数千名 Twitter 用户上当,短短几个小时内,黑客就窃取了价值超过 118,000 美元的比特币。从那时起,数千个组织遭到入侵,从苹果和 Facebook 等大型跨国公司到大学、酒店、医院、政府部门,甚至教堂和筹款网站。
事实上,任何收集、处理或存储客户数据的组织都面临着泄露的风险——包括您的组织。这就是为什么您必须立即采取行动来保护这些数据。本文将向您展示如何操作。
数据隐私的重要性
数据隐私措施和控制具有三个主要目标:保护信息的机密性和完整性、与客户建立信任以及遵守数据隐私法。未能实施这些控制可能会导致违规,从而给个人和组织带来严重后果。
对个人的影响
数据被盗的个人可能会成为身份盗窃或欺诈的受害者。黑客可能会利用窃取的数据冒充受害者并开设信用额度、申请贷款等。
敏感或私人数据的丢失还可能导致受害者面临羞辱、歧视、经济损失或心理伤害。严重时,他们的健康、生命或家庭可能会受到威胁。
对组织的影响
数据泄露也会损害组织,尤其是财务方面。据IBM称,到 2022 年,数据泄露的平均成本将高达 435 万美元。数据泄露成本可能包括攻击者的赎金要求,以及与数据泄露修复和取证调查相关的“清理成本”。监管罚款和诉讼也可能会增加成本。
违规行为还会损害公司的声誉、客户认知和股价。它可能会失去客户的信任并难以履行其合同义务,这可能会影响其业务关系和利润。
近年来发生大量数据泄露事件后,许多政府都实施了数据隐私法。这些法律规范组织如何收集、处理、存储和丢弃消费者数据。它们旨在保护消费者数据隐私并保护消费者免受数据泄露的破坏性影响。
通用数据保护条例
GDPR适用于在任何国家/地区运营并收集欧盟居民信息的任何公司。它管理公司如何收集、使用、传输和保护这些数据。不遵守法律的组织可能会被处以超过 2000 万美元或全球总营业额 4% 的罚款。
美国数据隐私法
美国没有单一的联邦数据隐私法。相反,许多行业或州特定的法律管辖组织如何收集、处理或使用消费者数据。例如,《健康保险流通和会计法案》(HIPAA) 旨在维护受保护健康信息 (PHI) 的隐私。同样,《加州消费者隐私法》(CCPA) 控制实体如何收集加州居民的个人信息。
行业特定的隐私标准
一些行业机构制定了适用于某些行业组织的隐私标准。PCI-DSS 就是一个例子,它适用于全球所有收集消费者信用卡信息的商家。尽管该标准不是由任何政府强制执行的,但由于商家与信用卡公司之间存在合同关系,因此必须遵守该标准。目标是确保企业实施必要的保护措施来保护持卡人数据并防止信用卡欺诈。
在科技和广告行业中,近年来我们看到了许多以隐私为名的变化。例如,Google 降低了搜索词报告的可见性,而 Facebook 则强制要求聚合事件测量。
数据隐私和安全的最大威胁
数据隐私涉及控制数据的收集、共享和使用方式,而数据安全涉及保护数据免受外部攻击者和恶意内部人员的侵害。尽管存在这些差异,这些想法之间还是有一些重叠之处。此外,还有许多威胁可能会影响数据隐私和安全。
网络钓鱼诈骗
在网络钓鱼诈骗中,攻击者发送看似来自可信来源的电子邮件。该电子邮件可能包含恶意链接或恶意附件。当用户单击该链接时,他们将被带到一个网站,并要求他们提供私人信息。
然后攻击者窃取此信息,从而导致漏洞。如果用户打开附件,攻击者可能会破坏其设备。他们还可能访问企业网络上的其他资源并造成广泛的损害。因此,确保您投资适合您企业的反网络钓鱼解决方案非常重要。
恶意软件和勒索软件
恶意软件和勒索软件对数据安全和隐私构成巨大威胁。在勒索软件攻击中,攻击者使用恶意软件感染公司设备,对系统进行加密并锁定用户。为了换取解密密钥,犯罪分子向该组织索要巨额赎金。许多勒索软件可以在整个网络中传播并泄露大量数据。
内部威胁
内部威胁是数据隐私的另一个严重威胁。自2020年以来,内部事件的发生频率增加了44%,每次事件的成本增加至1538万美元。
一些威胁来自恶意或受损的内部人员,例如员工或第三方供应商。其他人则来自网络安全卫生状况不佳的非恶意或粗心的内部人士。例如,一个用户可能与同事共享其密码,而另一个用户可能将敏感数据存储在公共文件夹中。此类错误可能会导致意外的数据泄露或暴露。
软件漏洞
设备和应用程序中的安全漏洞为网络犯罪分子打开了大门。许多攻击者利用这些漏洞来攻击组织并窃取或破坏客户数据。
保护客户数据隐私的 10 个最佳实践
以下是保护您宝贵的客户数据免受网络攻击和黑客攻击的十种方法。
1. 了解您正在收集哪些数据
只有知道数据是什么以及存储在哪里,您才能保护数据。了解您从客户那里收集的数据类型、这些数据的使用方式以及谁在使用这些数据。您还应该了解数据的敏感程度、存储位置以及共享时间。
