你的个人敏感信息是怎么泄露的?

你肯定经历过各种骚扰电话,房产中介、信用卡中心、贷款等等,在你不胜其烦挂断这些电话的同时,你有没有想过一个问题:这些骚扰电话都是怎么来的 ?

举个例子,著名的万豪酒店,在 2018 年发生了一次高达 3.83 亿人次客人的信息泄露事件,泄露内容包含姓名、电话、邮件地址、护照号码 、入离店时间等等敏感信息,甚至还有信用卡信息这类极度敏感的内容。消息公布后,万豪国际股价大跌,并且因违反欧盟 GDPR 被英国信息专员办公室(ICO)重罚 9900 万英镑。事情到这里还不算完,2020 年,万豪再次发生了涉及 520 万客人信息的泄露事件,而这次,是通过某万豪特许经营酒店的 2 名员工的登录凭证泄露的,最终,万豪酒店遭遇了口碑的”滑铁卢“。

 

是不是觉得这个例子和本文主题没关系?其实不然,除了我们自身在参加各项社会活动时,”心甘情愿“泄露的个人信息以外,最大的可能性就是各大企业”替“我们泄露的。试想你手机里的各种 APP,我们在注册使用应用程序的同时,个人信息也就流到了该企业的数据库里,这个是无可避免的,也不是问题所在,那么,数据究竟为什么会泄露呢?

 

1

数据为什么会泄露?

企业在管理用户数据的同时,是否有足够的安全措施来保护用户数据的安全,这个是重点。近几年,内鬼、黑客攻击、第三方供应链等各种花式泄露途径层出不穷,还拿万豪举例,虽然万豪有隐私保护政策,但实际上很多员工都可以轻易接触到客人的敏感信息(参见万豪于 2020 年的数据泄露方式) ,而这就是根本问题所在。

 

讲到这里,我们不得不提一提合规性这个话题。欧洲的《通用数据保护条例》(GDPR)和中国的《个人信息保护法》(PIPL)等,都对数据保护提出了严格要求。企业作为数据的主要掌握者和处理者,责任是巨大的。即便如此,很多企业没有数据合规方面的意识,未能按要求对敏感数据进行加密、分类和审计,最终导致数据泄露。对于企业而言,一次数据泄露带来的后果可能是毁灭性的,巨额罚款、法律诉讼和品牌信誉的损失只是开始,更重要的是对客户信任的破坏,这将是难以弥补的。

中国在 2024 年 3 月 15 日发布了国家标准《数据安全技术 数据分类分级规则》,明确规定了数据需要根据性质、来源、用途等因素分类,并基于数据对组织、个人、社会或国家的影响进行风险等级划分。该规则即将于 2024 年 10 月 1 日生效,通过这种明确的分类和分级方式,企业可以更好地针对不同类型的数据采取适当的保护措施,降低数据泄露的风险。

2

如何分类分级管理企业敏感数据?

企业的数据库通常涉及到大量人员的管理和操作,想要数据不被泄露,有效的分类分级管理是基础。不同类型的数据需要根据其敏感程度和风险进行分级,每个级别的敏感数据由不同的负责人进行权限管控,举个例子,某个企业员工出于某个合理要求需要访问客户的姓名和电话号码,姓名和电话号码的敏感等级分别为 S3 和 S4,那该员工就需要分别向 S3 和 S4 的负责人申请这两个敏感列的权限,最大化地管控数据访问权限,出了问题也有迹可循。

 

通过 NineData 的敏感数据保护功能就可以轻易做到这一点,NineData 预置了 S0 ~ S5 6 个敏感数据等级,以及对应的识别规则,可全自动识别企业数据库中的敏感数据并脱敏,未被授权的用户尝试访问敏感列时,将只会看到脱敏后的数据。

此外,NineData 提供的敏感数据大盘功能,展示当前组织下敏感数据相关信息,包含支持敏感数据保护的数据源总数、已开启敏感数据的数据源总数以及敏感级别、已开启敏感数据的表的总数、敏感列的总数、敏感数据访问次数等,管理员可以轻松了解企业数据库中敏感数据的整体情况。

3

实际演示一下

1. 添加敏感列打开目标数据源的敏感数据保护开关,单击操作列的扫描设置,点确定,如果表中存在敏感数据,只消等待片刻即可自动完成敏感列的添加。

 

是的,你没看错 ,这其实就已经完成了,如果你的表比较大,敏感列的扫描会花几分钟时间,此时,可以在任务扫描日志中查看扫描状态。

2. 查看敏感列:在敏感列页签中 ,可以查看已扫描出的敏感列,红框中的内容可以手动进行编辑 。

3. 配置敏感列的审批流程:分别配置敏感等级 S1 ~ S5 的审批人,让数据库更加安全合规。

至此所有配置已经完成,用户访问数据库的时候,如果涉及敏感列的访问,就需要申请对应的权限, 否则是无法查看该敏感列的内容的。

4

最后

想要实现目前最为规范的敏感数据分类分级,看到上述的操作演示后,是不是觉得也没有那么难?防范数据泄露,企业的意识是最重要的,并且宜早不宜迟,因为说不定什么时候,数据泄露问题就找上你了。