最近,英国信息专员办公室(ICO)的信息专员伊丽莎白·德纳姆“表示自己忙翻了”,因为ICO在7月9日和10日接连开出两张巨额罚单,累计罚金超3.5亿美金!处罚对象分别是国际航空集团旗下英国航空公司以及国际知名连锁酒店万豪国际集团。
一、事件简述
1、英国航空公司
2018年9月,英国航空公司向信息监管局通报了一起始于当年6月的数据泄露事件,该事件导致约50万名英航乘客的个人基本信息和付款记录等数据被黑客窃取。其中,至少有7.7万张支付卡持有者的姓名、账单地址、电子邮箱地址、信用卡支付信息(包括卡号、有效期和信用卡验证码)可能遭到泄露,成千上万的乘客被迫紧急取消掉了他们的信用卡。对此英航方面宣称:是黑客对其官方网站进行了“复杂、恶意的犯罪攻击”。针对此次事件,英国信息专员办公室向英国航空公司开出了高达2.3亿美元的罚单。
2、万豪国际集团
2018年11月,万豪国际集团公开披露一起数据泄露事件,该事件导致3.83亿酒店客户信息被黑客窃取。万豪国际集团在2016年9月收购了喜达屋连锁酒店,可经调查显示,自2014年7月以来,黑客就一直驻留在喜达屋的IT网络当中,并从其客户预订数据库内窃取到了详尽的客户信息。针对此次事件,英国信息专员办公室向万豪国际集团开出了1.23亿美元的罚单。
二、处罚差异解读
同是数据泄露,同是巨额罚款,但如下图对比之后可以发现,ICO对英航和万豪的处罚力度还是有明显差别的:
万豪国际集团在数据泄露总量上远超英国航空公司,可ICO对万豪方面的罚款金额和比例却更低!
要知道,ICO这次对两家开出的巨额罚单,都是根据欧盟于2018年5月25日出台的《通用数据保护条例》(简称GDPR)执行的结果,也是新规定公布后ICO开出的第一和第二笔处罚。而GDPR对于违法行为并没有设置具体的罚金幅度,只有最高金额限制,且针对不同的违法行为,处罚分为两档:
1、 GDPR第83条第4款:针对违反隐私保护设计,以及默认隐私保护,没有实施充分的IT安全保障措施、违反数据泄露通知要求等行为;处以1000万欧元或者上一年度全球营收的2%,两者取其高。
2、 GDPR第83条第5款:针对违反数据处理原则,数据处理没有合法基础,违法同意要求,侵害数据主体的合法权利等行为;处以2000万欧元或者企业上一年度全球营业收入的4%,两者取其高。
此外,GDPR规定了监管机构在评估是否应当适用罚款和罚款金额的标准时,应当考虑以下因素:(a) 违法的性质、严重性与持续时间;(b) 基于故意还是过失;(c) 控制者或处理者为了减轻数据主体损失而采取的所有行动;(d) 与监管机构的合作程度;(h)监管机构得知违法行为的方式等等。
具体的判罚依据细节虽然没有公开,但是从两起罚款中公开信息及GDPR上述法规内容来看,相比于英国航空在用户资料被转移到一个欺诈网站后,数据泄露事件才被知晓和上报,万豪方面被“从轻处罚”很可能与其“表现良好”有关,主要体现在:
1、有防护措施:因管理员账户的异常查询触发万豪数据库监控系统告警;
2、有及时调查:在意识到可能存在的违规行为后,万豪在三天内迅速引入第三方专业安全团队进行取证调查;
3、有主动上报:经调查证实黑客已窃取数据库内客户信息后,立即梳理的整个攻击流程,确认了数据泄露范围,并向政府当局进行了通报;
4、有积极止损:向联邦调查局、美国各州检察长、美国联邦贸易委员会、美国证券交易委员会、20个来自不同国家的监管机构、四大主要支付卡网络与信用卡处理供应商以及三家美国信用报告机构及时发出通知,公开披露了此次数据泄露事件,减轻数据主体损失。
由此可见,在事前形成相对完善的数据管理制度,事中能够及时主动关注,采取有效措施,并在数据泄露事件发生后与监管机构保持良好密切的沟通,都有助于避免更为严厉的处罚,降低损失并将影响控制在尽可能小的范围内。
三、数据安全纵深防御体系
尽管如此,亡羊补牢的代价都过于高昂!纵观国内外被公开的大型数据泄露事件,对企业和组织带来的损失将是多方面的,这其中包括可量化的经济损失,以及不可量化的品牌信誉和业务影响。数据泄露的根本原因都在于安全管理机制的缺失,数据作为商业创新的源动力,其安全防护应结合多层次安全技术防护能力,形成整体的纵深防护体系。
一、应用侧、运维侧—主动防御
安华金和数据库安全防护系统基于针对不同的数据库用户,提供敏感表的操作权限、访问行数和影响行数的控制,以及限制NO WHERE 查询和更新,可以有效避免内部高危操作和外部黑客入侵引起的大规模数据泄露和篡改。
二、存储层—防止明文泄密
安华金和数据库加密系统基于底层加密存储与独立权控两大核心机制,实现数据落库加密。有效防止内部数据库维护人员,DBA等,访问所有数据,以及轻易拿到用户信息和订单信息的行为。也可以防止外部攻击造成的脱库或内部及驻场工作人员工作之便将数据文件、备份文件等拷贝,造成整体数据批量泄密。
三、安全稽核
安华金和数据库安全审计系统具备全面、高效的数据库监控告警和审计追溯能力。在行为分析基础上,通过强大的风险行为描述语言,实现对数据库风险和攻击行为的有效描述:对违反安全策略的访问行为进行及时告警;通过其数据库风险特征库,迅速实现数据库风险监测和告警。
要知道,不只欧盟有GDPR;也不止外国企业才会因数据泄露等安全事件而被问责和处罚。在中国,《网络安全法》和等保2.0均已正式施行,而《个人信息保护法》《数据安全法》等紧密相关的法律法规也正在积极制订中。新环境下,保障数据安全已成为中国企业实现持续健康发展的重要前提和基础。亡羊补牢代价太高…为何不防患于未然?