了解數據洩露：原因、後果及應對措施

 

什麼是數據洩露？ 

 

數據洩露是指任何網絡安全事件 ，其中個人或組織的敏感或機密數據被未經授權的人員訪問。這些數據包括個人身份信息（PII）、私人憑證、知識產權以及其他機密信息。需要注意的是，並非所有網絡安全事件或網絡攻擊都構成數據洩露，例如拒絕服務（DoS）攻擊就不屬於此類。  

 

 

數據洩露是如何發生的？ 

 

數據洩露主要通過網絡安全事件來破壞系統或網絡，從而獲得未經授權的訪問權限。常見的數據洩露攻擊途徑包括： 

 

• 釣魚攻擊：這是一種社會工程學手段，通過合法郵件、消息或電話誘騙個人洩露敏感信息或私人憑證。
• 惡意軟件感染：指攻擊者設計的用於感染設備、干擾操作或破壞系統的程序或代碼。攻擊者可能會出於未經授權的目的提取敏感數據，或在勒索軟件的情況下要求贖金。
• 系統漏洞：指攻擊者可以利用的系統弱點。這些弱點包括系統配置錯誤或不安全的網絡和設備。
• 內部威脅：組織內部的惡意或疏忽人員可能會故意或意外地濫用其對系統和數據的訪問權限。因此，敏感信息可能會被洩露，或者為攻擊者創造可乘之機。
• 供應鏈攻擊：當攻擊者瞄準第三方系統（如組織的供應商、廠商或托管服務提供商）以獲取對組織數據的訪問權限時，就會發生供應鏈攻擊。
• 中間人（MITM）攻擊：通過中斷受害者和目標伺服器之間的通信來竊取數據或憑證。 

 

數據洩露的影響 

 

數據洩露會擾亂業務運營，可能導致組織收入損失。此外，它們還會對組織的聲譽產生不利影響，進而影響其市場地位和股價。當個人數據遭到洩露時，公司不僅因法律處罰和賠償而面臨經濟損失，還會失去客戶的信任。數據洩露的影響根據其程度和受影響方的不同而有所不同。在高度監管的行業中，洩露後果可能特別嚴重，組織可能面臨巨額罰款。 

 

 

遇到數據洩露時應如何處理？ 

 

在應對數據洩露之前，組織應瞭解適用的法規，以確保符合法律要求。 請注意，本文內容不構成法律建議的來源。 亞太地區的一些法規包括：

• 新加坡：組織必須遵守《個人數據保護法》（PDPA）。 在發生數據洩露時，組織有30個自然日來評估洩露是否需要通報。 根據《2021年個人數據保護（數據洩露通報）條例》（PDP（DBN） Regulations 2021），一旦認為洩露需要通報，必須在3個自然日內通知個人數據保護委員會（PDPC）。
• 香港特別行政區：組織必須遵守《個人資料（私隱）條例》（PDPO），並建議遵循個人資料私隱專員公署（PCPD）發佈的《指引》。 該《指引》提供了框架，以協助組織預防數據洩露和應對數據洩露。
• 馬來西亞：2010年《個人數據保護法》（PDPA）涵蓋了個人數據以及在商業交易中處理個人數據的規定。 數據洩露通報不是強制性的，但可以通過個人數據保護專員（PDPC）發佈的《數據洩露通報表》進行通報。
• 中國：組織必須遵守《網絡安全法》（CSL）、《數據安全法》（DSL）和《個人信息保護法》（PIPL）。 根據這些法律，安全事件必須報告給相關主管部門，如中國國家互聯網信息辦公室（CAC），並在必要時通知受影響個人。
• 印尼：2022年第27號《個人數據保護法》規定，組織必須在發現數據洩露后的72小時內通知政府和受影響個人。
• 澳大利亞：根據1988年《隱私法》的一部分，《可通報數據洩露》（NDB）計劃要求澳大利亞資訊專員辦公室（OAIC）和受影響個人及時獲得有關符合條件的數據洩露的通知。
• 韓國：根據《個人信息保護法》（PIPA），組織必須在發現洩露后的24小時內通知數據主體，如果洩露影響到1000個或更多數據主體，則必須通知個人信息保護委員會（PIPC）。 

 

