Thales:面臨嚴格法規 防資料外洩成當務之急
有鑒於資料外洩日益嚴重,愈來愈多國家制訂嚴格法規要求企業做好資料防護措施,這將對企業形成新挑戰。
今天,任何人都可能成為資料外洩的受害者。今年3月國內爆發不法業者販售大量個資,包括屋主資料、房產住址、資產價值、交易紀錄等給房仲業者,個資筆數多達1.7億筆,就連總統蔡英文及鴻海集團董事長郭台銘等人也在其中,獲利6000多萬元。另外,5月時蘋果在中國也發生代理商員工利用合作夥伴的身份之便,竊取iPhone或iPad用戶的Apple ID、使用者名稱等資料後,以每筆10到180人民幣的代價出售,共獲利5000萬人民幣。
隨著身份資料數位化,你我的身份可能散佈在各個不同的資料庫中。對一般人來說,個別資料庫的資料不值錢,但駭客可以透過整合不同資料庫,可產出一個完整、有高度價值的個人資料側寫,並因此獲取巨大利益。Thales大中華區銷售總經理周志豪舉例說明,現今各國政府如何強化資料保護。除了台灣的《個人資料保護法》,歐洲近年的大事則是「歐盟資料保護規範」(General Data Protection Regulation,GDPR)。
這個規範為所有歐盟成員國都需實施之單一法令,於2016年4 月核准生效,要求所有在歐盟營運的企業組織最晚2018年5月25日必須遵循新法規。這個法規將「個資」擴大解釋,將網路瀏覽器Cookies、網路IP位址或足以辨識特定個人身分或性別之基因、生物特徵或醫療資料等都列為個資的範疇。
GDPR要求蒐集敏感個資的企業除了需保存相關紀錄,一旦發現個資遭到不當存取或外洩情形,必須在發現72小時之內,通知其所屬企業公司、行政主管機關及個資當事人。違反者將依據情節,可由歐盟或成員國資料保護主責機關,處以其所屬企業公司年營業額最高4%,或是2,000萬歐元的行政罰鍰。
或許你以為歐盟法令和台灣無關,事實上,GDPR適用對象涵蓋提供產品或服務給歐盟成員國居民、或於歐盟境內從事涉及敏感個資蒐集之境外公司企業。也就是說,只要你任何一位客戶有歐盟公民身份就需合規,GDPR一旦施行,全世界都受到影響。
Thales 完整安全解決方案協助企業免於資料外洩的風險。Vormetric Transparent Encryption解決方案提供企業檔案及volume層級的靜態資料加密、存取控管與資料異常存取軌跡的稽核, Vormetric Data Security Manager(DSM)則提供政策定義的存取控管及金鑰管理,多租戶管理使金鑰管理、安全控制、稽核及加密都能依部門角色分開,防止合法使用者不適當地存取系統,例如具根目錄存取權限的IT管理員也無法拿到DSM的解密金鑰。Vormetric Security Intelligence則整合SIEM系統,讓管理員全視野掌控公司系統的存取,包括何者、於何時、從何地、存取何種系統皆一目瞭然。
Thales因而幫助企業更有效回應法規遵循要求。例如良好的存取管理有效防止內部人士不當存取系統造成個資外洩;記錄與監控能力可即時發送log至SIEM系統,以滿足歐盟72小時通報要求。彈性的密鑰管理,讓個資即使存放多處,只要移除金鑰,即可讓資料永遠無法解密而賦予使用者歐盟要求的「被遺忘的權利」(The right to be forgotten)。唯有彈性而完整的加密、資料存取控管和金鑰管理方案,才能讓企業安然因應各國政府日益嚴格的資料保護法規。
資料來源:網路資訊