从轻处理？万豪酒店因数据泄露被罚款近1.6亿元

近日，英国信息专员办公室(简称’ICO”)对美国酒店集团万豪(Marriott)进行了1840万英镑(约1.6亿元)的罚款，原因是该公司的数据泄露事件影响了全球数百万客户。
据悉，此次罚款金额其实比最初计划的要少，因为监管机构考虑了万豪的陈述、万豪为减轻事件影响所采取的措施，以及疫情对其业务的经济影响，然后才制定了最终的处罚。
万豪酒店被罚款近1.6亿元
2018年11月，万豪宣布，疑似受2014年发生的安全漏洞影响，其旗下的喜达屋酒店多达5亿客人的数据遭到泄露风险。这是历史上最大的数据泄露事件之一，也是万豪酒店业遭受最严重的的一次。
据该公司称，2014年，黑客开始入侵喜达屋的客人预订系统，并对信息进行复制和加密。黑客访问了近3.27亿客人的个人信息，泄露的记录包括姓名、邮寄地址、电话号码、电子、护照号码、出生日期、性别、到达和离开信息、预订日期。喜达屋数据泄露案的调查显示，被盗数据还包括财务数据、支付卡号和支付卡截止时间，即使是已经加密的信息也没逃过。
据信息专员办公室说，数据泄露影响了3000万名欧洲居民，其中包括700万名英国居民。
英国监管机构认为，万豪在2016年收购喜达屋时没有进行充分的尽职调查，也没有采取必要措施确保其系统安全。“个人信息很珍贵，企业必须加以照顾。企业之所以需要严格保护客户数据，除了面临罚款惩罚之外，他们有义务保护数据。”
从数据存储的介质来看，核心数据最终都会落到数据库里，如果数据库被颠覆了，一切归零，对于企业来讲，损失不可预估。因此说，安全是一个水桶原理，往往是从最短板的地方流出，那么现在发生的信息泄露事件90%以上都和数据库有关。
站在数据库安全行业的肩头眺望
传统的安全防护思维已经无法适应现在安全态势的发展，原有部署的防病毒、网关类基础安全产品，已经不足以抵御愈变愈复杂的攻击行为。这就好比我们把财富放在家里，就觉得相对安全了，然后你把家里的防盗门装好，便认为家里的东西本身就不需要再做什么安全措施了。这就好比数据库都是放到企业内部或者内网当中，在外围加上防火墙，再加一些控制就变得很安全了。实际上这个是远远不足够的。
拿银行的内部系统来看，
第一个就是内部很多第三方开发人员，他们可以直接访问数据库，有一些好一点，弄一个测试库，但是测试库又与真实数据库中的数据相同，实际上在这种情况下数据库中的数据是可以直接被开发人员拿走的；
第二种情况就是运维人员，银行内部大多也没有足够的运维人员，运维也是外包服务，这就造成外部的运维人员可以直接接触到系统的生产库，所以这些外部的运维人员是可以直接把数据库中的数据拿走的。
另外还有一些更可笑的，有一年，香港花旗银行做装修，装修过程中由于安全防护没做好，数据库服务器丢了。数据库服务器丢失以后，实际上后端的那些数据存储是完全有手段还原成明文的。那个时候数据自身的一些防护措施已经不起作用了，花旗银行的所有客户资料都泄露了。
目前市面上被认知较多、用户接受度较高较多的也是数据库审计产品，该类事后追踪审计产品确实在金融行业应用较多，但从安全防护的过程来看，数据库安全同样包含事前的数据库安全体检、事中的数据库安全访问控制防御、库内数据的加密和事后的行为监测与审计。而事后的追溯反映，快也要3到6个月，企业才会知道，而散落在外面的数据，在这个时间里，不知道已经被传阅和贩卖了多少次了。因此，事前的防御和事中的过程控制不可或缺。通常数据库防火墙和数据路加密产品，可以解决此类问题。
现在访问数据的途径变多了，那么在系统中留下的后门和窃取数据的途径也变多了，用户数据的价值增大了，所以现在数据泄露事件频发也是一个必然的现象，数据库安全也在逐渐被企业提高维护意识,高防安全服务器：https://www.56dr.com/