IBM泄露强生公司患者数据!数据安全风险何时休?

发布时间:

2023-09-08 18:48

访问量:


近日,强生医疗健康系统公司(“Janssen”)通知其CarePath客户,他们的敏感信息在涉及IBM的第三方数据泄露事件中遭到泄露。CarePath是强生公司旗下一款应用程序,为服用强生药物的患者提供资源,帮助他们了解保险范围和自付费用。而IBM是强生公司的技术服务提供商,负责CarePath应用程序和数据库的技术服务和管理。

 

据悉,强生公司发现了一种可以未授权访问CarePath数据库的新方法并向IBM报告了这一情况,随后IBM立即修复了安全漏洞并启动了内部调查,以评估是否有人利用了该漏洞。

 

8月2日结束的调查显示,遭到未经授权访问的信息包括姓名、联系信息、出生日期、健康保险数据、用药和医疗状况信息,社会安全号码和财务账户信息未存储在数据库中。安全专家指出,泄露的患者数据可用于高效的网络钓鱼、诈骗和社会工程攻击,考虑到医疗数据的价值,它们很有可能在暗网市场上以溢价出售。

 

强生已经不是IBM数据泄露的第一个医疗行业受害者了,仅仅数周前,科罗拉多州医疗保健政策和融资部(HCPF)通知400万人,他们的个人和医疗数据因IBM的泄露而遭到泄露。

 

面临问题,四大难点

 

进入数字时代以来,数据安全风险的危害性和外溢性已对政治、科技、经济和社会等多个领域产生了负面影响,全球数据安全治理议题的重要性和紧迫性不断上升。从发展趋势来看,数字时代的全球数据安全问题呈现出显著的特点,这对凝聚国际合作共识、推进全球数据安全体系建设、提升国家治理能力等方面提出了新的挑战。

 

华东政法大学中国法治战略研究中心教授阙天舒在《全球数据安全治理的趋势与困境》一文中指出,数据技术的快速发展、数据增量的累加增加了达成全球数据安全治理共识的难度。多元数据主体治理诉求差异增加了全球数据安全治理体系建设的难度。治理制度供给不足与制度规则间的异质性增加了全球数据安全治理机制构建的难度。显而易见,鉴于数据安全的技术与应用特性,有效确保全球数据安全仍然面临诸多现实挑战。

 

近年来,大规模数据泄露事件频频发生,并且呈现出持续上升的趋势,给企事业单位信息安全、公民隐私和财产安全带来了严重的风险和威胁。此类事件背后也折射出企业在数据安全治理上面临的诸多问题,主要包括四大难点

 

1. 数据资产难看清

企事业单位内部往往涉及数百个业务系统,近千个数据库,且往往存在内部系统相互调用,对外数据共享的情况,导致难以梳理清楚大量庞杂繁复的数据资产,难以摸清家底。

 

2. 风险隐患难监测

目前,大部分企事业单位在数据安全防护中仍依赖原有的网络安全设备,缺少专用的数据安全手段,难以判断权限、接口、访问、行为有无风险。

 

3. 防护措施难有效

为加强数据安全管控,企业往往建设了一系列技术防护手段,但这些防护手段实际防护范围、效果是否满足要求,是否存在缺失遗漏往往不清楚。

 

4. 泄密事件难溯源

由于企事业单位各个业务系统中的人员访问权限不清楚,敏感数据流向不清晰,导致无法防范单位内外人员的数据违规使用行为,因此发生泄露事件后难以溯源。

 

创新产品,全面支撑

 

党的二十大报告提出,要“强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设”。2023年1月《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》中明确指出,坚定不移贯彻总体国家安全观,统筹发展和安全,把握数字化发展机遇,以全面提升数据安全产业供给能力为主线,以创新为动力、需求为导向、人才为根本,加强核心技术攻关,加快补齐短板,促进各领域深度应用,发展数据安全服务,构建繁荣产业生态,推动数据安全产业高质量发展,全面加强数据安全产业体系和能力,夯实数据安全治理基础,促进以数据为关键要素的数字经济健康快速发展。

 

针对企事业单位数据安全现状与安全需求,如何加强数据全生命周期安全管理和技术防护?

