你看过最新的快讯了吗?学区数据泄露正在上升,您学区的学生信息系统(SIS)数据可能成为黑客的主要目标。SIS包含未成年人的记录,代表未开发的潜在受害者。身份窃贼们正在为这场盛宴磨刀。让我们从网络责任保险的角度来探讨这个话题。
构建讨论框架
当我们逐步讨论这个相关主题时,请记住这些问题。
- 什么是网络责任保险?它是如何运作的?
- 是否有关于学生和员工记录管理的法律?
- 我的学区有多容易受到数据泄露的影响?
- 我的地区如何降低数据泄露的风险?
什么是网络责任?
您是否正在寻找旨在管理与数据泄露相关的风险和成本的保险单?大多数提供商已经意识到了日益增长的威胁,现在提供了一种称为“网络责任保险”或CLIC的保单。您是否知道,缓解数据泄露的平均成本是每条记录245美元,这比世界平均水平高出45美元,这是由根据泼蒙研究院.请向您的学区保险提供商咨询附加条款或增强条款。了解更多有关网络覆盖的信息.
影响数据泄露成本的因素有哪些?
教育部门的成本考虑了以下因素:
- 调查–违约后,受影响方采取多项行动。这些行动包括详细的法医分析,有助于识别三件事。第一个问题是违约是如何发生的。第二个是受影响的记录数。三是如何防止违约再次发生。为此,必须有第三方安全公司的参与,并与执法部门协调。
- 商业损失–这些是与数据丢失恢复、潜在地区关闭、危机管理和修复声誉损害相关的成本。
- 隐私和通知–通知受影响的人违约可能会很昂贵。您必须通知学生、家长、员工和社区。此外,信用监控可能是一项额外成本。那些遭受数据丢失或盗窃的人通常会免费获得这种信用监控。
- 诉讼和罚款–您的组织将承担法律费用(如诉讼、和解)以及可能的监管罚款。在勒索软件的情况下,您所在地区甚至可能不得不支付网络勒索。
如前所述,法律费用的成本占很大一部分。
法律指导
您是否知道必须将安全漏洞告知受影响方?如果安全漏洞损害了私人数据,您必须根据《德克萨斯州身份盗窃执法和保护法》这样说。更重要的是,您可能面临罚款,每次记录罚款100美元/天,每次违规罚款高达250000美元。
需要更多地了解法律吗?读塔斯布的法律资料汇编.这个德克萨斯州学校董事会协会处理他们自己的违约2017年夏天,他们通过面向公众的网站公开了数千名教师的敏感数据。也探索德克萨斯州数据泄露法.
评估组织的风险水平
没有一个学区希望将其敏感数据置于危险之中。这里有一些指导方针可以帮助您确定风险水平。更重要的是,它们将帮助你确定你可能更脆弱的领域。
攻击向量
攻击向量是黑客获得你的数字内容的途径或手段。阿米特说库马尔·夏尔马. 以下是潜在的学区攻击向量:
- 学生信息系统(SIS)。这可能包括TxEIS或Skyward等系统。
- 公共教育信息管理系统(PEIMS)数据存储在您的业务应用程序中。它与您的业务应用程序一起驻留。
- 处理敏感数据的人员。处理敏感数据的每个人(如PEIMS协调员、IT/HR人员)可能会无意中暴露敏感数据。
- 网站安全协议和证书(例如过时的安全套接字层(SSL)、sFTP)
- 敏感数据的异地放置(如第三方供应商)
- 不安全的员工电子邮件和/或云存储
网络责任保险提供商需要知道您已保护数据。他们可能会提出以下问题:
- 如果工作人员正在处理数据,他们是否正在加密数据?
- 您是否从远程位置通过不安全的连接访问机密数据?
- 你是如何通过电子邮件发送敏感数据的?
- 员工是否知道不要将未加密的数据放在USB闪存驱动器上进行传输?
2016年8月12日,德克萨斯州圣安东尼奥最大的学区遭遇数据泄露。这起违规事件影响了近两万三千名师生。如上所述,未经授权的个人通过员工电子邮件帐户进入。
防止违约的提示
以下是一些需要记住的提示:
- 永远不要共享密码,句号
- 启用并使用双因素身份验证来访问密钥系统
- 保护您的工作站并在您从办公桌上起来时注销
- 确保服务器/网络机柜中办公室、MDF和IDF的物理/网络安全
- 对网络、vLAN、无线SSID和防火墙配置使用安全协议
- 验证基本服务的安全性,包括电子邮件、SIS应用程序、局域网登录和VPN访问
- 实施强密码策略
热点提示:使用短语或不带空格的短句代替密码。包括一个数字和标点符号,你就有了一个非常强大的密码。例如:“KeepAust1nweird!”或“Ilov3mydogSally!”了解更多.
教育和保护
教育是关键。由于网络安全漏洞,任何地区都无法承受停机时间。就安全最佳实践指导您的教员和同事,并提前计划如何处理敏感数据。