数据泄露从来不是什么好事儿,但即便有最佳防御操作,该发生的还是会发生。一旦泄露事件发生,我们需要考虑的是该如何恰当处理。
成都创新互联主要从事网站制作、做网站、网页设计、企业做网站、公司建网站等业务。立足成都服务荣昌,十多年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:13518219792
8月24日上午,T-Mobile给用户发了一封短信:“T-Mobile MSG:您好,我们识别并阻止了对您信息的未授权捕获。没有财务信息、身份证号被盗走,但一些个人信息或许有所泄露。”并在短信中附了一个通往T-Mobile安全声明的链接
(https://www.t-mobile.com/customers/6305378821),声明中所说内容与短信基本相同。
遭受数据泄露固然不是什么好事儿,但越深入分析整个事件,就难免会越感谢T-Mobile发出的这条警告。原因正在于,T-Mobile干了件似乎永远不会发生的事。简言之,T-Mobile发现了入侵,阻止了数据泄露,然后立即通知了客户。
T-Mobile至今对如何抓获该黑客的情况守口如瓶,但很明显,该公司有一套很有效的入侵检测机制。而且,这家公司也有能力在发现入侵者后将之踢出公司系统,这一点不是每家公司都能做到的。
T-Mobile发言人表示已没有进一步的威胁,但未就黑客身份做进一步的解释,也没有详细描述该公司是怎么响应这次数据泄露的。
致电T-Mobile客服热线打听数据泄露详细情况的结果是,该公司几乎即时修复了相关安全问题,客户只有姓名和邮编被盗走了。
收到T-Mobile通告泄露事件的短信后,一大堆警告有关严重后果的邮件几乎淹没了用户邮箱。这些邮件来自自称能缓解该数据泄露,保护客户数据,或者推销客户根本不需要的一些付费服务的公司。
但因为泄露的破坏性很小,被盗信息也基本上是公开的,所以受影响客户基本没什么安全风险。
数据泄露值得汲取的两个经验教训:
(1) 所谓的帮助,尤其是那些数据泄露声明放出后不久发来的,基本上没什么用。
用户邮箱中收到的各式各样帮助邮件,通常来自于除了高价通用建议以外并没有什么有用措施可以提供的公司。
(2) 数据泄露并非全都影响甚广,也有没人遭受侵害,且各方都负责任地加以处理的情况。
T-Mobile案例中,母公司德国电信位于欧洲,所以要遵守GDPR有关数据泄露的要求。
虽然欧洲半数国家及联邦政府都有及时向公众或股东报告数据泄露的要求,GDPR是严格规定了数据泄露事件必须在72小时内报告当局,T-Mobile遵守了该要求。
GDPR还要求数据泄露的主体,本案例中也就是客户,要接到“没有不当延迟”的通知。T-Mobile通过向每一位受影响人士发送短信通知做到了这一点。
虽然T-Mobile美国是否受GDPR管辖尚未明确,其母公司肯定是要遵从GDPR的,而T-Mobile美国公司显然遵守了那些规则。该公司还宣称已经修复了导致泄露的问题。
该案例明显昭示出欧盟GDPR规则影响到美国移动服务提供商时会发生的情况:公司执行了自己本应遵守的合规操作。
还有一点:T-Mobile表现出了在规定时间内检测数据泄露、修复漏洞并通知受影响客户的能力。GDPR在今年5月25日生效后,公司企业冒出的难以遵从快速响应要求的抱怨,相比之下,显得毫无道理。
如何规划处理不可避免的安全事件呢?
【本文是专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
网页题目:T-Mobile事件告诉我们美国企业如何响应数据泄露
当前地址:http://www.shufengxianlan.com/qtweb/news13/546563.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联