网络安全|数据安全僵局：数据泄露了？我不知道啊！( 二 ) 黑客

数据泄露对企业和个人有什么影响？当企业发生数据泄露时，用户会对企业产生不信任感，进而影响用户的选择，因此，数据泄露事故可能会令企业失去一批客户，包括潜在客户。比如，雅虎邮箱曝出泄密事件后，大批用户弃用，正在商谈收购事宜的雅虎甚至一度难以卖出。
经济受损也是最直接的，一方面，数据本身就是企业资产的一部分，当数据泄露，这部分数据资产拱手让给别人，对企业的竞争力会产生威胁，间接提高了成本且减少收益。另一方面，声誉受损会导致企业股价下跌、用户流失，这都将对企业经济利益产生直接影响。
同时还将面临监管处罚甚至是法律诉讼。我国法律明确规定了企业的安全合规义务，发生这类安全事件，罚款和整改必不可少，出海业务还将面临GDPR等全球不同地区的法律监管。而受害者除了企业自身，也可能包括下游客户或遭受数据泄露影响的其他合作者。美国征信巨头EquiFax发生1.43亿用户泄露后，面临一场美国波特兰联邦法庭的集体诉讼，赔偿金额高达700亿美元。
有些数据泄露是由于员工恶意行为或内部管理不善造成的，通常会引发高层震荡，如Uber曝出支付黑客10万封口费后，时任CSO被罢免。员工对企业的不信任感和疏离感随之产生，继而影响企业整体的发展。
企业数据泄露事件很大一部分涉及用户的隐私，个人身份信息(PII)包括姓名、身份证、地址、电子邮件、工作经历、电话号码、性别以及包括护照和驾照在内的文件副本，都可用于进行身份盗用，即有人未经许可使用您的信息冒充您。
他们可能会使用您的身份或财务数据进行欺诈和犯罪，包括与税务有关的欺诈、以您的名义开设信贷额度和贷款、医疗欺诈以及在线进行欺诈性购买。犯罪分子还可能给您使用的应用或平台（例如运营商）打电话，并假装是您来欺骗客服泄露信息或更改服务。勒索也是一种可能，当婚外情网站 Ashley Madison 在遭遇数据泄露时，犯罪分子以重金威胁一些用户要告诉他们的伴侣、朋友和同事他们的活动。
这些情况可能会造成财产损失、精神压力、社交工作生活的受阻、并影响您的财务信用评分。由于网络犯罪是全球性的，执法部门可能也很难起诉肇事者。

企业接下来应该怎么办？我们将从技术和合规两个方面给予建议。互联网企业以及大部分正在进行数字化转型的传统企业，在网络安全与数据保护方面并未给予足够的重视及投入，并且伴随数据价值的凸显以及数据应用环境的变化，许多传统安全策略已经不具备有效的保障。
遗憾的是，目前许多企业的策略非常被动，当事件被曝光或已经出现了连带的受害人事件才知道自身发生了数据泄露，被迫启动排查和响应，仅仅针对单次事件作出必要的交代。
无论是监管层面还是专业安全厂商，都极力明确事前的、与时俱进的风险评估、安全部署、主动防御永远是安全建设工作最有用也最省钱的做法，不能抱有攻击不一定会发生的侥幸心理而拒绝安全投入，一旦发生安全事故，所需付出的成本可能已不在企业能承受的范围内。
具体的最佳安全实践没有标准答案，且会随着外部环境与市场需求的变化而变化。安全419长期关注数据安全领域技术与趋势发展，《安全419编辑推荐 | 2021年度优秀安全厂商》数据安全篇介绍了目前国内市场中的部分优秀厂商，为企业满足合规要求、保护重要数据资产及个人信息提供一定的安全建设思路。