澳大利亚首席信息安全官敦促密切关注数据泄露风险

Clayton Utz 网络合作伙伴 Brenton Steenkamp 目睹了相当多的网络攻击。在阿姆斯特丹工作七年后,他于 10 月返回澳大利亚,带回了处理欧洲多次大型勒索软件攻击的故事,以及它们提供的数据治理经验教训。

Steenkamp 表示,他观察到许多澳大利亚组织尚未对数据资产的风险采取“范式转变”的观点,而这对于未来的数据治理是必要的,很快,随着全球新一波监管行动在当地爆发,当地的 CISO 可能会成为监管的焦点。

Brenton Steenkamp,Clayton Utz 网络合作伙伴。图片:克莱顿·乌兹

他建议组织采取措施来控制数据资产,例如更好地对数据记录进行分类、询问是否需要保留数据以及通过数据处置来最大限度地减少数据。通过让所有利益相关者参与,CISO 还应该能够随时提供数据风险快照。

澳大利亚组织没有正视其数据持有的风险

Steenkamp 表示,随着大数据时代的兴起,组织开始希望收集尽可能多的信息。然后,他们可以随时获取这些信息来完成他们需要做的任何事情,例如促进营销个性化和销售。

然而,现在人们越来越认识到,,这带来了“新的风险水平”。他表示,组织一次又一次地陷入困境,往往没有意识到他们在银行拥有哪些数据,并且他们的合规性和流程“忽略了风险”。

看:

虽然他说有澳大利亚对国家隐私原则的认识监管行动数量较少意味着组织尚未以罚款或处罚的形式“感受到痛苦”——例如首席信息安全官或董事会成员被追究责任——因此数据风险没有得到充分考虑。

OAIC 针对澳大利亚临床实验室的案件

澳大利亚信息专员办公室敲响了警钟针对澳大利亚临床实验室的案件。在此案中,OAIC 声称,就其规模而言,该组织未能采取合理措施来保护个人信息免遭未经授权的访问,也未能采取合理的安全态势。

斯廷坎普表示,此案引发了两个问题。第一个是企业如何保护他们所持有的数据,这是 CISO 的典型领域。二是从网络安全角度对数据相关风险进行有效评估和管理。

敦促组织全面了解数据风险

Steenkamp 表示,澳大利亚组织需要对其数据资产相关的风险进行更深入、更全面的评估。他说,如果组织不了解与其数据相关的风险并将其与安全联系起来,他们就会有“可能存在风险的不同观点”。

“这将需要一种全新的风险识别方法,”他说。 “如果您不同时解决实际风险、您在组织中和通过第三方嵌入的数据持有的固有风险,您就无法提高安全态势的赌注。”

这将要求组织退后一步,围绕风险是什么、风险对他们保存的数据意味着什么以及如何采取合理措施来减轻风险来审视他们的政策和流程。这也是需要持续评估和实施的事情。

“假设违规”世界中存在的组织风险

2024 年 2 月,美国主要健康保险公司 UnitedHealth 处理了美国约 50% 的医疗索赔,被黑客成功攻破。根据公司声明,尽管支付了赎金,“相当一部分美国人”的健康和个人数据还是被盗了。

Steenkamp 表示,虽然对此次泄露事件的调查仍在进行中,但看来尽管该组织拥有足够的安全控制措施,但仍然遭到了泄露。在这样的情况下,他从风险角度说问题是:你在数据方面幕后做了什么?

斯廷坎普表示,如果组织不解决其数据持有的更广泛的风险方面,并实施数据治理和安全控制来最大限度地减少和减轻风险,那么联合健康保险的黑客事件表明“组织的生存能力可能会受到损害”。

监管和执法浪潮可能很快就会席卷澳大利亚海岸

监管执法浪潮可能会席卷澳大利亚海岸。

Steenkamp 表示,如果 CISO 歪曲组织的安全准备情况、未能实施适当的控制措施或没有将问题提请董事会注意,则可能会因疏忽而受到追究。

据报道,在某些情况下,国外市场的安全专业人员完全避免晋升为 CISO 职位,因为担心新的职责可能会让他们陷入组织数据和安全故障的困境,而这些问题有时似乎超出了他们的直接控制范围。

全球案例显示出打击数据治理乏善可陈的举措

斯廷坎普表示,全球市场的一些例子很快就会在澳大利亚复制。

  • 美国证券交易委员会正在起诉 Uber 前首席财务官,罪名包括对公司的数据风险和安全状况进行误导和给人留下错误印象,导致大量司机和客户数据面临风险。
  • 这,指控他夸大了 SolarWinds 的网络安全实践,并低估或未能披露已知风险,对投资者撒了谎,这些风险在 2021 年的一次重大黑客事件后曝光。
  • 谷歌是最近被罚款 2.5 亿欧元法国监管机构发现,该公司在未经法国出版商同意的情况下对其获取的数据进行了虚假陈述,被法国监管机构罚款 2.7173 亿美元。谷歌正在利用这些数据来训练人工智能模型。

“我认为这是一个严重的警钟,”斯廷坎普说。他表示:“全球范围内,包括美国,以及欧洲的监管机构,尤其是欧洲大陆和爱尔兰,都存在一种趋势,即对围绕数据的整个问题采取强硬立场。”

组织需要通过“合理测试”

澳大利亚证券和投资委员会已明确表示,一旦发生数据泄露,它将通过法律行动追究那些公司没有做好应对网络攻击准备的董事会成员或高管个人的榜样。

斯廷坎普表示,最终,“合理的测试”将成为澳大利亚组织需要满足的标准。这将要求组织了解他们所面临的数据风险状况的具体性质,采取适当的措施来保护数据或采取措施解决任何可能发现的安全漏洞。

可以帮助组织更好地控制数据风险的实用步骤

IT 和安全领导者可以采取一些实际步骤来更好地处理数据风险。 Steenkamp 表示,在数据方面,“少即是多”,优先事项包括持续了解您拥有的数据、对其进行分类以及仅在您需要时保留您需要的数据。

这一点从当前的推力就可以看出来。医疗银行奥普图斯这些组织发生重大数据泄露后的集体诉讼。这些案例首先涉及是否有足够的安全控制措施来保护数据,其次涉及组织是否需要这些数据。

Steenkamp 建议组织应优先考虑以下步骤:

更好地进行数据分类和保留期限

组织应审核其资产中的数据记录并对其进行分类,并实施有关数据保留和处置的实用指南。 Steenkamp 一次又一次表示,大型数据泄露涉及组织意识到“如果他们知道这些数据就永远不会保留的数据”。

致力于数据最小化而不是最大化

最小化数据风险涉及最小化数据。 Steenkamp 建议利用诊断和技术来帮助确定数据持有的位置,然后尽量减少这些数据,尤其是健康数据或个人身份信息等敏感数据。

充分了解风险以提供风险快照

CISO 和商业风险官应该能够在任何时间点展示或描绘组织与数据相关的风险状况。这将表明该组织已经解决了必要的风险,并且正在采取适当的措施来缩小任何潜在的差距。

让董事会了解数据风险和缓解措施

董事会需要了解数据风险状况。 Steenkamp 表示,虽然通过询问这是否真的是法律问题还是董事会问题来避免这种情况可能很诱人,但如果数据被泄露,董事会会问的第一个问题是为什么他们没有被告知或对数据风险有必要的了解。