什么是数据泄露？ 

 

数据泄露是指任何网络安全事件，其中个人或组织的敏感或机密数据被未经授权的人员访问。这些数据包括个人身份信息（PII）、私人凭证、知识产权以及其他机密信息。需要注意的是，并非所有网络安全事件或网络攻击都构成数据泄露，例如拒绝服务（DoS）攻击就不属于此类。  

 

 

数据泄露是如何发生的？ 

 

数据泄露主要通过网络安全事件来破坏系统或网络，从而获得未经授权的访问权限。常见的数据泄露攻击途径包括： 

 

• 钓鱼攻击：这是一种社会工程学手段，通过合法邮件、消息或电话诱骗个人泄露敏感信息或私人凭证。
• 恶意软件感染：指攻击者设计的用于感染设备、干扰操作或破坏系统的程序或代码。攻击者可能会出于未经授权的目的提取敏感数据，或在勒索软件的情况下要求赎金。
• 系统漏洞：指攻击者可以利用的系统弱点。这些弱点包括系统配置错误或不安全的网络和设备。
• 内部威胁：组织内部的恶意或疏忽人员可能会故意或意外地滥用其对系统和数据的访问权限。因此，敏感信息可能会被泄露，或者为攻击者创造可乘之机。
• 供应链攻击：当攻击者瞄准第三方系统（如组织的供应商、厂商或托管服务提供商）以获取对组织数据的访问权限时，就会发生供应链攻击。
• 中间人（MITM）攻击：通过中断受害者和目标服务器之间的通信来窃取数据或凭证。 

 

数据泄露的影响 

 

数据泄露会扰乱业务运营，可能导致组织收入损失。此外，它们还会对组织的声誉产生不利影响，进而影响其市场地位和股价。当个人数据遭到泄露时，公司不仅因法律处罚和赔偿而面临经济损失，还会失去客户的信任。数据泄露的影响根据其程度和受影响方的不同而有所不同。在高度监管的行业中，泄露后果可能特别严重，组织可能面临巨额罚款。 

 

 

遇到数据泄露时应如何处理？ 

 

在应对数据泄露之前，组织应了解适用的法规，以确保符合法律要求。请注意，本文内容不构成法律建议的来源。亚太地区的一些法规包括：

• 新加坡：组织必须遵守《个人数据保护法》（PDPA）。在发生数据泄露时，组织有30个自然日来评估泄露是否需要通报。根据《2021年个人数据保护（数据泄露通报）条例》（PDP(DBN) Regulations 2021），一旦认为泄露需要通报，必须在3个自然日内通知个人数据保护委员会（PDPC）。
• 香港特别行政区：组织必须遵守《个人资料（私隐）条例》（PDPO），并建议遵循个人资料私隐专员公署（PCPD）发布的《指引》。该《指引》提供了框架，以协助组织预防数据泄露和应对数据泄露。
• 马来西亚：2010年《个人数据保护法》（PDPA）涵盖了个人数据以及在商业交易中处理个人数据的规定。数据泄露通报不是强制性的，但可以通过个人数据保护专员（PDPC）发布的《数据泄露通报表》进行通报。
• 中国：组织必须遵守《网络安全法》（CSL）、《数据安全法》（DSL）和《个人信息保护法》（PIPL）。根据这些法律，安全事件必须报告给相关主管部门，如中国国家互联网信息办公室（CAC），并在必要时通知受影响个人。
• 印度尼西亚：2022年第27号《个人数据保护法》规定，组织必须在发现数据泄露后的72小时内通知政府和受影响个人。
• 澳大利亚：根据1988年《隐私法》的一部分，《可通报数据泄露》（NDB）计划要求澳大利亚信息专员办公室（OAIC）和受影响个人及时获得有关符合条件的数据泄露的通知。
• 韩国：根据《个人信息保护法》（PIPA），组织必须在发现泄露后的24小时内通知数据主体，如果泄露影响到1000个或更多数据主体，则必须通知个人信息保护委员会（PIPC）。 

 

