數據洩漏就像是沉沒“永不沉沒”的泰坦尼克號的冰山——它可以迅速摧毀即使是最強大的組織。根據IBM在2024年的報告,全球每次數據洩漏的成本已飆升至488萬美元,而在美國,這個數字幾乎翻倍,達到936萬美元。
鑒於這些數據洩漏事件,組織必須實施強有力的網絡安全措施。大多數組織都在努力加強他們的網絡,使用最新的防火牆和威脅檢測工具,但許多組織忽略了數據生命周期中的重要最後一步:數據刪除。這種疏忽可能造成噩夢,因為它不僅使珍貴的公司數據面臨風險,還可能暴露客戶、投資者、員工和相關利益者的個人信息。
個人可識別信息(PII)包括各種數據信息,從名字、社會安全號碼(SSN)、電話號碼和密碼,到生物識別和財務信息。由於這些信息的敏感性,它需要增強的保護,特別是根據歐盟通用數據保護條例(EU-GDPR)、加州消費者隱私法(CCPA)和英國GDPR等數據保護法,這些法律要求保護這些信息。隨著法律不合規風險的出現,組織必須仔細制定他們的數據管理策略,並擁有一個文檔化的數據處置政策,涵蓋一旦數據或存儲數據的設備達到使用終止(EOL)時所需的程序、工具和方法。
避免數據洩漏的重要性:數據刪除
數據洩漏是指公司的知識產權、財務信息或客戶的資訊被未經授權的人洩漏。數據洩漏的原因有很多,例如網絡攻擊、被竊取或損壞的登錄憑證、網絡釣魚、人為錯誤、IT系統故障以及數據處置不當。組織通常會採取主動措施來保護正在使用的數據(活動數據);然而,一旦數據完成其目的或變得多餘和過時,或者存儲這些數據的設備達到EOL,安全地清除存儲媒介上的數據就變得至關重要,然後才能處置、重新分配或重新利用它。不這樣做可能導致數據洩漏事件,就像摩根士丹利(Morgan Stanley)經歷的那樣。
在2016年,摩根士丹利將其數據中心的關閉外包給一家外部服務提供商。雖然該供應商已經拆除了數據中心,但他們在將伺服器驅動器出售到二級市場之前,並沒有先清除數據。這一重大疏忽使超過1500萬摩根士丹利客戶的PII暴露了出來。這導致了法律和財務上的後果,涉及到超過1.5億美元的罰款,由OCC、SEC和法院和解所施加。如果摩根士丹利能夠安全地清除硬碟,永久刪除所有機密信息,那麼該公司就可以避免這次數據洩漏,並避免損害其聲譽、財務和法律地位。
摩根士丹利數據洩漏事件凸顯了一個關鍵點:數據安全在數據生命周期的任何階段都不能被忽視。
數據刪除的法律要求
有多種數據保護法規要求組織實施強有力的數據隱私措施,包括安全的數據刪除實踐,以確保保護其公民的機密數據。
歐盟的通用數據保護條例(GDPR)是一項典範的數據隱私法規,賦予數據主體被遺忘的權利或刪除的權利,並對EU公民數據被洩漏的情況施加嚴格的罰款條款。對不合規的組織可處以高達2000萬歐元或全球年營業額的4%的罰款。
加州消費者隱私法(CCPA)賦予消費者對其數據的控制權,包括刪除的權利。加州檢察長有權對每次故意違規處以高達7500美元的罰款,而對於非故意違規則不超過2500美元。然而,對於可以施加的罰款總額並沒有上限。
加拿大的個人信息保護和電子文件法(PIPEDA)指導組織銷毀、刪除或匿名化不再需要的個人信息。任何故意違反PIPEDA指導方針的組織可能需承擔每次違規高達10萬加元的罰款。
這些法律,加上特定行業的法規如SOX、GLBA、FACTA和PCI-DSS,作為確保數據保護的關鍵保障。
但合規不僅僅是避免罰款。這是為了在快速數字化的世界中建立信任。皮尤研究中心(Pew Research Center)在2023年進行的調查發現,73%的美國人擔心公司如何使用他們的數據,67%的美國人對公司為什麼收集他們的數據毫無頭緒。在信任成為貨幣的世界裡,正確的數據處理——包括安全的數據刪除——成為競爭優勢,展示了一個組織對隱私的承諾,這可以使其與眾不同。
技術要求:超越簡單的數據刪除和格式化
了解“刪除”並不意味著“消失”是至關重要的。標準刪除方法實際上並不會從存儲媒介中刪除數據。相反,它們只是將存儲區域標記為可用。數據仍然保留在媒介上,直到被新數據覆蓋,這就像一個潛在的洩漏隱患。我之前談過數據刪除的迷思:刪除和格式化就是這樣的兩個迷思。安全的數據刪除不僅僅是簡單的文件刪除或磁碟格式化。它涉及使用像覆蓋、加密刪除、區塊刪除、安全刪除等方法,確保即使是高級的取證工具或數據恢復實驗室也無法恢復原始信息。
上述方法可以使用內建的操作系統或OEM命令執行,但需要技術專業知識。相反,專業的數據清除工具可以簡化這一過程,通過易於使用的界面執行這些命令,幾乎不需要技術知識。重要的是要記住,您選擇的數據清除工具必須符合您組織的數據處置政策要求。數據清除軟體應該理想地具備以下功能和認證,以證明其清除效果:
- 清除驅動器和設備,包括使用國際數據清除標準如NIST 800-88 Clear、Purge、US DoD 5220.22-M等隱藏區域。
- 生成詳細的銷毀證明以供審核,顯示數據已被刪除。
- 由全球認證機構如Common Criteria、ADISA、NIST等認證。
此外,您還應確保您的組織:
- 為所有帶數據的設備建立明確的保管鏈,從獲取到處置。
- 重視對數據刪除過程的審核,包括第三方供應商的過程。
- 為員工提供有關數據刪除的培訓,講解其必要性及正確的程序。
展望未來:數據刪除的未來
在這個不斷變化的環境中,組織必須保持領先。這不僅意味著遵守當前的法規,還要預測未來的要求。這意味著將數據刪除視為一項重要的整體數據策略和企業責任,而不是繁瑣的合規任務。
在結束之前,是時候提出一些嚴肅的問題:您對自己組織的數據銷毀政策有多有信心?您是否確信員工知道最佳的數據銷毀方法?
在數據成為新金礦、同時既是資產又是負擔的世界裡,安全的數據刪除不僅僅是技術要求——它是根本的商業需求。選擇清晰:現在投資強有力的數據刪除實踐,還是冒著未來付出更高代價的風險。問題不在於您是否能負擔得起優先考慮數據刪除,而在於您是否能承受不去做的後果。
新聞來源
本文由 AI 台灣 使用 AI 編撰,內容僅供參考,請自行進行事實查核。加入 AI TAIWAN Google News,隨時掌握最新 AI 資訊!