從輕處理？萬(wàn)豪酒店因數據泄露被罰款近1.6億元

近日，英國信息專(zhuān)員辦公室(簡(jiǎn)稱(chēng)’ICO”)對美國酒店集團萬(wàn)豪(Marriott)進(jìn)行了1840萬(wàn)英鎊(約1.6億元)的罰款，原因是該公司的數據泄露事件影響了全球數百萬(wàn)客戶(hù)。
據悉，此次罰款金額其實(shí)比最初計劃的要少，因為監管機構考慮了萬(wàn)豪的陳述、萬(wàn)豪為減輕事件影響所采取的措施，以及疫情對其業(yè)務(wù)的經(jīng)濟影響，然后才制定了最終的處罰。
萬(wàn)豪酒店被罰款近1.6億元
2018年11月，萬(wàn)豪宣布，疑似受2014年發(fā)生的安全漏洞影響，其旗下的喜達屋酒店多達5億客人的數據遭到泄露風(fēng)險。這是歷史上最大的數據泄露事件之一，也是萬(wàn)豪酒店業(yè)遭受最嚴重的的一次。
據該公司稱(chēng)，2014年，黑客開(kāi)始入侵喜達屋的客人預訂系統，并對信息進(jìn)行復制和加密。黑客訪(fǎng)問(wèn)了近3.27億客人的個(gè)人信息，泄露的記錄包括姓名、郵寄地址、電話(huà)號碼、電子、護照號碼、出生日期、性別、到達和離開(kāi)信息、預訂日期。喜達屋數據泄露案的調查顯示，被盜數據還包括財務(wù)數據、支付卡號和支付卡截止時(shí)間，即使是已經(jīng)加密的信息也沒(méi)逃過(guò)。
據信息專(zhuān)員辦公室說(shuō)，數據泄露影響了3000萬(wàn)名歐洲居民，其中包括700萬(wàn)名英國居民。
英國監管機構認為，萬(wàn)豪在2016年收購喜達屋時(shí)沒(méi)有進(jìn)行充分的盡職調查，也沒(méi)有采取必要措施確保其系統安全?！皞€(gè)人信息很珍貴，企業(yè)必須加以照顧。企業(yè)之所以需要嚴格保護客戶(hù)數據，除了面臨罰款懲罰之外，他們有義務(wù)保護數據?！?
從數據存儲的介質(zhì)來(lái)看，核心數據最終都會(huì )落到數據庫里，如果數據庫被顛覆了，一切歸零，對于企業(yè)來(lái)講，損失不可預估。因此說(shuō)，安全是一個(gè)水桶原理，往往是從最短板的地方流出，那么現在發(fā)生的信息泄露事件90%以上都和數據庫有關(guān)。
站在數據庫安全行業(yè)的肩頭眺望
傳統的安全防護思維已經(jīng)無(wú)法適應現在安全態(tài)勢的發(fā)展，原有部署的防病毒、網(wǎng)關(guān)類(lèi)基礎安全產(chǎn)品，已經(jīng)不足以抵御愈變愈復雜的攻擊行為。這就好比我們把財富放在家里，就覺(jué)得相對安全了，然后你把家里的防盜門(mén)裝好，便認為家里的東西本身就不需要再做什么安全措施了。這就好比數據庫都是放到企業(yè)內部或者內網(wǎng)當中，在外圍加上防火墻，再加一些控制就變得很安全了。實(shí)際上這個(gè)是遠遠不足夠的。
拿銀行的內部系統來(lái)看，
第一個(gè)就是內部很多第三方開(kāi)發(fā)人員，他們可以直接訪(fǎng)問(wèn)數據庫，有一些好一點(diǎn)，弄一個(gè)測試庫，但是測試庫又與真實(shí)數據庫中的數據相同，實(shí)際上在這種情況下數據庫中的數據是可以直接被開(kāi)發(fā)人員拿走的；
第二種情況就是運維人員，銀行內部大多也沒(méi)有足夠的運維人員，運維也是外包服務(wù)，這就造成外部的運維人員可以直接接觸到系統的生產(chǎn)庫，所以這些外部的運維人員是可以直接把數據庫中的數據拿走的。
另外還有一些更可笑的，有一年，香港花旗銀行做裝修，裝修過(guò)程中由于安全防護沒(méi)做好，數據庫服務(wù)器丟了。數據庫服務(wù)器丟失以后，實(shí)際上后端的那些數據存儲是完全有手段還原成明文的。那個(gè)時(shí)候數據自身的一些防護措施已經(jīng)不起作用了，花旗銀行的所有客戶(hù)資料都泄露了。
目前市面上被認知較多、用戶(hù)接受度較高較多的也是數據庫審計產(chǎn)品，該類(lèi)事后追蹤審計產(chǎn)品確實(shí)在金融行業(yè)應用較多，但從安全防護的過(guò)程來(lái)看，數據庫安全同樣包含事前的數據庫安全體檢、事中的數據庫安全訪(fǎng)問(wèn)控制防御、庫內數據的加密和事后的行為監測與審計。而事后的追溯反映，快也要3到6個(gè)月，企業(yè)才會(huì )知道，而散落在外面的數據，在這個(gè)時(shí)間里，不知道已經(jīng)被傳閱和販賣(mài)了多少次了。因此，事前的防御和事中的過(guò)程控制不可或缺。通常數據庫防火墻和數據路加密產(chǎn)品，可以解決此類(lèi)問(wèn)題。
現在訪(fǎng)問(wèn)數據的途徑變多了，那么在系統中留下的后門(mén)和竊取數據的途徑也變多了，用戶(hù)數據的價(jià)值增大了，所以現在數據泄露事件頻發(fā)也是一個(gè)必然的現象，數據庫安全也在逐漸被企業(yè)提高維護意識,高防安全服務(wù)器：http://wap.friendlycc.com.cn/