官方通報(bào)一數(shù)據(jù)安全違法案件遭罰款100萬(wàn),數(shù)據(jù)泄露為何難以避免? |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2023-06-30 瀏覽次數(shù): |
近日,公安部網(wǎng)安局通報(bào)一起浙江公安網(wǎng)安部門(mén)適用《數(shù)據(jù)安全法》對(duì)違法單位罰款100萬(wàn)元的典型案例。 根據(jù)報(bào)道,2023年3月,浙江溫州公安網(wǎng)安部門(mén)在查處一起涉數(shù)據(jù)安全違法案件時(shí)發(fā)現(xiàn)問(wèn)題。浙江某科技有限公司為浙江某縣級(jí)市政府部門(mén)開(kāi)發(fā)運(yùn)維信息管理系統(tǒng)的過(guò)程中,在未經(jīng)建設(shè)單位同意的情況下,將建設(shè)單位采集的敏感業(yè)務(wù)數(shù)據(jù)擅自上傳至租用的公有云服務(wù)器上,且未采取安全保護(hù)措施,造成了嚴(yán)重的數(shù)據(jù)泄露。浙江溫州公安機(jī)關(guān)根據(jù)《數(shù)據(jù)安全法》第四十五條的規(guī)定,對(duì)公司及項(xiàng)目主管人員、直接責(zé)任人員分別作出罰款100萬(wàn)元、8萬(wàn)元、6萬(wàn)元的行政處罰。針對(duì)建設(shè)單位失管失察、未履行數(shù)據(jù)安全保護(hù)職責(zé)的情況,當(dāng)?shù)丶o(jì)委監(jiān)委依照《溫州市黨委(黨組)網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施細(xì)則》規(guī)定,對(duì)建設(shè)單位主要負(fù)責(zé)同志、部門(mén)負(fù)責(zé)人等4人分別作出批評(píng)教育、誡勉談話和政務(wù)立案調(diào)查等追究問(wèn)責(zé)決定。 該案的處罰力度引發(fā)普遍關(guān)注,數(shù)據(jù)安全的重要性再一次警醒行業(yè)。《數(shù)據(jù)安全法》第四十五條的法律責(zé)任針對(duì)的是不履行本法第二十七條、第二十九條、第三十條規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù)的開(kāi)展數(shù)據(jù)處理活動(dòng)的組織、個(gè)人。對(duì)應(yīng)來(lái)看,這幾條規(guī)定明確的是數(shù)據(jù)安全保護(hù)義務(wù):
從滿足合規(guī)以及確保讓數(shù)據(jù)安全創(chuàng)造價(jià)值的業(yè)務(wù)目標(biāo)出發(fā),數(shù)據(jù)處理活動(dòng)過(guò)程的安全性是當(dāng)前數(shù)據(jù)安全建設(shè)的重點(diǎn)和難點(diǎn)。數(shù)據(jù)在組織內(nèi)部因暢通無(wú)阻且缺乏監(jiān)控,內(nèi)部人員的種種無(wú)意識(shí)違規(guī)行為容易造成越權(quán)濫用、無(wú)序擴(kuò)散、存儲(chǔ)混亂等風(fēng)險(xiǎn),惡意泄露以及被攻擊竊取的風(fēng)險(xiǎn)也在不斷增加。由于傳統(tǒng)的網(wǎng)絡(luò)安全機(jī)制聚焦在內(nèi)外部邊界部署一系列檢測(cè)、監(jiān)控、攔截等感知和處置措施,缺乏對(duì)于數(shù)據(jù)在內(nèi)部流動(dòng)的可見(jiàn)性,以及對(duì)數(shù)據(jù)全生命周期的形態(tài)、位置、副本等情況的變化跟蹤,存在很大的數(shù)據(jù)防護(hù)盲區(qū),而且發(fā)生了數(shù)據(jù)泄露等安全事故之后,也難以溯源分析出流轉(zhuǎn)路徑和事件全貌。 為了對(duì)抗數(shù)據(jù)時(shí)代的數(shù)據(jù)安全挑戰(zhàn),需要新的防護(hù)理念和安全架構(gòu),數(shù)據(jù)安全的左移趨勢(shì)愈發(fā)強(qiáng)烈,需要讓數(shù)據(jù)在存儲(chǔ)、應(yīng)用以及終端中都能保證數(shù)據(jù)被安全地存儲(chǔ)、使用和共享,既要滿足合規(guī)要求又要做到真正的風(fēng)險(xiǎn)識(shí)別和可控,這需要將數(shù)據(jù)防護(hù)措施從傳統(tǒng)的邊界攔截延展到數(shù)據(jù)運(yùn)營(yíng)全流程。更早地識(shí)別并標(biāo)記組織內(nèi)的數(shù)據(jù)資產(chǎn),并且對(duì)數(shù)據(jù)流動(dòng)的軌跡、狀態(tài)的變化進(jìn)行記錄成為有力的突破手段,安全策略應(yīng)該依據(jù)數(shù)據(jù)本身的風(fēng)險(xiǎn)變動(dòng)而做出細(xì)粒度的、動(dòng)態(tài)的控制。 