大数据意味着大风险,瑞典运输代理泄漏表现
瑞典的运输代理将其数据库外包给捷克共和国的IBM,但现在已经透露,没有进行所需的安全许可检查。
因此,捷克共和国的IBM管理员可以访问关于瑞典的所有车辆的数据,瑞典新闻网站据报道,瑞典新闻网站。
它还出现了瑞典运输代理机构将其防火墙和网络的维护到塞尔维亚的一家公司,甚至可能进一步暴露敏感数据。
瑞典在其他国家的数据服务不违法,但根据检察官,运输机构未能确保处理数据的人有适当的安全许可。
据报道,暴露的数据包括所有道路和桥梁的重量能力,这表明在战时中的空军可以使用它;所有政府和军用车辆的详细信息;战斗机飞行员的个人详细信息,警察队成员,瑞典军队最秘密的单位和瑞典证人保护计划的每个人。
这个故事首先在瑞典袭击了瑞典瑞典总干事MariaOÅGren的前任总干事 - 在2017年1月被解雇的原因 - 被罚款在被判“粗心”之后被罚款了半个月的薪水秘密信息“。
据英国广播公司表示,根据运输机构的一份声明,Ågren忽略了瑞典国家安全法,个人数据法和宣传和隐私法案,根据英国广播公司拒绝发表评论。
原子能机构拒绝详细介绍了包含的机密信息是数据库,但表示它没有军事飞行员登记册。然而,该机构表示确实有关于受保护身份的人们的信息,但表示没有理由关注。
运输机构表示已经开始一个进程,以确保只有安全许可的人员只能访问数据,但预计只在2017年秋季完成了这一进程。
据Rick Falkvatee称,由于塞尔维亚和俄罗斯情报服务与俄罗斯情报服务之间的密切关系,这一故事提高了国家安全问题,并且罚款半月的罚款是瑞典政府中有史以来最恶劣的句子。 ,VPN提供商私人互联网接入和海盗派对的创始人的隐私负责人。
“如果一个常见的凡人通过这种疏忽泄露了这一数据,那么刑罚就会成为监狱的生活。但不是在政府自己完成时,“他在博客岗位写道。
根据Falkvinge,在3月份,瑞典运输机构将整个车辆登记册发送给订阅者,但未能删除证人保护计划和其他类似计划中的人民的细节。
当发现这个错误时,他说没有敏感身份的新版本没有用摧毁旧副本的说明分发,而是指出了敏感的身份,而是用第二个清晰的文本电子邮件中指出并命名,其中包含删除所有订阅者的请求这些记录自己。
Domaintools的高级网络安全威胁研究员Kyle Wilhoit表示,直到组织学习基本补偿安全控制,这种情况会持续下去,并且可能更糟。
他说:“作为两个因素认证的事情,横跨多个帐户的相同密码可能是有助于停止这种违约。
WilhoitWarned认为网络罪犯将使用数据违反这一规模的数据,以创建一个健康的未来网络犯罪管道,从纪录已在黑暗的网络上销售后开始。
“这可以用来促进身份或银行欺诈,以及向导致恶意软件发送目标网络钓鱼电子邮件,”他说。
Rakevision的首席执行官Joe Fantuzzi表示,突发再次强调组织需要彻底评估和理解其第三方供应商的风险环境。
“虽然了解自己的风险环境是提高风险姿势的第一步,但它远非唯一的步骤。他说,未能评估第三方漏洞的组织将留下巨大的盲点,这将使它们易于泄露和网络攻击在路上,“他说。
最终,Fantuzzi表示,组织需要真正考虑第三方环境作为自己的延伸,并从安全和风险的角度来看。“只有这样,他们才能准确地看到整个风险姿势的大局,”他说。
Varonis的全球实地工程副总裁Ken Spinner表示,降低蓄意或意外数据曝光风险的最佳方式是限制对最需要它的人并监控数据访问的人,以便在发生任何可疑的事情时,它可以在制作全球头条新闻之前陷入困境。
“这往往是砍伐数据隐私政策执法,简单错误或普遍糟糕的安全习惯的行为,最终导致违规 - 而不是邪恶的攻击,”他说。
根据旋转器的说法,限制数据访问和采用隐私式方法在主动保护关键数据方面有很长的路要走。
“也许最重要的是,政府机构 - 以及任何流程和储存敏感数据的组织 - 需要建立和秉承强大的网络安全和数据保护实践:不仅用于内部使用,而且对所有第三方承包商也是如此。”
Intek Mantin是Imperva Reparage的主任表示,在AI技术中飙升,依赖庞大的数据,以便做出更好的决策,确保它成为安全官员的巨大挑战。
“更多用户依赖于访问更多数据的工作,并且大部分时间都需要此访问。随着难以预测的用户的动态数据访问需求,尝试利用建立最小特权访问控制系统的传统方法,这些方法授予每个用户可以访问他真正需要的数据,是徒劳的,“他说。
在涉及内部人员和安全流程的情况下包含违规的能力,Mantin大量取决于该组织检测到漏洞的时间并到达数据到达的不受控制的设备。
“然而,涉及内部人和第三方的这些违规问题的问题是没有涉及恶意软件,并且不会渗透到组织,并使防火墙和抗病毒完全失明的安全机制,”他说。
“为了获得可促进这种违规的快速检测,安全控制应专注于访问业务关键数据和用户的私有数据,监视器访问,将访问模式与”常规“活动进行比较,并检测异常数据访问。“