近年來，數(shù)據(jù)泄露事件成為了各大媒體的頭條新聞。由數(shù)據(jù)泄露引發(fā)的訴訟仍呈現(xiàn)出不斷增長的趨勢。各種規(guī)模的數(shù)據(jù)泄露事件發(fā)生之后，國際律師事務(wù)所Bryan Cave對日益增長的法律訴訟趨勢進(jìn)行了分析。研究發(fā)現(xiàn)，僅2016年就有76起與數(shù)據(jù)泄露有關(guān)的集體訴訟：

34%的訴訟來自醫(yī)療行業(yè)；

95%的人認(rèn)為疏忽大意是最常見的法律理論；

86%的人強(qiáng)調(diào)了敏感數(shù)據(jù)的泄露。

Radware的研究也證實(shí)了這些觀點(diǎn)。Radware的2018年消費(fèi)者意見研究發(fā)現(xiàn)，55%的美國消費(fèi)者表示，他們認(rèn)為個(gè)人數(shù)據(jù)比汽車、手機(jī)、錢包等物理資產(chǎn)更重要。此外，Radware的最高管理層視角報(bào)告也指出，41%的高管表示，客戶在遭受數(shù)據(jù)泄露后有采取法律行動(dòng)。數(shù)據(jù)泄露的后果不僅僅是負(fù)面新聞，還包括對股價(jià)、客戶獲取成本、流動(dòng)性，甚至是最高層高管離職等的持久影響。

敏感數(shù)據(jù)的類型因行業(yè)而異，攻擊方法也各不相同。例如，金融和工商業(yè)必須保護(hù)姓名、聯(lián)系信息、社保號、賬號和其他金融信息。

同樣，醫(yī)療記錄中包含相同的個(gè)人數(shù)據(jù)，除此之外還包含可以進(jìn)行身份欺詐的更多詳細(xì)信息，如醫(yī)生和處方記錄、醫(yī)療保險(xiǎn)信息以及身高、體重、血型等個(gè)人健康特征，因此，醫(yī)療行業(yè)面臨的數(shù)據(jù)泄露風(fēng)險(xiǎn)也很高。

從表面上看，數(shù)據(jù)泄露屬于CISO、CTO等的管轄范圍，但CEO們現(xiàn)在同樣可能對這些事件負(fù)責(zé)。

2013年數(shù)據(jù)泄露發(fā)生后，Target當(dāng)時(shí)就任的CEO被迫辭職。另外，在引人注目的泄露事件發(fā)生后，Sony和Home Depot的CEO被免職6個(gè)月。

隨著歐盟通用數(shù)據(jù)保護(hù)法規(guī)(GDPR)的實(shí)施，以及美國對數(shù)據(jù)隱私和保護(hù)措施的興趣和需求的日益增長，為了避免更嚴(yán)重的后果發(fā)生，圍繞數(shù)據(jù)泄露的法律法規(guī)正在快速實(shí)施。維持最低限度的數(shù)據(jù)安全已經(jīng)不再可行，數(shù)據(jù)安全將變成明智企業(yè)的競爭優(yōu)勢。不審查安全規(guī)劃的最高層高管會(huì)讓自己和公司都承擔(dān)重大責(zé)任。

GDPR對企業(yè)有何影響？

GDPR的目的是為消費(fèi)者個(gè)人數(shù)據(jù)的使用提供防護(hù)措施。目前，企業(yè)對保護(hù)消費(fèi)者數(shù)據(jù)的期望越來越高，進(jìn)一步強(qiáng)調(diào)了將網(wǎng)絡(luò)安全作為企業(yè)必需品的發(fā)展趨勢。嚴(yán)格來說，準(zhǔn)備不足的企業(yè)有可能會(huì)面臨高達(dá)2000萬歐元或企業(yè)全球年收入4%的罰款。

數(shù)據(jù)泄露一般來說會(huì)引致數(shù)月的負(fù)面報(bào)道，但消費(fèi)者的憤怒往往源自于企業(yè)遲遲沒有通知和回應(yīng)。當(dāng)企業(yè)嘗試隱瞞數(shù)據(jù)泄露事件，從而導(dǎo)致訴訟成本增加時(shí)，他們就會(huì)產(chǎn)生這種憤怒?，F(xiàn)在，GDPR要求并鼓勵(lì)企業(yè)采取在72小時(shí)內(nèi)通知到受數(shù)據(jù)泄露影響消費(fèi)者的高標(biāo)準(zhǔn)。

