如何准备和应对数据隐私泄露

在我开始介绍网络安全之前，我认为“违规”一词只有一个含义——攻击者从计算机系统中窃取了数据。我还认为这个词的所有不同版本都意味着同样的事情。

但是，从那以后，我了解了数据泄露、数据泄露和数据隐私泄露之间的细微差别和差异。区别很重要。对违规行为分类不当可能会导致在不知不觉中违反法律或不遵守法规。

隐私法规，例如通用数据保护条例 (GDPR) 或特定州的法律，规定了组织必须如何应对隐私泄露。不正确遵守可能意味着罚款和更多的负面宣传。根据Gartner的说法，到2023 年，全球 65% 的人口的个人数据将受到现代隐私法规的保护，这比 2020 年的 10% 有了大幅增长。

违反、数据泄露或数据隐私泄露？

遵守数据隐私法规取决于正确理解条款。

通用术语“破坏”或安全破坏意味着未经授权访问计算机系统的人已经这样做了。但是，它仅指访问系统的行为，而不是真正窃取数据的行为。

在数据泄露中，信息已从被破坏的系统中被访问——并且很可能被窃取。

在数据隐私泄露中，被访问的个人信息是个人身份信息 (PII)。国土安全部将 PII 定义为允许直接或间接推断个人身份的任何信息。这包括与该人链接或可链接的任何信息。示例包括敏感的财务和个人信息。它可能是社会保障信息、银行帐号、个人健康数据或信用卡信息。

面临数据隐私泄露的公司必须遵守所有相关隐私规则，以保护每个人被盗信息。例如，如果单个客户居住在欧盟，公司必须遵循 GDPR 概述的报告协议。许多公司为面临数据隐私泄露的消费者提供身份盗窃保护、免费信用报告和信用监控。

更令人困惑的是，媒体和消费者经常使用术语数据泄露来指代数据隐私泄露和一般数据泄露。但是，从隐私监管的角度来看，区别很重要。如果攻击者访问专有的公司数据，例如即将推出的产品的信息，那就是数据泄露。另一方面，如果他们窃取员工的社会安全号码，则该事件属于数据隐私泄露。

探索 2022 年数据泄露成本报告

违规涉及漫长的恢复和昂贵的罚款

减少数据隐私泄露后损害的最大关键之一是响应速度。为了响应数据主体访问请求 (DSAR)，许多组织使用自动化，例如SOAR 解决方案。借助这项技术，公司可以通过自动化改善团队合作并加快响应速度。最重要的是，这些平台确保了可重复和一致的流程。在突破后的高压力时期，这些通常是一个挑战。 

许多组织认为，在他们遵循响应协议后，最严重的违规影响已经过去。但 SEC 可能仍会认定受害者有过错并处以巨额罚款。First American Financial Corporation因泄露敏感客户信息的漏洞被罚款 487,616 美元。对总部位于伦敦的出版公司Pearson plc的影响更大，该公司同意支付 100 万美元以解决其在 2018 年网络入侵方面误导投资者的指控。数据隐私泄露涉及数百万学生记录。它包括出生日期和电子邮件地址。该组织没有适当的披露控制和流程。

除了罚款之外，违规行为的非业务影响也可能很大。IBM 2022 年数据泄露成本报告称，客户流失、停机时间和新业务获取成本平均为 142 万美元。其他成本包括检测和升级（144 万美元）、违规后响应（114 万美元）和通知成本（270,000 美元）。

防止隐私泄露

组织需要强大的隐私政策、流程和工具来管理数据隐私并减少漏洞。通过正确识别和使用处理敏感数据的特定规则，您可以更好地管理数据。这对于那些使用混合云环境的人来说尤其重要，因为他们必须确保每个环境都符合标准。

在某些情况下，单独的团队处理隐私和安全问题。网络安全工作者专注于保护数据。隐私团队致力于数据政策，例如收集、存储和删除。然而，就实践和法规而言，安全和隐私是相互交织的。通过确保两者协同工作，组织既可以降低泄露风险，又可以在发生隐私泄露时改进响应。

IBM 2021 年数据泄露成本将零信任称为降低泄露成本的最有效方法之一。拥有成熟零信任流程的公司报告称，与没有零信任的公司相比，每次违规造成的损失减少了 176 万美元。零信任框架的原则和策略降低了漏洞的脆弱性和影响。例如，多因素身份验证降低了未经授权访问的可能性，而识别和访问管理 (IAM) 减少了对内部攻击的访问。此外，微分段限制了违规造成的损害，因为攻击者只能访问网络和数据的一小部分。

许多专家表示，组织是否会面临数据隐私泄露问题不是问题，而是何时会发生的问题。减少漏洞是数据隐私泄露准备的第一步。准备好如何应对违规行为。这样，您可以限制和减少成本和声誉损失。