FIDELIS NEWS: 又一次的違規行為
2017-12-21

又一次的違規行為!

Once More Into the Breach

       針對這次UBER所發生的事件,我們可以從中學習到了事件反應的經驗和GDPR的意義。

       過去的十年技術不斷的成長,剛開始,成長的速度是以每個月,然後每兩周,每周,如今幾乎每天,在這樣的環境下,又有誰會對所犯下的違規行為道歉負責。

       “受規範的環境”中許多的組織會佈署正確的技術和流程,不但了解事件發生經過,也會有相對的反應能力,並且遵守規範反應迅速。

       其他組織(通常是那些在“管制較差”的商業環境中營運的組織)對於如何照顧客戶數據的規定並不嚴格。 這些組織傾向於採取“不透明”的方式來保證自己的安全,最近的UBER違規行為似乎也適用於這個方面。

       UBER在事件發生的時候,並沒有全部公開事實,當UBER公司發生了多達5700萬的客戶和司機的個人記錄被盜的數據洩露時,UBER竟然選擇支付“贖金”費用,並且隱瞞了所有的情況,雖然對方聲稱已經刪除了這些資料,然而要如此地相信一個網路罪犯根本就是緣木求魚,由這個案例駭客證明了這個策略是有效的並且他們可以重複使用的。

       2018年,所有在歐洲營運的組織都需要遵守“歐盟資料保護規範”(GDPR),這表示在之後所有的規則即將改變,這違反規範適用於所有的人,而不僅僅是針對受到嚴格管制的企業,如果違反其規定表示將面臨的是一個極大的罰款。

以下是所有組織針對GDPR所需要了解的關鍵規定:

  • 組織必須在72小時內報告數據洩露
  • 所罰款的金額極其可能高達公司年營業額的4%
  • 在“被遺忘權”的情況下,組織必須制定程序來刪除個人資料

那麼我們可以做些什麼來做自我保護呢?

全面防禦一直以來都是資安專業人員所推廣的,然而這目標還有其成長的歷程,但是目前以下一些建議是目前我們可以做得到的:

  1. 深入了解在網路的所有信息,其中包含內網的完整防護並了解入侵的威脅和如何防止經由外網洩漏重要的企業資料。
  2. 通過在網路上放置誘餌,陷阱和誤導訊息來使用欺瞞性的安全策略,如果觸及了這個系統就會提供一個預警信號,以提供更多的資訊讓我們更加了解駭客入侵的手法和技術。
  3. 完整的佈署端點的安全解決方案,不僅僅只是防毒功能,還提供端點上所有流量在運行的可見性,以更快速的進行調整以及調查和反應的能力。
  4. 發生事件時的72小時是極其關鍵的,這段時間並不是要想出如何解決問題,首先必須記錄出所有的違規過程,並且制定計劃雖然計劃總是會需要調整,但從頭開始是絕對行不通的。
  5. 隨時更新系統保持最新的技術及修護漏洞。

       “從安全的角度來看,所有組織都需要更深刻的了解在系統所發生的來龍去脈,並且需要了解Uber是否真的有合乎流程和安全的系統來保護我們的資料。 換個角度使用欺瞞策略也是安全防禦的一部份。 通過在網路上放置誘餌,陷阱和誤導訊息,企業可以在發生任何真正破壞之前提前發現和解決問題 - 同時更能保護所有重要的關鍵數據資產。“

       有關更深入的信息,請下載我們的白皮書,“Are You Ready for European Data Protection Reform?”

 

如有任何問題,查詢或意見請直接與我們聯繫:

電子郵件:pm@fairline.com.tw

電話號碼:02 2658 1818

辦公地址:台北市內湖區瑞光路583巷32號五樓