从AT&T数据泄露谈谈信息安全的保护

信息安全在当今社会具有举足轻重的地位,它不仅是技术层面的挑战,更是对个人、组织乃至国家整体安全的重要保障。因此,我们必须高度重视信息安全工作,加强技术研发和应用,不断完善法律法规体系,共同营造一个安全、可靠、可信的信息环境。

本文来自IOT视点。

科技日新月异,我们正身处于数字化的大时代,信息安全已从一个相对抽象的概念转化为直接影响每个人生活、企业运营和社会稳定的现实问题。信息安全涵盖了多个方面的安全,以确保信息在存储、传输和处理过程中的机密性、完整性和可用性,它不仅是公民隐私权、企业利益和国家战略安全的基石,更是信息化社会中不可或缺的生命线。

当地时间3月30日,美国电话电报公司(AT&T)证实,该公司发生了数据泄露事件,大量用户的数据在约半个月前被发布到暗网上,AT&T公司在一份声明中称,有760万个现用户和6540万个前用户的个人信息遭到泄露,包括姓名、出生日期、电子邮件地址等,但不包括个人财务信息和通话记录。据AT&T官方声明,他们已经对受影响用户的密码进行了重置,以确保账户安全。同时,公司还积极与可能遭受信息泄露的账户持有人进行沟通,提供必要的支持和指导。然而,关于数据泄露的具体来源,AT&T目前尚无法确定。他们表示,正在全力调查此次事件,以确定数据是从AT&T系统还是其供应商之一泄露出去的,根据初步分析,泄露的数据大约来自2019年或者更早的时期。

640.jpg

《纽约时报》报道截图

这次AT&T的个人数据泄露事件引发了广泛关注和担忧,也再次提醒我们,网络安全问题不容忽视,无论是个人还是企业,都需要加强安全意识,采取有效措施来保护自己的信息安全。

谨防“疏忽”避免数据

信息安全涵盖多个方面,包括网络安全、系统安全、数据安全、物理安全、人员安全、法规遵守、风险管理、审计和监控、应急响应和合规性等等。

不过,在国际安全公司Proofpoint的报告中再次指出,数据泄露的根源是“人的因素”。与系统漏洞或配置错误相比,“用户疏忽”才是数据泄露的主因,1%的员工造成了88%的数据泄露事件。这与以往行业机构Fortscale的调查结果几乎一致:85%以上的企业数据泄密都来源于企业内部员工。这些报告时时刻刻在提醒企业要注意用户疏忽导致的数据泄露行为。

在Proofpoin的报告中,列举了典型的疏忽行为包括:

•将电子邮件发送给错误收件人

•访问钓鱼网站

•安装未经授权的软件

•将敏感数据发送到个人账户

报告指出,恶意内部人员是数据泄露事件的主因。与粗心大意的内部人员相比,恶意行为和离职员工给企业造成的损失和影响更大,因为后者受个人利益驱动,这些人员中拥有敏感数据访问权限的员工是数据泄露的最大风险因素。

640 (1).jpg

信息安全的核心地位及其相关法规

近几年,我国对于网络安全也愈发重视,企业和普通群众的防范意识也有一定提高,网络安全相关的法律法规密集出台,网络安全安全法律法规体系基本形成。

网络安全方面的法律:《网络安全法》、《电子签名法》、《密码法》、《数据安全法》、《个人信息保护法》等。

网络安全相关条例:《关键信息基础设施安全保护条例》、《网络安全等级保护条例(征求意见稿)》、《网络数据安全管理条例(征求意见稿)》、《商用密码管理条例(修订草案征求意见稿)》等。

网络安全相关办法:《信息安全等级保护商用密码管理办法》、《国家政务信息化项目建设管理办法》、《政务信息系统政府采购管理暂行办法》、《电子认证服务密码管理办法》、《网络安全审查办法》等。

对于个人而言,信息安全是公民基本权益的重要组成部分。《网络安全法》第四十一条明确界定了网络运营者在处理个人信息时必须遵循的原则和程序,强调收集和使用个人信息需符合合法、正当、必要原则,公开透明告知用户并征得同意。

对于企业而言,数据安全不仅关系到企业自身的经济利益,也影响着市场经济的公平竞争环境。在广东省深圳市中级人民法院审理的“(2019)粤03民终2476号”案件中,涉案公司由于疏于管理,导致包含商业秘密在内的大量核心数据泄露,这不仅造成了该公司无法估量的经济损失,同时也因违反《反不正当竞争法》第十条关于商业秘密保护的规定,破坏了市场竞争秩序,受到了法律的严惩。工业和信息化部印发了《工业领域数据安全能力提升实施方案(2024—2026年)》,提出到2026年底,工业领域数据安全保障体系基本建立。工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据,工业数据日渐成为工业发展最宝贵的战略资源,是推动制造业数字化、网络化、智能化发展的关键生产要素。

对于国家而言,信息安全关乎国家关键信息基础设施的安全稳定。根据我国《网络安全法》第五十九条的规定,关键信息基础设施的运营者须严格执行安全保护制度,一旦疏于防范,将面临法律的严肃追责。这场网络安全危机的发生,促使我国政府及相关机构更为重视关键信息基础设施的安全防护工作,加强立法和监管力度,确保国家信息系统的安全运行。

总得来说,我国法律体系针对信息安全问题构建了包括刑事责任追究、行政监管与处罚以及民事赔偿与救济在内的三维立体保护框架,形成了从源头预防、过程监管到事后救济的全链条治理模式。

守护信息安全从个人做起

在信息时代,个人作为信息系统的使用者,应该高度重视信息安全问题,从小做起,从己做起,有效利用各种信息安全防护设备,保护个人及组织的数据和信息资产不受破坏,提高整个体系的安全防护能力,从而促进整个体系的信息安全。

比如:不要随意在网上公开个人信息,如家庭住址、电话号码、身份证号等;为所有账户设置复杂且独特的密码,避免使用生日、电话号码等容易被猜到的密码;安装并定期更新杀毒软件、防火墙等安全软件,以防止恶意软件侵入;不要轻信来自陌生人的邮件和链接,尤其是那些要求提供个人信息或点击链接的网站;提高对各种网络诈骗手段的警惕性,如虚假招聘、网络购物诈骗;不要沉迷于网络游戏、过度刷社交网站等。

政府相关部门也在监测、预警,近日,国家计算机病毒应急处理中心近期通过互联网监测发现,14款移动App存在隐私不合规行为,广大手机用户需谨慎下载使用,避免造成隐私信息被泄露,相关运营方也必须完善APP信息,使其符合相关法律法规,共同营造良好的信息安全环境。

最后

信息安全在当今社会具有举足轻重的地位,它不仅是技术层面的挑战,更是对个人、组织乃至国家整体安全的重要保障。因此,我们必须高度重视信息安全工作,加强技术研发和应用,不断完善法律法规体系,共同营造一个安全、可靠、可信的信息环境。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论