进行数据审计以识别整个企业的数据。然后根据敏感性、用例和可访问性需求对每种数据类型进行分类。最后,准备一个数据清单,以了解哪些数据需要保护以及哪些合规性法律适用于您的组织。
以下是需要考虑的一些数据分类:
公共数据: 新闻稿、使命宣言、目录列表信息。
内部数据:工作时间表、预算、项目计划、业务流程、策略、营销数据。
机密数据:个人信息、受保护的健康信息、人事记录、财务信息。
受限数据:密码、合并/收购计划、知识产权。
2. 只收集必要的信息
您可以通过收集有限数量的个人数据来最大程度地减少数据泄露的潜在损害。仅收集您的企业实现特定目标(例如,改善客户体验和保留率)所需的私人或敏感数据。
要评估哪些数据至关重要,请定期进行数据审核。然后评估您是否确实需要该数据。如果没有,请停止收集。这样,您就可以减少发生违规时损失的可能性。
3. 创建并发布透明的数据使用和隐私政策
定义并实施明确的数据隐私政策,并将其传达给所有利益相关者。该策略应指定允许谁访问数据以及如何访问数据。它还应该清楚地说明应该和不应该如何使用数据。
此外,在您的企业网站上发布客户隐私政策。该政策应说明您的公司如何收集、存储、使用和保护客户数据。如果您对政策进行更改,请务必告知客户。
4. 加密所有敏感用户数据
未加密、存储不当的数据给黑客提供了攻击组织的理由。加密您的所有数据,包括传输中的数据和静态数据。使用 256 密钥位长加密来保护电子邮件中的数据,并使用文件级加密来保护系统和服务器上的数据。
此外,定期进行数据备份并将备份存储在安全的位置。这样,即使您成为勒索软件等网络攻击的目标,您仍然可以访问数据。此外,您无需支付赎金。
5. 防范网络钓鱼诈骗
为了降低网络钓鱼攻击造成的损失风险,请在整个组织内实施电子邮件垃圾邮件过滤器。还可以使用防病毒和反恶意软件软件更新所有设备,这些软件会自动更新以应对新出现的威胁并持续保护数据。
人们在最大限度地减少网络钓鱼攻击的影响方面发挥着重要作用。鼓励员工向适当的人员或部门报告他们遇到的任何电子邮件诈骗。
6.更新所有软件
黑客利用设备和软件中的安全漏洞来攻击组织并危及客户数据。软件供应商通常在检测到其产品中的漏洞后发布补丁。实施这些补丁以使您的软件保持最新状态并保护您的客户数据。
7. 实施多重身份验证
多重身份验证(MFA)为企业帐户和数据提供更强大的保护。MFA 需要额外的身份验证因素,而不仅仅是密码。因此,即使黑客窃取了授权用户的密码,他们仍然需要第二个因素才能登录企业帐户。通常,这个因素仍然在授权用户的控制之下,因此黑客很难破坏或窃取它。
8. 对人们进行网络安全实践培训
网络安全教育对于消除网络安全中与人相关的弱点至关重要。对您的员工进行网络安全最佳实践教育。培训他们识别网络钓鱼攻击的迹象以及如何避免社会工程诈骗。
解释强密码和 MFA的重要性。此外,向他们展示为什么不应使用公共 Wi-Fi 网络进行工作,并始终遵守组织的安全和隐私政策。
9. 限制对数据的访问
在需要知道的基础上限制对数据的访问可以最大限度地减少对数据的内部威胁。只要有可能,就实施最小权限原则 (PoLP),以便用户只能访问或编辑其角色所需的数据。使用身份和访问管理 (IAM) 工具管理访问级别和权限。
10. 实施全面的数据保护基础设施
为了保护客户数据并避免泄露,您需要一个包含所有这些工具的全面安全基础设施:
防病毒和反恶意软件
反广告软件和反间谍软件
下一代网络防火墙
弹出窗口拦截器
端点检测和响应 (EDR) 工具
漏洞扫描器
密码管理器
艺术硕士
为这些工具留出预算。它们将帮助保护您的组织免受数据泄露,并且您将相当快地收回投资。
确保您的业务、客户和数据安全
近年来,数据泄露的数量和频率大幅增加。过去五年的情况尤其糟糕,黑客瞄准了许多知名组织并影响了数百万人。
幸运的是,一切并没有失去。您确实对您收集和使用的数据有一定的控制权。更重要的是,您可以保护这些数据并防止其落入坏人之手。通过采用此处分享的想法和最佳实践,您可以降低公司和客户的风险。
了解您正在收集哪些数据
只收集必要的信息
创建并发布透明的数据使用和隐私政策
加密所有敏感用户数据
防范网络钓鱼诈骗
更新所有软件
实施多重身份验证
对人们进行网络安全实践培训
限制对数据的访问
实施全面的数据保护基础设施
原文链接:https://www.wordstream.com/blog/ws/2022/11/22/customer-data-privacy
