|
你看了最新的新闻简报了吗?学区数据泄露事件呈上升趋势,您学区的学生信息系统(SIS)数据可能是黑客的主要目标。SIS包含未成年人的记录,代表未被利用的潜在受害者。身份窃贼们正在为这场盛宴磨砺他们的数字刀具。让我们从网络责任保险的角度来探讨这个话题。
框架的讨论
当我们深入讨论这个相关话题时,请记住这些问题。
- 什么是网络责任保险,它是如何运作的?
- 有关于学生和员工档案管理的法律吗?
- 我所在的学区有多容易受到数据泄露的影响?
- 我的地区如何减低资料泄露的风险?
什么是网络责任?
您是否正在寻找一种旨在管理与数据泄露相关的风险和成本的保险策略?大多数供应商已经意识到这种日益增长的威胁,现在提供一种名为“网络责任保险覆盖范围”(简称CLIC)的政策。你知道吗?数据泄露缓解的平均成本是每条记录245美元,比全球平均水平高出45美元波耐蒙研究所.向你所在学区的保险公司询问附加条款或改进条款。了解更多有关网络报道.
数据泄露的成本有哪些因素?
这个教育部门的成本考虑了以下因素:
- 调查-在发生违约事件后,受影响的各方会采取几项行动。这些行动包括详细的法医分析,有助于识别三件事。首先是入侵是如何发生的。第二个是受影响的记录数量。三是如何防止再次发生违约。要做到这一点,必须有第三方安全公司的参与,并与执法部门进行协调。
- 商业损失-这些是与数据丢失恢复、潜在区域关闭、危机管理和修复声誉损害相关的成本。
- 隐私和通知-通知受影响的人漏洞可能是昂贵的。你必须通知学生、家长、工作人员和社区。更重要的是,信用监控可能是额外的成本。那些遭受数据丢失或被盗的人通常会免费接受这种信用监控。
- 诉讼和罚款-你的组织将产生法律费用(例如诉讼、和解)和可能的监管罚款。在勒索软件的情况下,你的选区甚至可能不得不支付网络勒索的费用。
如前所述,法律费用的成本占很大一部分。
法律指导
你知道你必须通知受影响的一方安全漏洞吗?如果安全漏洞危及私人数据,你必须根据《德州身份盗窃执法和保护法案》这样说。更重要的是,你可能会面临每条记录每天100美元的罚款,每次违规最高可达25万美元。
需要了解更多的法律知识吗?读TASB的法律信息的编制.的德州校董会协会处理自己的违反2017年夏天,他们通过面向公众的网站曝光了数千名教师的敏感数据。也探索德克萨斯州数据泄露法.
评估组织的风险级别
没有哪个学区愿意将自己的敏感数据置于危险之中。这里有一些指导方针,以帮助确定您的风险水平。更重要的是,他们将帮助你识别你可能更脆弱的领域。
攻击向量
“攻击向量是黑客获取你的数字内容的路径或手段,”阿米特说Kumar沙玛.以下是学区潜在的攻击媒介:
- 学生信息系统(SIS)。这可能包括TxEIS或Skyward等系统。
- 存储在业务应用程序中的公共教育信息管理系统(PEIMS)数据。它与您的业务应用程序一起驻留。
- 处理敏感数据的人。处理敏感数据的每个人(如PEIMS协调人、IT/HR人员)可能会无意中暴露这些数据。
- 网站安全协议及证书(例如过时的安全套接字层(SSL)、sFTP)
- 非现场放置敏感数据(例如第三方供应商)
- 不安全的员工电子邮件和/或云存储
网络责任保险供应商需要知道你有安全的数据。他们可能会问以下问题:
- 如果工作人员在处理数据,他们是否对其进行加密?
- 您是否在远程位置通过不安全连接访问机密数据?
- 你是如何通过电子邮件发送敏感数据的,如果有的话?
- 员工是否知道不要将未加密的数据存放于USB闪存驱动器以供运输?
2016年8月12日,德克萨斯州圣安东尼奥市最大的学区遭遇了数据泄露。该漏洞影响了近2.3万名学生和教师。如上所述,未经授权的个人通过员工电子邮件帐户获得了入口。
防范违规的提示
以下是一些建议:
- 永远不要共享密码,句号
- 启用并使用双因素身份验证来访问密钥系统
- 确保你的工作站安全,当你从办公桌上起来的时候退出
- 确保服务器/网络柜中的局点、mdf、idf的物理/网络安全
- 网络、vLAN、无线SSID和防火墙配置使用安全协议
- 验证基本服务的安全性,包括电子邮件、SIS应用、局域网登录和VPN接入
- 设置强密码策略
热心提示:使用不带空格的密码短语或短句来代替密码。加上一个数字和标点符号,你就有了一个非常强大的密码。例如:“KeepAust1nweird !”或“Ilov3mydogSally !”了解更多.
教育和保护
教育是关键。没有哪个地区会因为网络安全漏洞而停工。在安全最佳实践方面指导您的教员和同事,并提前计划如何处理敏感数据。