各地的指南各不相同，包括通报标准、时间框架和处罚措施。不同行业也面临特定的数据泄露法规。例如，关键信息基础设施的所有者必须通知新加坡网络安全局（CSA）的网络安全专员，而处理欧盟（EU）居民个人数据的组织必须遵守《通用数据保护条例》（GDPR）等法规。除了合规义务外，组织还应制定明确的数据泄露应对策略，以便对任何涉及潜在数据泄露的网络安全事件做出迅速有效的反应。 

 

新加坡PDPC关于“管理和通报数据泄露”的指南概述了CARE框架，该框架包括组织在遭遇数据泄露时可采取的四个步骤： 

 

• 控制：与任何事件响应协议一样，必须控制数据泄露，以遏制损害并防止威胁升级。
• 评估：下一步涉及组织评估数据泄露的影响及其补救方法，包括评估泄露是否需要通报。
• 通报：一旦确定泄露需要通报，组织必须通知相关实体和受影响个人。不遵守这些数据泄露法律和通报要求可能会导致对组织采取执法行动，并因此产生处罚。
• 评价：CARE框架的最后一步涉及评估数据泄露应对工作，完善和改进策略，以加强对未来数据泄露的防御。 

 

处理数据泄露是一项复杂的挑战，要求组织具备强大的技术专长。实际程序超出了上述概述的细节范围，组织还需要了解许多其他细节。在安信，我们的数字取证和事件响应团队擅长迅速控制网络安全事件，有效减少客户的数据损失和财务影响。 

 

如何防范数据泄露？ 

 

制定数据泄露管理计划 

 

除了遵守法律法规外，组织还应实施数据泄露管理计划。该计划旨在确保对数据泄露的准备充分、有效应对，并增强与利益相关者的信任。参考个人资料保护委员会（PDPC）的数据保护管理计划（DPMP），它概述了组织在建立坚实数据保护基础时可考虑的四个步骤。 

 

采取数据安全措施 

 

除了制定明确的数据泄露管理计划和响应协议外，组织还可考虑实施以下策略以加强数据泄露防范： 

 

• 数据分类：指将数据组织成相关类别，以便更容易使用和保护。此过程可根据正在检索、传输或复制的数据类型促进适当的安全响应。
• 数据保护：保护敏感数据免受损坏、泄露或丢失，以及组织恢复数据的能力。这可通过使用安全工具来实现，如终端安全解决方案、数据丢失防护（DLP）系统和数据加密工具。
• 采用零信任原则：通过应用基于身份的控制来实施零信任架构（ZTA），不断验证访问网络资源的每个用户和设备，并根据其职责强制执行严格的最小权限访问。网络分段也至关重要，可限制未经授权的访问并防止横向移动。有效的零信任措施需要全面的数据可见性，这可由安全信息和事件管理（SIEM）以及身份和访问管理（IAM）解决方案等技术提供支持。 

第三方风险管理 

 

鉴于攻击者针对第三方的威胁日益增加，组织在选择供应商或合作伙伴时应进行网络安全风险评估。监控第三方的安全控制措施可确保数据安全，并及时解决出现的任何漏洞至关重要。此外，组织应在合同中纳入网络安全数据泄露条款，并限制提供给第三方的数据，以最大限度降低数据泄露风险。 

 

 

全方位数据保护：安信的数据丢失防护套件 

 

无论数据泄露是意外还是故意为之，都可能导致巨额罚款。增强的数据安全态势有助于减轻此类财务风险对组织的影响。 

 

我们的数据丢失防护（DLP）套件使组织能够确保终端、网络、存储和云中的使用中数据、传输中数据和静态数据的安全。它可检测和防止潜在的关键数据泄露或泄露。除了保护敏感数据和知识产权外，我们还确保您的组织遵守各地的个人信息和数据保护法规和通用数据保护条例（GDPR）的要求。我们的DLP流程不断完善，以应对不断演变的威胁环境，确保您的组织免受数据泄露和暴露的侵害。 

 

了解更多关于我们数据丢失防护（DLP）套件。