數(shù)據(jù)泄露的目標(biāo)

2013年，最引人注目的頭條新聞之一是總部位于明尼蘇達(dá)州的零售巨頭Target公司發(fā)生的數(shù)據(jù)泄露事件。在假日購物季期間，Target披露了大量的個(gè)人信息泄露事件，其中，4000萬客戶的個(gè)人財(cái)務(wù)數(shù)據(jù)被盜，7000萬客戶的個(gè)人信息(如電子郵件和地址)被泄露。攻擊者可以利用惡意軟件作為武器，通過第三方供應(yīng)商竊取的憑證入侵企業(yè)的客戶數(shù)據(jù)庫；隨后，同一惡意軟件還可以用來攻擊Home Depot等其他零售商。

圖1 企業(yè)高管對安全防護(hù)措施實(shí)施中的態(tài)度

在金融和零售行業(yè)之后，黑客仍在利用像Target的2013年數(shù)據(jù)泄露這樣的惡意軟件來創(chuàng)建從幾乎未被保護(hù)的第三方進(jìn)入更復(fù)雜系統(tǒng)的路徑。

調(diào)查結(jié)束時(shí)，Target除了支付累積高達(dá)2.02億美元的法律費(fèi)用外，還不得不在全美范圍內(nèi)支付了1850萬美元的罰款。然而，數(shù)據(jù)泄露導(dǎo)致的客戶流失和品牌聲譽(yù)受損更無法明確計(jì)算。該公司還必須遵從各州檢察總長提出的新協(xié)議條款，除了其他相關(guān)指導(dǎo)方針，還要求Target雇傭一名安全主管，負(fù)責(zé)創(chuàng)建并管理全面的信息安全項(xiàng)目。

越早行動(dòng)才能越早避免攻擊

Target事件已成為在企業(yè)架構(gòu)和業(yè)務(wù)流程中必需實(shí)施網(wǎng)絡(luò)安全的例子。不單只是技術(shù)行業(yè)，保護(hù)客戶數(shù)據(jù)這個(gè)話題在各行業(yè)都備受矚目，。能夠積極主動(dòng)地處理與公司產(chǎn)品/服務(wù)相關(guān)的安全問題，并保護(hù)好采集的數(shù)據(jù)，將成為企業(yè)未來的競爭優(yōu)勢。

Radware研究發(fā)現(xiàn)，全球66%的最高層高管認(rèn)為黑客可以入侵企業(yè)網(wǎng)絡(luò)，但在實(shí)施如圖1所示的防護(hù)措施方面，幾乎沒有什么變化。

所有行業(yè)的敏感數(shù)據(jù)都很有價(jià)值，在Darknet市場的價(jià)格各不相同。由于數(shù)據(jù)泄露越來越常見，各行業(yè)不得不采取不同程度的預(yù)防措施來保護(hù)消費(fèi)者的個(gè)人數(shù)據(jù)。例如，醫(yī)療行業(yè)大量使用加密技術(shù)來保護(hù)數(shù)據(jù)，如醫(yī)療技術(shù)和處方歷史記錄等。然而，攻擊者也在利用加密攻擊工具來訪問這些信息。為了防止數(shù)據(jù)泄露，對這些企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)而言，能夠區(qū)分合法加密流量與利用SSL加密的攻擊信息至關(guān)重要。全面設(shè)計(jì)的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)可以通過安全系統(tǒng)持續(xù)管理并監(jiān)控SSL和加密技術(shù)，確保網(wǎng)絡(luò)和數(shù)據(jù)隱私得到保護(hù)。

將網(wǎng)絡(luò)安全從IT轉(zhuǎn)移出來并嵌入到企業(yè)運(yùn)營的基礎(chǔ)中，可以幫助企業(yè)擴(kuò)大規(guī)模并專注于安全創(chuàng)新，而不是在新威脅發(fā)展或惡化時(shí)倉促緩解，這會(huì)引發(fā)代價(jià)高昂的集體訴訟。

此外，這種主動(dòng)方法還可以通過提高信任和忠誠度進(jìn)一步建立客戶關(guān)系。了解網(wǎng)絡(luò)安全是企業(yè)和CEO的首要任務(wù)，將有助于提高客戶對潛在合作伙伴的認(rèn)可度，并增強(qiáng)客戶之間的信任。