 

国泰网信依托于核心团队在网络安全领域的深厚积淀、传承与创新,通过“专家+工具”模式,为企业提供数据资产分布识别、数据流转情况梳理、数据脱敏情况识别、数据安全管控措施梳理等服务,协助企业摸清家底,形成数据资产目录

 

该模式可全面盘点各业务系统数据流转情况,方便后续管控,解决数据流转情况不明的问题;服务通过全量WEB界面脱敏梳理,可以有效发现数据未脱敏情况;企业内部往往涉及数百个业务系统,近千个数据库,数据识别梳理服务可以有效地定位各业务系统数据资产存储分布情况;有效解决企业敏感数据对象与实际数据对象不匹配问题,避免出现敏感数据对象与敏感数据实例不匹配的问题;最后,数据识别梳理服务通过对全量防护手段的识别分析,可以有效识别各业务系统数据安全管控措施建设使用情况,为后续技术防护手段建设扩容提供依据。

 

该模式覆盖多重数据安全产品和工具,为构建数据全生命周期安全管理提供支撑。数据安全管控平台主要针对用户单位互联网数据进出口流量,通过多协议流量采集解析,延续完善的识别分析能力;采用数据库加密与访问控制系统实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全等功能;依托数据脱敏系统有效解决敏感数据在共享环节中暴露的泄密风险;数据水印溯源系统可对泄露后的数据进行溯源分析,快速锁定数据泄露的源头;数据防泄漏系统可实现用户信息系统中的数据资产及敏感信息的自动识别;采用统一密码服务平台整合密码产品、密码使用策略、密码服务接口和服务流程,解决用户的密码应用需求。

 

▲ 国泰网信数据安全技术防护体系

 

建设思路,三位一体

 

国泰网信“专家+工具”模式还包含数据安全治理服务:从梳理与评估、规划与建设、执行与运营三个层面构建全方位的数据安全治理服务体系

 

1. 前期:梳理与评估

此阶段将开展企事业单位现状调研、数据梳理与分类分级、数据安全评估等工作,并通过后续统一规划、常态运营,确保组织数据安全管控工作合法合规。

 

2. 中期:规划与建设

此阶段将以数据安全合规管理为核心,在数据安全风险分析基础上,定义组织数据安全治理的目标、使命和远景,确定主要任务和战略步骤,规划组织数据安全治理架构,进而构建组织的数据安全管理及技术能力建设实施框架体系,指导数据安全合规建设工作。

 

3. 后期:执行与运营

在协助用户单位建立数据安全审计策略、完善数据安全审计制度流程基础上,通过流量数据监测工具,结合用户单位已有审计能力,助力其开展日常操作日志审计、数据安全合规过程审计工作;确保企业单位数据安全日常审计运营工作得到有效执行,及时发现数据安全异常行为,降低企业单位数据泄露风险。

 

数据安全,方案价值

 

1. 实现企业的数据资产测绘

通过系统扫描结合人工梳理,协助企业摸清家底,掌握各数据系统业务特性、敏感数据种类等基本信息,为企业数据安全管理工作奠定基础。

 

2. 完成企业的数据风险评估

根据国家法律,行业标准,监管要求,对企业数据安全管控情况进行全面的评估,发现企业数据安全管理过程中的安全合规风险。

 

3. 提升企业数据安全防护能力

以“数据资产为核心”实现对数据资产的基础属性管理、安全使用风险监测、安全防护等数据安全场景的联动。结合实际业务场景构建行之有效的数据安全监测防护,提升企业重要数据的安全防护能力。

 

4. 建立企业数据安全常态化运营

依托数据安全能力平台建设,常态化开展数据安全运营服务,包括数据资产动态梳理、数据安全监测、审计、运营等。

 

5. 满足密评和等保的部分要求

依托统一密码服务平台,建立密码应用合规体系,结合SSL/IPSEC安全网关,完成网络层数据传输加密。方案符合密评网络层和数据层的部分密码合规应用。后续只需要进行密码扩展即可满足密评合规。

 


 

国泰网信作为深耕网络安全领域多年的专业厂商,具备体系化的数据安全、密码安全产品,能够帮助企事业单位实现自身的数据安全治理、提升数据安全防护能力,建立数据安全常态化运营,全方面推进数据安全建设工作。