iT邦幫忙

第 11 屆 iThome 鐵人賽

0
Security

Progress | Ipswitch 高安全網路環境與資料分享空間 面面觀系列 第 21

七大步驟著手 輕鬆符合資料保護法

  • 分享至 

  • xImage
  •  

竊取個人資料(PI)的事件,已形成一個龐大的全球黑市市場。 由於個人資料包括任何可以辨別個人身份的數據,一些收集密碼、信用卡資料、 健康資料和地址等數據的公司,就成為了網上罪犯的潛在目標。不出所料,自 2013 年以來,數據洩露已在全球造成近 60 億項數據記錄被盜,因此各國政府都進一步收緊涉及收集、保存、處理和分享個人資料的相關法例。一旦違反此等法例,將可導致重罰,以歐盟通用資料保護法規 GDPR( General Data Protection Regulation)為例,最高可能被罰款 2 千萬歐元或全球營業額 4%。
現今,外部傳輸個人資料已成為各個行業的核心業務流程,尤其零售、運輸、金融服務、醫療保健、娛樂、電訊和政府機構等產業,資訊部門、資料科技和業務流程的外包商,均會定期收集、處理和傳輸個人 資料。在保安角度而言,傳輸中資料就是身處險境的資料。資訊科技團隊必須透過工具、科技,和外部共享個人資料流程,檢視受到攻擊的風險。

常見的威脅根源
個人資料(PI)的常見定義,為本身或擁有者可取得的其他資料合併時,能辨識個人身份的任何資料。對網路罪犯來說,如能取得個人資料,那麼許多行業便會成為欺詐網站、拒絕服務、勒索軟件,和持續攻擊威脅的目標。
沒有一個收集和儲存個人資料的行業能獨善其身,根據 Breach Level Index 報告顯示,有 80% 洩露個案發生在科技、零售、金融和 保健行業。如果公司需要收集、儲存、分享、處理或傳輸個人資料,便很可能成為攻擊的目標。
大部份被盜取的資料都會被傳送到黑市兜售,價格按資料的種類和時間
而定。每個密碼記錄的價格,可以由 10 美元至 20 美元不等,而最近被盜的信用卡更值 25 美元至 40 美元。
地理上而言,只有很少國家是安全的,美國和歐盟佔 2013 年以來被盜資料的 74%,另外 22 個國家也在同期爆發超過 250000 項資料記錄損失。當中以中國、韓國、土耳其、日本、墨西哥、加拿大和俄羅斯首當其衝,總共損失超過 10 億項資料。

**誰是敵人? **
誰要為洩露數據負責?傳統以為罪魁禍首是個別國家和網路罪犯,然而真相並非如此。Progress Ipswitch 最近訪問了 255 位資訊科技專家,結果顯示只有 27% 洩露資料,是由「惡意行為」造成。有相同百分比的原因,肇因於「意外或人為錯誤」。令人驚訝之處,有 46% 資料洩露源自於「程序和網絡故障」引起,這代表我們就是自己的敵人。
大部份資料洩露都是因為公司或夥伴公司內,有人做了不該做的 事情。舉例而言,資料可透過沒有加密的電郵附件,或以網路為基礎的文件共享服務傳送,所以你或你商業夥伴的員工,也可能成為大規模電郵或社交媒體攻擊的受害者。 不可否認,有時候大量記錄是被網路罪犯的進階持續威脅盜取,但即使如此, 部分攻擊鏈通常涉及一個毫無戒心的員工。

符合法規要求 七大面向著手
雖然各國對保護數據的法例各有不同,但一些資料安全控制方法能有助確保符合法規。Progress Ipswitch 介紹七種安全控制方法,確保外部傳輸資料過程符合法規,有助於協助企業降低資料外洩發生的機率。

  1. 自動化
    常用的文件傳輸工作流程應該自動化,以減少可能導致資料遺失的人為錯誤。因此公司使用的文件傳輸工具,應具備自動轉發、錯誤校正,和確認所有資料傳輸已接收等支援功能。
  2. 控制和可視性
    傳輸工作的控制和可視性是重要安全要求,對確定合規性也是至關重要。公司使用的工具,應該要能提供所有文件傳輸的中央可見性、控制和預先授權。尤其日誌應保存在具備防篡改功能的數據庫中,才可確保完整地進行審計跟蹤。
  3. 資訊安全
    企業使用的技術、工具或流程,應確保可進行文件的完整性檢查、接收後刪除資料,以及不可否認性 (發送者和接收者都獲授權和認證以取得資料)。這些工具應提供自動審計跟蹤,以追蹤傳輸資料的完整性、交付和身份驗證。
  4. 驗證
    對用戶和管理員的有效認證,是一項重要的控制措施。公司使用的文件傳輸系統,應該具有一系列訪問控制機制,包括與中央用戶目錄集成、基於角色的訪問控制和單點登錄以及多因素認證。
  5. 密碼學
    企業必續注意加密是有限期的,因此合規性標準通常不允許使用受損的系統。公司的系統必須使用強大和最先進的加密機制,並能夠安全地選擇、分發和保護加密鑰。
  6. 安全架構
    公司的系統架構應與現有安全基礎架構,和應用程序整合在一起,尤其系統本身也應確保在 DMZ 內,沒有未加密的資料,或以網關代理伺服器向 DMZ。唯有如此,才能提供終止身份驗證和資料傳輸的登入請求。
  7. 故障轉移
    許多資料保護法規的一個重要要求,是確保業務連續性。此要求旨在出現任何故障、災難或中斷情況時,仍能保護文件傳輸的機密性、完整性和可用性。自動和安全的故障轉移功能,可確保文件傳輸成功或連續重新啟動,直至完成傳輸。

https://ithelp.ithome.com.tw/upload/images/20190924/201197495yM7vMWLVv.png

FTP 伺服器通常使用 SFTP 或 FTPS,並以 SSH 或 SSL 來確保進行加密傳輸和身份驗證,只是 SFTP/FTPS 仍有限制,容易將資料暴露於更多安全漏洞和不合規的風險之中。

https://ithelp.ithome.com.tw/upload/images/20190924/201197498UGOdYqJ9F.png

多國政府和行業均廣泛採用 ISO/IEC27001 國際標準,因為該標準確定許多最佳做法,相當值得企業在制定實踐安全控制措施的參考。


上一篇
檔案傳輸管理採購指南
下一篇
iPaas重要性日增 提高企業效率
系列文
Progress | Ipswitch 高安全網路環境與資料分享空間 面面觀30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言