Facebook丑闻下的警示:我们该如何保护数据安全?!

原创 2018年10月22日 澳洲会计师公会



随着媒体曝光了政治数据分析公司Cambridge Analytica在用户一无所知的情况下获取了约8,700万Facebook用户的数据,数据安全问题再次成为企业必须优先关注的重点。


不同于之前高调曝光的数据丑闻,此次事件并不属于数据泄漏,也没有黑客破解安全系统。据Facebook称,实际情况是剑桥大学的某学者“以合法的方式”获取了这些信息,但后来却违反了数据隐私政策,将其转交给了剑桥分析。


不过,该事件的影响绝对不容小觑:丑闻爆出后,Facebook的股价大幅下挫,而Cambridge Analytica更是在2018年5月宣告破产。尽管这起事件涉及的数据规模对大多数企业而言并不算大,但损失依然非常严重,尤其是对于像Facebook这样以客户信任为基础的企业。



因此,许多专业人士和企业主将会,

或者说应当会质疑:

客户的数据到底有多安全?


强制性数据泄露通报


企业应当高度重视数据安全还有另一个原因——合规性。澳大利亚的《数据泄露通报制度》(Notifiable Data Breaches (NDB) legislation)已于今年2月正式生效,而在欧洲开展业务的公司还必须遵循欧盟的《一般数据保护条例》(GDPR),后者于2018年5月生效。


澳大利亚新的数据泄露通报计划强制要求特定的组织机构必须披露数据泄露事件。


澳大利亚信息专员办公室(OAIC)表示:

任何可能对个体造成严重伤害的个人信息数据泄漏,都必须向澳大利亚信息委员会办公室以及受影响的个体报告。


《数据泄露通报制度》适用于所有年营业收入超过300万澳元的组织机构,以及特定类型的公司,如从事个人信息交易的公司。不过,即便在该制度适用范围之外的公司或机构,也应该采取最为严格的数据安全措施,让企业能够及时发现数据泄露事件并快速应对,从而尽可能减少对企业及其客户的潜在损害。


识别敏感数据


然而,要确保数据安全并非易事需要应对的第一个挑战就是识别公司持有的敏感数据及其存储位置。


公司内部有多少电子表格含有敏感的业务或客户数据?


你或许无法确定,当然这种情况并不鲜见,许多公司都有这样的问题。每张电子表格都有可能造成严重的数据泄露,例如不小心弄丢了含有这类文件的笔记本电脑,或者有员工无意间将这类文件发送给第三方。其实,在2015年就发生过类似事件,新西兰卫生部的一位官员不小心将一份含有24,000位新西兰公民医疗信息的电子表格发送了出去。


如何才能识别公司内部的敏感数据?


虽然识别敏感数据没有捷径可走,但科技确实可以提供相应的帮助。例如,Covata的CipherPoint数据探索工具可以搜索整个企业的文件以寻找信用卡卡号、患者信息、个人身份识别信息以及知识产权等定制数据。


云服务的日益普及同样会导致敏感数据的存储位置难以确定。来自思科(Cisco)以及Skyhigh等科技公司的云访问安全代理(CASB)软件可以帮助客户确定大型组织机构中有谁使用了哪些云服务。


尽管这些工具非常有用,但它们仅仅是能够对组织内部每个人使用的每台电脑和设备进行全面的数据审计,并非完整的解决方案。


如何确保公司的数据安全


一旦找到了公司的敏感数据,你就可以寻找合适的解决方案来确保企业数据安全,但这绝非易事,因为有太多可能发生数据泄露的渠道。除了恶意软件和其他外部威胁,笔记本以及其他设备还可能会丢失或被盗。电子邮件,尤其是较长的电子邮件链,则是数据泄露的另一个常见来源。


技术在这方面同样可以起到辅助作用。


杀毒软件和防火墙是不错的入门选择,但许多组织仍在寻找创新的解决方案。例如,火眼(FireEye)和Cybereason等公司推出的端点检测和响应(EDR)软件可利用机器学习等先进技术来监控设备。


对于大型组织,赛门铁克(Symantec)和Trustwave等软件提供商的数据泄露防护(DLP)解决方案可以为其提供监测网络数据和流量的工具和技术,从而防止组织泄露敏感信息。


从海量的安全解决方案中选出合适的方案并非易事,但澳大利亚国防情报局(Australian Signals Directorate)高度重视的基本八条(Essential Eight)网络安全策略将对组织数据的保护大有助益。对于微型企业和个体经营者,我们的隐私保护建议同样有助于确保你及客户的数据安全。


当然,技术同样不是完整的解决方案。正如每位网络安全专家建议的那样,数据安全不再只是一项IT职能,而应是持续进行的计划,涉及组织内部的战略、流程、政策以及员工培训,从而尽量降低数据泄露的风险,并最大程度地提升快速应对数据泄露事件的能力。


数据安全:这是个信任问题


Facebook与Cambridge Analytica的丑闻对于这家社交媒体巨头未必会有持续的影响,但大多数企业不具备能够经受住这种程度打击的规模和市场地位,因此,这是一个有关不该如何使用(或允许使用)客户数据的很好的教训。至于你自己的隐私,你必须检查自己的Facebook隐私设置,Facebook为了方便用户检查自己的隐私设置,也在近期对该模块进行了更新。


将数据分析功能用作商业工具确实极具诱惑力,但应记住这些数据是来自于信任公司的客户,并且这种信任一旦失去,就很难再重新获得。


更多精彩内容请点击 

邀请函 | 澳洲会计师公会邀您共讨“智能时代下的财会发展新思维”

澳公会科普时间 | 第二弹来啦!他们是“改变世界的会计师”!

收藏 已赞