数据泄露频发，各国如何进行数据保护？

互联网+ 赵静零壹财经 2019-10-22 阅读：17404

关键词：数据保护 数据泄露

“思考360，需求360”

全球数字科技蓬勃发展，以大数据、人工智能、云计算等为代表的前沿科技，正深刻重塑和赋能各行各业。零壹财经将不定期遴选、编译相关海外精品文章，分享海外数字科技前沿动态。

随着互联网和技术的不断发展，人类实现了深度网络互联，但伴随而来的黑客攻击和数据泄露事件也频繁发生，令企业和用户头疼不已，也引发整个社会越来越多的关注。

根据最近的外媒报道，facebook与YouTube前段时间分别因违反美国数据隐私法和《儿童在线隐私保护法》而被联邦贸易委员会（FTC）处以50亿美元和1.7亿美元的罚款；意大利和荷兰的Escort因论坛被黑，用户数据被公开出售；卫生组织Compass Health 10月15日发现的数据泄露事件可能会暴露100万人的医疗数据；俄罗斯媒体10月17日则报道，来自俄罗斯的互联网服务提供商Beeline的870万客户的数据正在网上出售和共享。

一系列的数据泄露事件表明，全球各行业仍然正在遭受数据泄露的困扰，相关公司和用户也正因此而遭受巨大的损失。

数据泄露屡现不鲜

据Risk Based Security在8月份发布的数据泄露报告，2019年上半年数据泄露事件数量同比增长54%，数据泄露量也同比增长52%。其中医疗行业仍是数据泄露的“重灾区”，今年上半年该行业数据泄露事件高达224次，其次是金融和保险行业，泄露事件为183次。

图1 近8年数据泄露事件数量及数据泄漏数量变化图

资料来源：Risk Based Security：《2019 MidYear Data Breach QuickView Report》

据IBM于9月份发布的《2019 年数据泄露成本调研》显示，参与调查的500多家企业的平均数据泄露成本已经达到392万美元，较2018年的386万美元上升了1.6%，数据泄露的平均规模达到25,575条，较上年增长3.9%，平均每条数据泄露的成本为150美元，较去年的148美元也有所上涨。从整个行业来看，数据泄露成本最高的行业依旧是医疗保健行业，平均水平达到650万美元。

而从造成数据泄露的原因来看，51%的数据泄露缘于恶意或涉及犯罪的网络攻击，系统漏洞造成的数据泄露占比为25%，人为操作原因占比为24%，其中恶意或涉及犯罪的网络攻击给受访企业所造成的损失高达445万美元，较其他原因造成的损失高出100多万美元。就地区来看，美国数据泄露所造成的损失达819万美元，高出全球平均水平两倍多。

各国立法加强数据保护

数据泄露事件频出，各国政府也开始陆续通过立法加强数据保护。

2012年，欧盟推出《欧盟通用数据保护条例》（General Data Protection Regulation，GDPR），为全球线上数据保护树立了行业标准，紧接着各国相继出台法律向GDPR靠拢，中国也在今年4月份发布的《中国人民银行2019年规章制定工作计划》中将《个人金融信息（数据）保护试行办法》列在其中。各国政府的重视有助于敦促企业提高对客户数据的保护意识，为数据隐私的保护工作提供了法律保障。

表1 部分国家数据安全法律法规

资料来源：公开资料整理，零壹智库

数据泄露如何解决？

对于数据和隐私的保护问题，英特尔公司安全生态系统战略与开发总经理Jim Gordon近期在Security Week上发表的文章中，提出了“思考360，需求360”的解决方案框架。

所谓思考360，指的是全面考虑可能存在的攻击来源，包括来自对手的攻击，来自超权限的攻击，来自员工和内部同事的攻击，甚至是自身原因造成的攻击，如果漏掉了其中任何一项因素，那么这项思考工作就不算完成。

对于这套框架的具体执行，Jim Gordon在Security Week上的另一篇文章中指出，可以从以下几方面进行：

一、保持合理的硬件刷新率，以保证公司的基础架构（从PC到电话再到服务器）保持相当新的状态。

二、保持现代操作系统，使用评级较高的端点安全解决方案，定期下载并安装所有修补程序/更新，操作系统、硬件和关键业务软件的补丁对于安全性也至关重要。

三、遵守良好的密码更换习惯，并对其进行现代化管理，这也是有效防止数据和隐私泄露的方法。

四、使用两因素（或更多）身份验证（或称为“2FA”），这是针对网络安全保护的明智之举，可以有效减少数据和隐私的违规行为。

五、备份是针对勒索软件的必要措施。Jim Gordon指出，必须坚持的一项重要工作是“无限制副本”，即每次更改文件时，服务都会保存文件的副本，而不仅仅是最后一个副本，这有利于公司在遭受勒索软件攻击时用于确定感染发生的确切时间。

Jim Gordon还强烈建议使用本地文件备份服务器（“网络附加存储”或NAS）作为备份的备份，因为在发生勒索事件后从云服务中下载数据需要一定的时间，在这段时间内有了本地备份则可以继续运行一段时间。但同时，他认为不能只进行本地备份，因为可能会遭受人身伤害类（例如火灾）的攻击，这种情况下的本地备份将不能发挥作用。

此外，关于有效降低数据泄露成本的解决方法，IBM在《2019 年数据泄露成本调研》中表示，可以通过事件响应团队的构建来预防数据泄露事件的发生。

调研报告指出，拥有事件响应团队并对事件响应计划进行了全面测试的企业，平均数据泄露成本要比二者皆无的企业少123 万美元。另外，IBM在报告中还提出，根据Ponemon Institute的研究结果，企业应对数据泄露事件的响应速度和效率将对总体成本产生重大影响，因此，可以通过提高响应能力来降低数据泄露的成本。

专题推荐：金融毛细血管

零壹智库推出“金融毛细血管系列策划”，通过系列文章、系列视频、系列报告、系列研讨会和专著，系统呈现“金融毛细血管”的新状态、新功能、新价值、新定位。