数据泄露:应该怪谁?

文摘   2024-07-31 16:28   广东  

2023年,全球发生数据泄露事件的频率激增,造成的损失高达8万亿美元。数据泄露不仅给受害企业带来直接的经济损失,还损害了消费者对企业的信任,并在全球范围内推动通货膨胀率的上升。


我们还注意到,包括美国证券交易委员会(SEC)、美国总统办公室在内的监管机构正在实施更严格的问责制度,要求各组织加强对其业务运营中使用数据的保护措施。网络犯罪和网络安全的控制不到位,不仅带来数据丢失和勒索攻击等直接经济损失。还会引发一系列严重后果,包括民事诉讼、监管机构的罚款、客户流失、贷款利率上升和信用评级降低,甚至可能导致网络安全领导层被逮捕。总之,网络犯罪带来的损失不仅限于因数据泄露等安全事件而提出的网络责任保险索赔或为减轻安全危害而支出的费用,它对整个经济生态系统造成了深远的影响。


数据泄露事件引发的经济层面和社会层面的影响,导致当事件发生时,需要有人站出来承担责任。在这样的背景下,首席信息官(CIO)、首席信息安全官(CISO)甚至首席执行官(CEO)可能会因此失去他们工作,并且随着新法规的出台,他们可能面临更严重的法律后果。但是如果我们停下来考虑问题本身,而不是只想着追究个人责任,那么问题的根源其实就摆在我们面前,需要我们共同面对和解决。


 实施加密的挑战

我们知道保护数据的最佳方法是对其进行加密,然而,全球40%的企业在归档和备份上并未采用加密技术,更有58%的企业根本不加密他们的客户数据(分别来自Statista和Entrust的数据)。这就意味着大量的敏感数据未进行加密保护,那么数据遭受盗窃和勒索攻击的可能性更大,由此带来的后果也更为严重。虽然不存在一键解决所有问题的方法,但我们知道,更广泛地采用加密技术将为大多数组织解决很大一部分问题,也将降低网络犯罪的成功率和所造成的影响。


尽管法规要求对数据进行加密,但为什么加密技术的采纳率仍然很低?企业除了有限的安全预算外,还面临着一个挑战,那就是我们收集数据是为了使用数据。传统加密技术无法满足数据在实际使用过程中的需求,数据必须被解密后才能执行创建、读取、更新或删除操作。这意味着,每当我们需要使用一段被加密的数据,例如被定义为个人身份信息(PII)的数据时,我们必须:

  • 将数据解密,从加密状态转换为明文形式

  • 将数据存储在易于访问的存储中(RAM、缓存、CPU、存储或处理服务器)

  • 运行我们的查询或CRUD(创建、读取、更新和删除)操作

  • 重新加密数据并将其存储回安全环境

考虑到当今数字化时代,数据使用的持续性和动态性要求,传统的这一加密过程已被证明是不实用的和低效的。它与大多数操作系统或应用程序的数据处理方式不匹配。


此外,加密过程需要耗费时间和资源,而我们知道时间和资源都是稀缺且非常昂贵的。


例如,像全球移动通信公司这样的全天候运营企业,其客户服务代表需要全年无休地访问账单和处理数据。在这种24小时×7天×365天不间断的业务中,加密、解密、使用、再次加密的过程是不切实际的。没有客户愿意仅仅只是为了询问一个账单上的费用,而被告知因为要解密数据集而等待,甚至还有可能,客服代表告诉客户请耐心等待,因为数据库正处于加密周期。


这不仅仅是电信行业面临的挑战。人寿保险行业同样面临类似的挑战,他们保存了大量客户的敏感数据和隐私数据,这些数据通常与人生中的重大事件相关,因此必须随时可以获取并使用。然而,这种对高可用性的需求与传统加密技术相冲突。我们甚至还没有讨论到医院的场景,在那里,是否能够立即访问患者的健康信息(PHI)甚至关乎挽救生命。


