在當今的數位世界中,數據是企業最重要的資產。數據是運行軟體、推動商業智慧和提供新功能所必需的。因此,企業試圖囤積盡可能多的數據。事實上,數據在許多人中被稱為「新石油」。然而,這種觀點是誤導性的。數據不是新石油;它是新鈾。雖然數據被用於各種計畫,但需要謹慎管理。網路安全風險相當於核輻射,可以導致熔毀或導致巨額的損失來控制損害。鑒於監管機構對各種數據隱私法的執法力度加大,企業在處理數據時必須更加謹慎。
謹慎處理數據的重要性
企業並不是認為數據是無限的。相反,企業希望儲存數據並以儘可能多的方式將其變現,以最大化組織的財務利益。
這可能導致單一來源中儲存過多的數據,並造成數據經常轉手,導致更多不必要的使用。或者,企業有時會囤積過多的數據並進入銷售數據的業務。這些情況可能導致大規模的數據洩露和數據盜竊。例如,Capital One在2023年發生了一次數據洩露事件,洩露了「大量敏感的金融信息」,影響了超過494,000人。2022年,Facebook的母公司Meta最終支付了7.25億美元以解決與政治諮詢公司劍橋分析使用數百萬Facebook用戶數據相關的法律行動。
將數據與鈾進行比較是一個準確的類比。鈾是放射性的,必須小心處理以避免輻射暴露,其影響與嚴重的健康和安全問題有關。鈾的部署問題,例如在反應堆中的使用,可能導致核輻射洩漏,這些洩漏非常昂貴且對受影響者有長期的健康影響。鈾被盜的可能性帶來了重大的風險和全球影響。
數據具有類似的特徵。安全存儲數據至關重要,遭遇數據盜竊的人必須面對長期的後果——例如身份盜竊和財務問題。遭受網絡攻擊的組織必須面對監管審查和罰款。在某些情況下,失去敏感數據可能會引發重大全球後果。
防止洩露的最佳實踐
幾個推薦的最佳實踐旨在幫助避免這些情況。例如,企業有時儲存與其業務和運營無關的不必要數據。例如,普通零售商不需要客戶的家庭地址或出生日期。當發生洩露事件時,由於公司本不該擁有的數據被盜,風險更高。
端到端加密也被建議。在端到端加密解決方案中,只有最終用戶才能加密訪問其數據,例如Apple的iCloud和密碼管理器。如果組織無法訪問未加密的數據,則洩露事件不會危及最終用戶的數據。許多洩露事件是由於黑客入侵而發生的。實施最佳安全實踐於防火牆和訪問控制、定期進行軟件更新以及培訓員工可以顯著降低黑客攻擊的風險。
維護數據的保管鏈至關重要。一些公司允許所有員工訪問所有記錄,這增加了網絡攻擊的表面積,而受到影響的員工則可能導致數據洩露。即使是一台受到影響的員工電腦也可能導致更大範圍的黑客入侵。考慮一下非營利健康網絡Ascension的案例,該網絡經營140家醫院和40家老年護理機構。在2024年,一名員工下載了一個惡意文件,使黑客能夠訪問MyHealth記錄系統。這次洩露迫使公司關閉關鍵系統、切斷電話線、轉移救護車、關閉藥房並轉為使用筆記和紙張跟蹤病人信息。該事件導致公司損失12億美元。僅允許那些需要執行職能的員工訪問將減少黑客入侵的風險。
同樣,不購買或出售敏感數據也至關重要。組織有時會購買敏感數據,包括個人信息,以便進行目標定位和營銷,或者企業將其數據出售給其他公司。由於數據洩露,企業可能失去客戶的信任,如果他們在未經許可的情況下出售或購買數據,可能會違反法律。
此外,企業聘請適當訓練的人才來管理安全數據至關重要。一家大型公司可以考慮聘請首席隱私官,以制定和實施所有組織職能的數據隱私最佳實踐。對於中型或小型公司,首席信息安全官可以監督整個企業的最佳安全實踐。定期對員工進行最有效的安全和隱私實踐的培訓是必不可少的,企業可以考慮聘請外部顧問以獲取安全認證。
確保數據安全
當今的技術使得加密靜態數據相對容易。企業可以使用各種控制訪問的硬體密鑰加密數據塊,這些密鑰在雲服務提供商中使用,僅在必要時用於解密數據。這些硬體密鑰經常更換,無法被黑客攻擊。然而,這確實需要一些基本的安全和雲部署專業知識。
一些組織允許將其加密數據以未加密格式導出。如果這些數據被洩露,則很難知道它會以何種方式流通。建議企業避免以未加密格式保存敏感數據,並定期監控其基礎設施,以確保沒有未受保護的端點。限制敏感數據的處理僅限於具有嚴格防火牆的安全系統,可以確保未加密數據永遠不會離開系統。
儘管有這些安全措施,但未來可能會增加黑客攻擊的事件。例如,在2024年上半年,公開披露的數據洩露和網絡攻擊超過2,700起,近70億條已知記錄被洩露。
因此,企業將被迫轉向邊緣計算,並實施端到端數據加密。人工智慧驅動的安全工具在保護基礎設施方面發揮了重要作用,這些技術可以提高數據安全性。沒有未加密客戶敏感數據訪問的組織將顯著降低洩露的風險。客戶的數據僅在他們的設備上解密,顯著減少了攻擊的表面積。除了依賴新興技術外,企業還可以採取幾個例行步驟來確保其數據安全,例如僅存儲所需數據、端到端加密數據和實施最佳安全和隱私實踐。