數(shù)安行基于對(duì)以上挑戰(zhàn)的觀察思考和探索實(shí)踐得出,通過(guò)在數(shù)據(jù)運(yùn)營(yíng)中內(nèi)嵌安全屬性的方式,可以實(shí)現(xiàn)數(shù)據(jù)安全左移的技術(shù)落地。作為是一種自動(dòng)化的安全,其基本思想即是在數(shù)據(jù)運(yùn)營(yíng)的第一現(xiàn)場(chǎng)持續(xù)地對(duì)數(shù)據(jù)處理和使用全流程進(jìn)行追蹤,這樣才能監(jiān)測(cè)到數(shù)據(jù)變形處理流轉(zhuǎn)的整個(gè)過(guò)程,直面數(shù)據(jù)的多態(tài)性和多副本性,發(fā)掘數(shù)據(jù)風(fēng)險(xiǎn)的真正源頭,實(shí)現(xiàn)數(shù)據(jù)安全能力的延展。 著眼到落地實(shí)施層面,需要將該安全思維產(chǎn)品化,引用零信任理論打造安全平臺(tái),以人工智能為核心驅(qū)動(dòng),通過(guò)對(duì)數(shù)據(jù)業(yè)務(wù)全流程進(jìn)行無(wú)改造映射,在不改變網(wǎng)絡(luò)架構(gòu)、不改造業(yè)務(wù)的情況下,從數(shù)據(jù)本體防護(hù)角度出發(fā),對(duì)敏感數(shù)據(jù)內(nèi)容及使用環(huán)境進(jìn)行持續(xù)的檢測(cè)分析,對(duì)于使用數(shù)據(jù)的主體用戶也會(huì)進(jìn)行身份角色驗(yàn)證和持續(xù)的風(fēng)險(xiǎn)評(píng)估,讓平臺(tái)擁有了對(duì)用戶身份及授權(quán)設(shè)備進(jìn)行管理和雙重驗(yàn)證的能力。 有了對(duì)敏感數(shù)據(jù)和用戶身份及風(fēng)險(xiǎn)的檢測(cè)識(shí)別能力,就可以準(zhǔn)確地識(shí)別內(nèi)部的擴(kuò)散風(fēng)險(xiǎn)和違規(guī)濫用風(fēng)險(xiǎn)。默認(rèn)所有的人和環(huán)境都是不可信的,而且信任狀態(tài)也是持續(xù)變化的,基于這種持續(xù)的、動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估,才能真正實(shí)現(xiàn)自適應(yīng)的安全防護(hù)。最終是旨在提升數(shù)據(jù)運(yùn)營(yíng)過(guò)程中數(shù)據(jù)自身的安全性,保證數(shù)據(jù)運(yùn)營(yíng)過(guò)程中數(shù)據(jù)的安全,促進(jìn)數(shù)據(jù)快速流轉(zhuǎn)及安全協(xié)作共享,防范內(nèi)部數(shù)據(jù)違規(guī)濫用風(fēng)險(xiǎn)。 對(duì)應(yīng)于上文《數(shù)據(jù)安全法》提出的數(shù)據(jù)安全保護(hù)義務(wù),數(shù)據(jù)安全左移正是建立健全全流程數(shù)據(jù)安全管理制度的落地方針,包括數(shù)據(jù)收集、傳輸、使用、存儲(chǔ)、共享等全生命周期在內(nèi)的數(shù)據(jù)流轉(zhuǎn)跟蹤與管控形成安全閉環(huán)。對(duì)數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估,同樣取決于對(duì)數(shù)據(jù)資產(chǎn)的識(shí)別梳理和其流動(dòng)過(guò)程的動(dòng)態(tài)風(fēng)險(xiǎn)及變化的可見(jiàn)和響應(yīng),該方法對(duì)多源異構(gòu)數(shù)據(jù)使用及變化過(guò)程進(jìn)行標(biāo)注跟蹤,支持?jǐn)?shù)據(jù)使用鏈路的智能聚合及快速溯源,便可實(shí)時(shí)感知數(shù)據(jù)違規(guī)使用及流轉(zhuǎn)風(fēng)險(xiǎn)。 總體而言,涉數(shù)據(jù)處理活動(dòng)的企業(yè)需要與時(shí)俱進(jìn)的數(shù)據(jù)安全策略,價(jià)值在于提供自動(dòng)化的數(shù)據(jù)價(jià)值發(fā)現(xiàn)及數(shù)據(jù)安全服務(wù),實(shí)現(xiàn)隱私數(shù)據(jù)保護(hù)、商業(yè)秘密保護(hù)和數(shù)據(jù)業(yè)務(wù)的有效平衡,幫助管理跟蹤多種類(lèi)型、各種來(lái)源的個(gè)人隱私數(shù)據(jù)及商業(yè)數(shù)據(jù),促進(jìn)各類(lèi)數(shù)據(jù)角色的跨職能協(xié)作,滿足數(shù)據(jù)使用的法律合規(guī)要求,防范內(nèi)部數(shù)據(jù)違規(guī)濫用風(fēng)險(xiǎn),讓數(shù)據(jù)安全地創(chuàng)造價(jià)值。 |
上一篇:《中國(guó)高校信息化發(fā)展報(bào)告 (2021)》發(fā)布 下一篇:2023年6月30日聚銘安全速遞 |