信息化觀察網

據(jù)外媒報道11月3日，瑞典最大的保險公司Folksa證實，近100萬客戶的個人信息數(shù)據(jù)泄露給了Facebook和Google等社交媒體，泄露信息包括敏感個人數(shù)據(jù)如個人社會保險賬號等。

據(jù)Folksam的營銷和銷售主管Jens Wikstrm稱，公司在一次內部審計后發(fā)現(xiàn)了數(shù)據(jù)泄露。而后，F(xiàn)olksam立即向瑞典數(shù)據(jù)保護局報告了這一事件，并要求這些獲得數(shù)據(jù)的公司刪除信息。

該保險公司是想通過將這些信息分享給社交媒體，達到準確營銷的目的，但發(fā)現(xiàn)卻忽略了安全性。

Folksam營銷和銷售主管表示，“我們這樣做的目的是分析并為客戶提供定制的報價，但是不幸的是，我們沒有以正確的方式做到這一點。”

近日根據(jù)風險基礎安全（Risk Based Security）的數(shù)據(jù)，2020年第三季度有83億泄露記錄，使得今年的總數(shù)達到360億，這些數(shù)據(jù)包括竊取的數(shù)據(jù)和基于云的錯誤配置，這些錯誤配置可能危及信息安全。

數(shù)據(jù)泄露事件，主要通過外部和內部兩種泄露方式。

外部數(shù)據(jù)泄露包括政企用戶自身的供應鏈、第三方供應商以及通過搜索引擎、網盤、公開的代碼倉庫、社交網絡等互聯(lián)網渠道所導致的數(shù)據(jù)泄露；內部數(shù)據(jù)泄露主要包括內部人員竊密、終端木馬竊取，基礎支撐平臺、內部應用系統(tǒng)等數(shù)據(jù)違規(guī)導出所導致的數(shù)據(jù)泄露。

如何預防：網絡安全人員要做好自身供應鏈和第三方供應商的數(shù)據(jù)訪問控制，尤其需要做好審計措施。針對業(yè)務系統(tǒng)運營人員和運維研發(fā)人員的訪問權限做好訪問控制，建立終端準入機制，統(tǒng)一部署殺毒和終端管控技術，通過安全意識培訓培養(yǎng)良好的終端使用習慣，避免數(shù)據(jù)通過終端被竊取。

以金融行業(yè)為例，因為其數(shù)據(jù)比較敏感，所以對數(shù)據(jù)安全也相應的比較重視。我們知道，金融行業(yè)和其他敏感行業(yè)一樣，有很多數(shù)據(jù)要在網絡上傳遞，這些數(shù)據(jù)在網絡上傳來傳去，很容易就會考慮到它安全問題，如果這些數(shù)據(jù)被人竊取或攔截下來，將會造成不可估量的災難。

我們可以想到的是金融有內部網絡，外面的人無法獲得網絡的訪問權。這個仔細想想顯然不可行的，因為一是不能保證外人一定沒辦法進入內部網絡，二是內部人員作案是無法防控的。

如果這些敏感行業(yè)避免不了數(shù)據(jù)泄露，那么就應該對數(shù)據(jù)進行加密，同時對數(shù)據(jù)要有審計、防控和溯源的能力，才能更加確保數(shù)據(jù)安全穩(wěn)定的運行。