各地的指南各不相同，包括通報標準、時間框架和處罰措施。 不同行業也面臨特定的數據洩露法規。 例如，關鍵信息基礎設施的所有者必須通知新加坡網絡安全局（CSA）的網絡安全專員，而處理歐盟（EU）居民個人資料的組織必須遵守《通用數據保護條例》（GDPR）等法規。 除了合規義務外，組織還應制定明確的數據洩露應對策略，以便對任何涉及潛在數據洩露的網絡安全事件做出迅速有效的反應。 

 

新加坡PDPC關於“管理和通報資料洩露”的指南概述了CARE框架，該框架包括組織在遭遇資料洩露時可採取的四個步驟： 

 

• 控制：與任何事件響應協議一樣，必須控制資料洩露，以遏制損害並防止威脅升級。
• 評估：下一步涉及組織評估資料洩露的影響及其補救方法，包括評估洩露是否需要通報。
• 通報：一旦確定洩露需要通報，組織必須通知相關實體和受影響個人。不遵守這些資料洩露法律和通報要求可能會導致對組織採取執法行動，並因此產生處罰。
• 評價：CARE框架的最後一步涉及評估資料洩露應對工作，完善和改進策略，以加強對未來資料洩露的防禦。 

 

處理資料洩露是一項複雜的挑戰，要求組織具備強大的技術專長。實際程序超出了上述概述的細節範圍，組織還需要了解許多其他細節。在安信，我們的數字取證和事件響應團隊擅長迅速控制網絡安全事件，有效減少客戶的資料損失和財務影響。 

 

如何防範數據洩露？  

 

制定數據洩露管理計劃 

 

除了遵守法律法規外，組織還應實施數據洩露管理計劃。 該計劃旨在確保對數據洩露的準備充分、有效應對，並增強與利益相關者的信任。 參考個人資料保護委員會（PDPC）的數據保護管理計劃（DPMP），它概述了組織在建立堅實數據保護基礎時可考慮的四個步驟。 

 

採取數據安全措施  

 

除了制定明確的數據洩露管理計劃和回應協定外，組織還可考慮實施以下策略以加強數據洩露防範： 

 

• 數據分類：指將數據組織成相關類別，以便更容易使用和保護。 此過程可根據正在檢索、傳輸或複製的數據類型促進適當的安全回應。
• 數據保護：保護敏感數據免受損壞、洩露或丟失，以及組織恢復數據的能力。 這可通過使用安全工具來實現，如終端安全解決方案、數據丟失防護（DLP）系統和數據加密工具。
• 採用零信任原則：通過應用基於身份的控制來實施零信任架構（ZTA），不斷驗證訪問網絡資源的每個使用者和設備，並根據其職責強制執行嚴格的最小許可權訪問。 網絡分段也至關重要，可限制未經授權的訪問並防止橫向移動。 有效的零信任措施需要全面的數據可見性，這可由安全資訊和事件管理（SIEM）以及身份和訪問管理（IAM）解決方案等技術提供支援。 

第三方風險管理 

 

鑒於攻擊者針對第三方的威脅日益增加，組織在選擇供應商或合作夥伴時應進行網絡安全風險評估。監控第三方的安全控制措施可確保資料安全，並及時解決出現的任何漏洞至關重要。此外，組織應在合同中納入網絡安全資料洩露條款，並限制提供給第三方的資料，以最大限度降低資料洩露風險。 

 

 

全方位數據保護：安信的數據丟失防護套件 

 

無論數據洩露是意外還是故意為之，都可能導致巨額罰款。 增強的數據安全態勢有助於減輕此類財務風險對組織的影響。 

 

我們的數據丟失防護（DLP）套件使組織能夠確保終端、網絡、存儲和雲中的使用中數據、傳輸中數據和靜態數據的安全。 它可檢測和防止潛在的關鍵數據洩露或洩露。 除了保護敏感數據和智慧財產權外，我們還確保您的組織遵守各地的個人資訊和數據保護法規和通用數據保護條例（GDPR）的要求。 我們的DLP流程不斷完善，以應對不斷演變的威脅環境，確保您的組織免受數據洩露和暴露的侵害。 

 

了解更多關於我們數據丟失防護（DLP）套件。