吴沈括,北京师范大学刑科院暨法学院副教授、硕导、中国互联网协会研究中心秘书长

作为最新的大规模数据泄露事件,近日法国空客公司(Airbus SE)“商用飞机业务”信息系统成为造成数据泄露的网络攻击的又一受害者,数十亿条信息记录流入暗网。

该公司周三表示,该事件导致了对员工数据的未经授权访问,但对空客的商业运营或知识产权没有任何影响。

目前调查正在进行中以了解是否有特定的数据成为网络攻击针对的目标,已经确证一些个人数据被非法访问,主要是空客员工的职业联系方式和IT识别信息。

空中客车公司表示,已按照《一般数据保护条例》(GDPR)通知有关部门,并注意到调查人员正在努力查明此次入侵的原因。

VChain的首席执行官Irra Ariella Khi声明,有可能对空客的数据存储系统开展审查。他承认,此次空客的数据泄露事件是另一个例子,表明目前存储敏感数据的做法不适合数据处理的目的。

将数据保存在集中式、易受攻击的系统上,会让黑客攻击变得很容易,当下迫切需要转向使用基于设计隐私(privacy by design)原则构建的系统(在这种设计原则中,数据安全性要求被内置到系统中)。数据不能存储在一个必然被攻破的盒子中。

航空业所处理的雇员、操作人员或乘客的个人资料是高度敏感的。该行业受到高强度监管是有理由的:数据安全对于确保安全至关重要。

Irra Ariella Khi呼吁:“无论网络攻击的动机是什么,都不应该让获取数据变得如此容易。”

据悉,如果法国数据保护部门认定空客处理个人数据或将其存储在弱保护存储环境的行为不当,可能会触发GDPR罚款。

未完待续:时间原因,暂且搁笔,鉴于本事件的重要样本意义,笔者计划持续追踪分析本次空客大规模数据泄露事件,敬请关注!)

声明:本文来自网络犯罪工作坊,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。