网络数据隐私的理想与现实-2023.10

Click

here

or

press

enter

for

the

accessibility

optimised

version网络数据隐私的理想状态与现实企业是否能满足消费者对数据隐私保护的期望呢？Click

here

or

press

enter

for

the

accessibility

optimised

version简介网络安全技术正在快速迭代，但企业仍会不断遭受安全漏洞的困扰。

Omdia

的网络安全漏洞跟踪器显示，大约三分之二的安全漏洞会导致数据泄露。尽管网络安全技术正在迅速迭代，但企业仍然会遭受安全漏洞的困扰。这两个案例并不罕见，而且很可能只是冰山一角，许多数据隐私侵犯行为并未被媒体报道。

不幸的是，企业将继续遭受安全漏洞的困扰，令客户失望。许多此类故障本来

可以通过更好的网络防御预案来

预防，但由于网络安全的复杂性，这并非简单直达的问题。

此外，随着数据隐私侵犯行为案例的增加，监管机构的要求也越来

越严格。令人担忧的是，如此大比例（三分之二）的企业安全漏洞会导致数据泄露，其中许多还涉及个人身份信息

(PII)

的泄露（见图

10）。图

X：2022

年按结果划分的违规百分比最终，企业必须具有灵活性，并具有良好且一致的网络完全预防措施。

他们必须在运营和数据隐私方面具有一定的灵活性，才能为客户和公民提供服务。

保护那些信任您企业数据的客户隐私，对于维持这种信任并与数据隐私监管机构保持正确的立场至关

重要。Maxine

Holt,

网络安全高级总监来源：Omdia版权所有

©

2023Maxine.Holt@这个三分之二的数字几乎同样适用于所有地区，包括亚太地区。

例如，2022

年

9

月，新加坡电信集团子公司

Optus

发生安全漏洞，导致近

1000万条包含个人身份信息

(PII)

的记录被泄露。

同年11月，亚航遭受勒索软件攻击，导致500万唯一乘客和所有员工的个人数据泄露。Click

here

or

press

enter

for

the

accessibility

optimised

version企业数据安全的驱动因素最令人担忧的反应是，39%

的企业在事件发生时根据具体情况解决数据安全问题。

这有点像马逃走后关

上马厩的门。

你可能抓不到马，但它可以防止其他人逃跑。网络安全是信息安全的一个子集，专注于保护

CIA

的数字信息。因此，数据安全是网络安全的核心，确保企业用于运营其产品和服务的数据始终保持适当的机密性和可用性，同时保持其完整性。数据隐私ÑÑ中央情报局三巨头机密部分的一部分ÑÑ可能是网络安全中最著名的方面。

侵犯数据隐私可能会上头条新闻，消费者普遍意识到企业组织应根据各种法规保护其个人身份信息

(PII)，例如欧盟通用数据保护条例(GDPR)、加州消费者隐私法

(CCPA)

和新加坡个人数据保护法

(PDPA)。Omdia

的

2022

年网络安全决策者调查显示，近一半的企业组织将

CIA

三巨头作为其数据安全战略的核心。

另外

14%

的人会在事件发生之前关

注具体情况。企业数据安全策略然而，根据

Omdia

的安全决策者调查，只有大约五分之一的企业组织对其遵守相关

数据隐私法规的能力Ò非常有信心Ó。尽管还有

53%

的人Ò合理的有信心Ó，但这确实让这些企业需要做更多的工作来

改善其网络卫生安全并进入Ò非常有信心Ó的范围。维护相关

数据隐私法规的信心水平决定购买数据安全解决方案的主要驱动因素保持对法规的遵守是存在的，但排在安全功能面临的一系列挑战之后的第五位。

并非所有数据都是平等的ÑÑ有些数据是关

键任务，有些数据不太重要，适当保护所有类型的数据显然是购买数据安全技术的驱动力。

勒索软件继续在各种企业中肆虐，因此保护数据安全至关

重要，包括防止数据被盗和/或财务损失。此外，五分之一的组织没有信心，所有这些组织都将受益于对相关

数据隐私法规的全面审查并围绕这些要求改进安全控制措施。

尽管合规性并不是直接的安全责任，但部署控制措施以支持数据隐私方面的要求通常是安全功能的责任。这里的关

键要点是数据安全有很多方面。

了解必须保护哪些数据、这些数据在哪里以及如何管理这些数据是管理公司信息的机密性、完整性和可用性的所有重要组成部分。Maxine

Holt,

网络安全高级总监Maxine.Holt@Click

here

or

press

enter

for

the

accessibility

optimised

version数据安全案列我们可以从

Optus

网络攻击中学到什么？总部位于澳大利亚的

Optus

是新加坡电信集团的子公司，最近遭遇安全漏洞，近

1000

万条包含个人身份信息

(PII)

