'Office获得了应对数据安全风险的新权力。在这篇客座文章中 Tracey Stretton,Kroll Ontrack的法律顾问,着眼于一些风险和应对策略…

英国信息专员最近表示,正确保护数据保护从未像现在这样重要。鉴于数据安全漏洞可能给成千上万的人造成伤害和困扰,对于公司而言,保护他人的个人数据已变得至关重要。当数据丢失,被盗或被破坏时,不仅存在财务和声誉受损的风险,而且严重违反个人数据安全性的行为预计将受到更严厉的处罚。 

严重违反的新处罚
英国的《数据保护法》要求处理个人数据的人员确保已采取适当的技术和组织措施来保护个人数据的安全,并且其保留时间不应超过必要的时间。从2010年4月6日起,信息专员办公室将对严重违反该法的行为处以最高50万英镑的罚款。这些可能包括丢失使个人遭受身份欺诈的财务数据,或者丢失引起忧虑和焦虑的敏感个人医疗数据。处以罚款时,专员会仔细考虑情况,包括违规的严重性;对个人造成重大损害和困扰的可能性;违规行为是故意的还是疏忽的,组织为防止违规采取了哪些合理的措施。专员还可以发出执行通知,以确保遵守数据保护原则,对公司进行评估并起诉涉嫌非法交易机密个人数据的人。

如何使用新力量
根据法定指示,处长在处以罚款时将采取务实和相称的态度。确定罚款时要考虑的因素是组织的财务资源,部门,规模和数据泄露的严重性,以确保不会给组织带来不必要的财务困难。根据该指南的一个严重违反的例子是数据控制器未能采取足够的安全措施(使用加密文件和设备,操作程序,指南等),导致丢失了保存个人数据的CD。如果进行了风险评估,或者有证据表明已经识别并解决了风险(例如在政策和程序中),则专员更有可能认为数据控制者已采取合理措施来防止违规行为。 

这种情况多久发生一次?
根据Kroll Ontrack的2009年度ESI趋势调查,英国公司每年至少遇到一次数据泄露事件。数据被盗存在活跃的市场,卖家在价格,数量和被盗信息的质量上展开竞争-因此您可能会在报价中看到“购买1000张信用卡记录并免费获得1000张驾驶执照记录”。在Kroll Ontrack,我们已经看到一家公司被提供了自己的客户记录数据库,他们不知道他们不知道该数据库是否存在(即使犯罪分子犯了错误)。我们对这些情况感到固执,但仍然对购买高度敏感的被盗信息的交易量大而成本相对低廉感到震惊。

预期和管理数据泄露
在许多情况下,已经遭到破坏的数据应该在多年前删除,并且公司不知道它仍然存在。由于它未被识别,因此在很大程度上也没有受到保护。公司内部(尤其是大型公司)内的敏感信息可以比作冰山。高层的IT部门,内部审计,总法律顾问和其他经理可以查看并管理一些敏感数据,但是在不同的操作级别上通常有很多数据无法从高层看到。

数据图和安全评估
我们建议公司建立数据图,以指示敏感数据输入,使用,存储和离开组织的位置。他们应该进行内部安全准备评估,包括程序审查以及实际的系统和网络测试。外部专家可以协助解决此问题,并能够识别并快速关闭安全漏洞,否则可能会造成破坏性后果。

数据泄露应对计划
公司还应该制定和测试数据泄露响应计划,以便他们知道并已经实践过,如果发生事故该怎么办。重要的是要找到外部专家,以寻求危机沟通,计算机取证调查和通知方面的支持。当公司认为可能已发生事件时,可以使用法医和调查服务来确定发生和未发生的事情,并保护和分析证据。有时您可以证明没有发生违规行为,或者该违规行为的范围远不如最初认为的那样。还可以提供补救方面的帮助,无论是针对数据泄露者的服务,还是从技术意义上讲,都可以将安全性提高到合理水平。 

降低风险
没有100%的安全性。我们说的是,并且怀疑专员会理解的是,公司必须维持一套“商业上合理的”安全措施。 根据信息的性质及其威胁,您是否正在做一个管理良好的公司来保护敏感数据?以下是一些示例,这些问题在评估事件和数据安全措施的充分性时可能会提出以下问题:

•    业务流程需要数据吗?有时,公司会收集他们实际不使用的数据。首先丢失您不需要的敏感数据会给人留下不好的印象。    
•    仍然需要数据吗?组织通常不愿意删除不再需要的数据,即使它们很敏感。再说一次,很难解释为什么有违反的原因。

•    它受到保护了吗?加密存储的数据所需的软件变得越来越可用和负担得起。 最佳做法是至少加密笔记本电脑和便携式上网本计算机。


•    您会检测到事件,还是等到某个外部方通知您事件已发生?拥有可以告诉您什么地方出了问题的保护性措施至关重要。网络防火墙,应用程序级防火墙,入侵检测系统,入侵防御系统,日志合并和分析系统等是防御措施,在计划如何保护敏感数据时应考虑这些措施


•    您是否保留适当的日志和记录,以方便调查事件?日志文件应告诉您事件如何发生,何时发生,哪些数据已被泄露以及是否仍在发生。   


•    您是否测试过安全性?定期运行的测试(其中的独立专家试图破坏您的防御能力)(所谓的“渗透测试”)已成为公认的最佳实践,尤其是对于大型组织而言。 传统的渗透测试无法满足您的需求,在传统的渗透测试中扫描公司网络中面向Internet的部分中的缺陷。 您必须测试网络钓鱼(发送欺骗性电子邮件以使员工下载实际上窃取或帮助窃取数据的软件),社会工程(试图使员工说服其提供访问权限,其密码或以其他方式协助黑客)以及复杂的“混合”和“持久”威胁。


骑士的代价
在新的监管环境中,采用轻骑兵方法而未能采取合理步骤将基本安全条款落实到位的公司可能会受到罚款。数据泄露可能以其他方式严重影响公司。这不仅是调查事件的成本,或者是要通知数据已泄露的人并提供服务,还可能是诉讼的代价。最大的损失可能是损害公司或品牌的声誉。如果发生违规并且处理不当,即使是长期的专门客户也可能会被赶走。