近日,上海市网信办发布消息称,属地某医疗科技公司所属系统存在网络安全漏洞,致使系统大量个人信息数据发生泄漏,被境外IP访问窃取。
根据网信办的调查结果,涉事医疗科技公司为民营医疗机构,主要从事医疗领域教育培训的技术开发服务,涉事系统为该企业内部生产测试系统,部署于云服务平台,系统数据库内存储大量个人信息数据,包含姓名、单位名称、所属省市、所在乡镇/街道、手机号等。
上海网信办表示,该系统未采取有效网络安全防护措施,造成数据泄漏被窃取,违反了《数据安全法》第二十七条规定。网信办依法对该医疗科技公司给予警告,并处以罚款的行政处罚,具体处罚金额未透露。
《数据安全法》第二十七条,是近年数安法违规的高发区。第二十七条规定:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。简单来说,企业有保护数据安全的基本义务,否则可以被追责。
根据南财合规科技研究院之前的统计数据,自《数据安全法》于2021年实施至2023年期间,在已公开的28起数据泄露行政处罚案例中,有超过半数(即15起)的案例均违反了《数据安全法》的第二十七条。这一数据凸显了当前我国在数据安全领域所面临的严峻挑战,反映出企业和个人在数据安全意识上的欠缺,以及在数据安全保护技术和管理体系上的不足。
进一步分析这些数据泄露事件的技术根源,我们可以发现,相关数据未经充分安全防护便被上传至云端的情况日益增多,成为了一个亟待解决的问题。特别值得一提的是,2023年在浙江温州发生了一起重大的数据泄露事件。某科技有限公司在为浙江某县级市政府部门开发并运维信息管理系统的过程中,未经建设单位许可,擅自将建设单位所采集的敏感业务数据上传至其租用的公有云服务器上,并且未采取任何有效的安全防范措施,最终导致了数据的泄露。
针对这一事件,浙江公安的网安部门迅速介入并依法进行了处理,对该科技有限公司处以了100万元的行政处罚。同时,当地纪委也对此事进行了深入调查,并对相关责任人进行了严肃的问责处理。
(本文转自:21世纪经济报道)
保护企业数据安全需要企业加强数据安全意识和技能培训,制定完善的数据安全管理制度和操作规范,并选择可靠的数据加密软件和备份方案,以保障企业数据的安全性和可靠性。
同时,对于重要数据,企业还需要定期进行安全审计和风险评估,及时发现和处理潜在的安全隐患。只有如此,才能确保企业的数据安全,为企业的可持续发展保驾护航。
天锐股份专注于数据安全领域产品研发,通过终端安全管理、数据泄露防护、网络准入控制等先进技术,为企业事单位打造全方位的数据安全解决方案,最大力度保障企业数据的使用和管控,构建多层次、全方位的企业数据安全保护体系!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...