的记录被泄露。Omdia的安全漏洞跟踪器捕获了

2019-22

年间公开

发布的公告（英文），并指出，电信行业的安全漏洞仅占该期间近

5,000

个公告中的

2.4%。尽管同期目标行业所占份额相对较大，即：医疗保健

(18%)

、政府

(15.3%)

和信息技术服务

(11.8%)

，但电信行业受到的损害足以波及其他行业影响其交付和安全的服务。电信公司运营的基础设施是一个国家重要的国家基础设施这一引人注目的泄露事件引起了人们对电信公司网络安全的警惕，并不可避免地对组织针对网络攻击的准备情况提出了疑问。

该安全漏洞于

2022

年

9月

21

日被发现，并于次日公开

宣布。

Optus安全漏洞是过去三年来

澳大利亚电信行业最大的安全漏洞之一。(CNI)了。的一部分，因此该行业的违规行为引发的不安和警报也就不足为奇数据泄露的影响Optus

泄露事件中泄露的记录数量很高：总共

980

万条，其中

280

万条被Optus

表示，被泄露的信息包括Ò客户的姓名、出生日期、电话号码、电子邮件地址，以及部分客户的地址、身份证件号码，例如驾驶执照或护照号码Ó。

这通常被称为个人身份信息（PII），它是直接或间接识别个人身份并可被不法分子用来

实施欺诈活动的任何信息。描述为Ò大量数据Ó被泄露。

Optus

的困境并不仅仅限于处理与客户的违规事件的后果。

据报道，受影响的

Optus

客户正在准备一项潜在的集体诉讼。这显示了

PII

数据泄露的影响

-

信任丧失、声誉受损、恢复时间和成本、补救时间和成本以及公关

活动不应被低估。据领先的安全出版物《Dark

Reading》报道，此次泄露事件之后的事件发生了各种曲折。

其中包括，在暴露

10,200

条记录后，攻击者撤回了

100

万美元的赎金要求，据称删除了泄露的数据，并向

Optus

的客户道歉。

然而，这些都不能否认泄露事件已经发生的事实，也不能保证赎金要求不会再次出现，也不能保证泄露的数据实际上已被删除。例如，澳大利亚内政部长克莱

尔á奥尼尔

(Claire

OÕNeil)

对

Medicare

号码的暴露（Medicare

是澳大利亚公共资助的全民医疗保险计划，由国家社会保障部门运营）和身份盗窃风险加大表示担忧，特别是在大量数据被泄露的280

万数据池中。

Optus

为Ò受影响最大Ó的客户提供免费

12

个月订阅Equifax

Protect（一项信用监控服务及其身份保护服务）的选项，说明了所涉及的成本。人为因素在安全漏洞中发挥作用先前未识别的数据的解决方案Ó。）据

ABC

新闻报道，来

自

Optus

一位匿名高级官员的消息来

源透露，Optus的漏洞源于未经身份验证的应用程序编程接口

(API)

暴露在互联网上。人为错误被认为是此次泄露的根源ÑÑ假设该

API

只能由授权的公司系统访问，Optus

客户身份数据库通过

API

向其他系统开

放。最终，其中一个接口通过测试网络开

放，该接口又可以访问互联网，从而提供对

Optus

网络的外部访问。数据发现远不是

Optus

安全控制中唯一缺失的元素，多因素身份验证(MFA)、漏洞管理以及解决人为因素在安全漏洞中的作用等功能也是值得研究的领域的其他示例。Maxine

Holt,

网络安全高级总监Maxine.Holt@威胁行为者本质上是使用

API

下载客户记录。

前澳大利亚联邦警察奈杰尔á菲尔

(Nigel

Phair)

