要政府、行业、企业和个人通力合作,打好‘马赛克’,捂紧钱袋子。