毫无疑问,加密技术的推广应用对于保护数据安全极为重要。然而,如果加密技术不能与数据使用的灵活性和连续性相匹配,那么它的实际应用就难以实现。

加密技术的演变

要彻底保护那些敏感、受控和私密的数据,关键在于应用最先进的加密方法。目前由美国国家标准与技术研究院(NIST)定义的这种加密方法是高级加密标准(AES)256位加密,简称AES-256(更多信息可以参考维基百科的相关条目)。虽然AES-256被誉为是能够抵御量子计算攻击的加密算法,但仍需经过进一步的测试来验证其安全性。NIST目前正在开展竞赛,探索量子安全的密码学技术。


AES-256已成为广泛适用于静止数据或运动中数据(有线传输和无线传输)加密的标准技术。实际上,在这两种情况下,数据本身都是静态的。对静止数据而言,静态是显而易见的,但即使数据在传输中,它也是静态的,真正在运动的是包含数据的载体。例如,发送一个加密文件。文件中的数据在加密时是静态的,当数据到达目的地并被正确解密后,才能被使用。


过去,我们收集和保存数据主要是用于归档或分析,我们只需要对数据在静止状态下和传输过程中进行加密。当然,那时,大多数的企业经营活动也是在实体的线下场所进行的。


现在,我们的社会已经主要转向数字化,几乎所有收集的数据都被我们充分利用。就拿餐厅的运作来说,尽管顾客仍然会亲自到实体店铺去,但餐厅的预订、点餐和支付等操作都已经转移到了线上。餐厅的内部管理系统也无一例外地采用了数字化的方式。


我们现在已经到了需要采用数据加密技术新发展的时刻,那就是可搜索加密。这项技术的进步使得我们能够处理正在使用中的数据,而无需先进行解密。这意味着用户可以在数据保持加密状态下进行搜索,且这一过程不会对现有的应用程序或数据库造成任何干扰或影响。

 展望未来

网络犯罪对世界经济造成的损害已经不容忽视,它不再是简单的商业成本问题。目前我们所采取的保护敏感数据的方法显然不够有效。


随着生成式人工智能(GenAI)的快速发展和普及,传统的安全解决方案可能无法应对随之而来的风险。生成式人工智能(GenAI)技术能够迅速处理和生成大量敏感数据,而这些数据也正面临被攻击或泄露的风险。


面对这一现实,是时候改变应对策略了。能够在数据静止、移动和使用状态下对其进行加密,将极大降低网络犯罪的成功率。网络安全架构师、CIO、CISO和其他网络安全领导者有机会在减少技术复杂性、管理和成本的同时,提高安全防护。


我们可能无法完全阻止威胁行为者入侵网络,但我们可以采取措施阻止其访问最关键的数据资产。通过加密使用中的数据,我们可以重新获得对业务的控制权,因为数据泄露是阻碍业务增长的最大障碍。





文章来源:

https://cloudsecurityalliance.org/blog/2024/07/16/data-breach-accountability-who-s-to-blame

本文翻译来自CSA翻译组:

翻译:曾希雯,CSA大中华区专家

审校:王玮,CSA翻译组轮席组长


会议预告


第八届云安全联盟大中华区大会(The 8th CSA GCR Congress)将于九月底举办敬请期待!


议题征集

CSA GCR Congress是CSA大中华区在中国举办的年度盛会,至今已连续举办七届,大会聚焦前沿技术,引领行业创新;权威发布前沿成果,引领行业风向,我们诚挚地邀请业内专家、学者们来分享经验或案例、交流技术或想法,欢迎申报。


征集方向包括但不限于:云+AI、数据安全、零信任、物联网安全、量子安全、云原生、超融合、金融安全、大模型安全、安全运营实践、网络安全人才培养等。

征集填报链接:https://csagcr2021.mikecrm.com/TJpoaAj


推荐阅读




国际云安全联盟CSA
国际云安全联盟(CSA)是世界领先的中立权威的国际标准组织,创立于2009年,致力于定义和提高业界对云计算和下一代数字技术安全最佳实践的认识。CSA大中华区在中国注册备案,立足于中国,在全球范围与其他国际组织、政府、高校、企业等广泛合作。
 最新文章