承认，虽然

Optus

在防火墙和入侵检测方面设有安全控制措施，但测试网络不太可能拥有与其他网络相同水平的安全控制措施。Omdia

的安全漏洞跟踪器显示，疏忽和意外故障占

2019-22

年跟踪安全攻击背后因素的

21.4%。尽管复杂的外部力量也可能促成了

Optus

的攻击，但很可能存在疏忽或意外故障。公司可以通过实施适当的安全控制来

预防，以最大限度地减少损害（包括人员、流程和技术这些疏忽和意外故障），降低系统风险方面发挥着至关

重要的作用。根据

Omdia

的数据安全市场跟踪报告，数据发现市场目前价值约为

114

亿美元，预计到

2026

年将增长至

214

亿美元，Optus

等组织可能会为该市场增长做出贡献，因为他们试图了解必须保护的数据是哪些。

（Omdia

将数据发现定义为Ò出于安全目的，专注于在组织控制范围内成功发现和分类任Click

here

or

press

enter

for

the

accessibility

optimised

version企业是否能满足对客户数据隐私的期许？各种报告表明，安全控制失败是造成数据泄露的主要的、但可预防的一个原因。

对现有安全控制过度自信的进一步证据可以在网络安全决策者调查中找到，该调查显示

77%

的企业组织遭受过大量安全事件和漏洞，其中一些对企业造成了严重影响。企业可能将继续再数据隐私方面令客户失望。

各种报告表明，安全控制失败是造成数据泄露的主要的、但可预防的一个原因。Omdia

于

2022

年进行的网络安全决策者调查发现，32%

的组织对其组织的安全控制Ò非常有信心Ó，另有

58%

的组织称自己Ò合理的有信心Ó。其中一些安全漏洞将包含在

Omdia

的安全漏洞跟踪器中。

该数据着眼于安全漏洞的主要结果，在

2022

年安全漏洞报告中，65%

的漏洞被跟踪为数据泄露。Omdia

网络安全决策者调查：安全信心Omdia

安全漏洞追踪器：按结果划分的漏洞份额Source:

OmdiaCopyright

©

2023Source:

OmdiaCopyright

©

2023回顾

2019

年的历史数据，我们发现大约三分之二的违规行为始终导致数据泄露：2021

年为

68%，2020

年为

67%，2019

年为

64%。因此，可以毫不夸张地说，企业可能将继续在数据隐私方面让客户失望。Maxine

Holt,

网络安全高级总监Maxine.Holt@Click

here

or

press

enter

for

the

accessibility

optimised

version数据是安全态势管理的最新领域安全态势管理

(SPM)

已成为云时代主动安全的增长趋势。

它从云安全态势管理

(CSPM)

开

始，它寻找基础设施和平台即服务（IaaS

和

PaaS）环境中可能导致漏洞的错误配置。在过去几年中，它已扩展到

SaaS（软件即服务）安全态势管理，为

SaaS

应用程序做基本上相同的事情。

现在，我们看到数据安全态势管理

(DSPM)

的出现，Cyera、Laminar、Uptycs、Veza

和

Xage

等公司都在争夺这一不断扩大的细分市场的知名度。DSPM

最初以观察模式运行，映射客户在云中的所有数据存储，包括

IaaS、PaaS

和

SaaS

环境中的结构化和非结构化数据。该过程完成后，它会对这些数据（包括个人身份信息或

PII

和其他敏感类型的数据）进行解析和分类，并显示需要修复的最高优先级风险，并为此目的建议采取行动。数据安全态势管理

(DSPM)为什么企业现在要考虑

DSPM

技术？

在

IaaS、PaaS

和

SaaS

环境中定位数据、检测访问权限的任何错误配置并在适当的情况下限制它们，将是其他云安全措施的有用辅助，甚至可能成为高度监管行业的法律要求。组织应熟悉

DSPM

领域的可用产品，并考虑如何将它们纳入安全控制中。DSPM

还处于早期阶段，但随着越来

越多的公司认识到需要对其云中的数据进行控制，它将与

CSPM

和

SSPM

等其他主动功能一起在市场上获得知名度。

对于在此领域运营的供应商，他们需要更好地阐明

DSPM

的明显优势。Rik

Turner,

高级首席分析师Rik.Turner@此外，云安全是另一个领域的供应商可能会考虑通过内部开

发或收购该领域现