“在资本一次泄漏之后:什么能阻止数据泄露”

我听说除非住在锁下(这一天不是坏事)，否则capital one最近遇到了数据泄露。 据数据安全专家brian krebs介绍:

联邦检察官指控西雅图妇女窃取了capital one提供的1亿多份信用申请的数据。 FBI代理涉嫌从租用的云数据服务器下载近30 gb的capital one信用申请数据，逮捕了paige a. thompson。 capital one说，这件事影响了约1亿美国人，其中包括约140，000个社会安全号码和约80，000个美国顾客的银行账号。

在该网站刊登的声明中，capital one说:

重要的是，信用卡账户和登录证书没有受到损害，99%以上的社会安全号码没有受到损害。 根据我们迄今为止的分析，我认为这个消息很少用于欺诈和从那个人那里传达。

有什么不能做的人吗？

capital one信息后，CUNA ( Creditunionnationalassociation )发送推文。

国会迫切需要采取行动制定联邦#data #privacy标准。 我们敦促国会将数据隐私视为国家安全问题，修复系统薄弱环节，制定强有力的联邦标准。 # # stopthedatabreaches

这并不是该协会第一次要求更严格的法规。 在2019年5月的博客文案中，倡导组织向国会发出了呼吁。

将数据隐私视为国家安全问题的理由是，2005年以后，美国发生了10，000多件数据泄露，影响了近120亿件客户记录。

要求拥有和采用客户所有数据的实体必须遵守强大的联邦数据安全要求。

制定优先于现行州法律、法规和要求的联邦标准。

在给参议院银行委员会的信中，cuna写道:

如果这样的法律采用个人识别新闻( pii )进行收容，并不要求保护与强者一致的数据，国会不得期望能够制定任何数据隐私法来提供其所需的隐私级别。 联邦安全要求。

越来越多的法规是答案吗？

我可以理解呼吁采取越来越多的监管措施，但不能改变任何事件-当然#stopthedatabreaches也不做。

trust exchange业务开发副总裁tim wood表示，该平台使企业能够创建定制合规性策略、合规性认证和实时合规性监控。

越来越多的监管可能没用。 由于需要给包括信用评级机构在内的微薄遗留机构造成严重损害，没有足够的政治意志力来带来真正的变化。

互联网安全公司defensestorm首席执行官steve soukup指出了更大的问题。

不足以满足监管要求，不应该成为标准。 这是测量准备的最低标准。 对通过考试的人最少的人来说，越来越多的监管有助于提高利润率。 但是，我们无法处理需要处理的问题。

越来越多的法规，特别是呼吁制定联邦法规，忽视了两个现实。

联邦政府没有足够的技能或没有访问，以便充分了解互联网安全威胁的深度和多样性。

联邦政府长期以来一直在研究和制定对抗数据安全的法规。 新的规则一出台，新的威胁就会急剧增加。 如果联邦政府迅速采取行动，情况就会过于简单化。

defensestorm的soukup补充道:

毕竟，这不是关于阻止违规行为。 是关于尽快检测、包容和恢复。 就是对可以接受的风险做出明智的决策。 华盛顿的法规不会发生这种情况。

pii妄想

这里还有一个问题。 个人识别新闻( pii )不再像过去那样了。

capital one的声明强调了pii没有因违规行为而泄露(或者很少)。 但这低估了其他形式新闻的潜在价值。

布隆伯格新闻在谷歌和万事达卡为了跟踪零售销售而削减秘密广告交易的文案中进行了报道:

在过去一年中，选择谷歌广告的客户可以使用强大的新工具，跟踪他们在线投放的广告是否在美国实体店销售，原因是谷歌支付的万事达卡交易库存。 谷歌发布这项服务时，表示通过合作伙伴可以访问美国约70%的信用卡和借记卡。 谷歌可以匿名将现有的客户资料与在实体店的购买进行匹配。

要点如下。 如果谷歌知道你的在线行为、离线行为，如果有制作广告并根据该消息发送消息的方法，如果他们不知道你的姓名、社会安全号码或其他消息，那真的重要吗？

没有个人能让公众认识到报道的泄露是违反行为已经不可能的保证。

这是关于风险管理的

据soukup称，金融机构必须管理互联网风险，就像将信用风险作为核心竞争力的一部分进行管理一样。 他们需要制定可靠的政策，控制和测试程序。

真正的挑战可能是让其他类型的公司也这样做。