数据外泄指未经授权将
敏感数据从计算机或网络故意传输至由攻击者控制的外部系统的安全事件,通常涉及
知识产权、财务数据、
个人信息等内容,其与数据泄露的核心区别在于前者属于蓄意窃取行为。常见技术手段包括网络钓鱼攻击、恶意软件植入、内部人员泄密及社会工程学攻击,医疗等领域因内部管理漏洞导致数据外泄。
数据外泄最常见的方法是攻击者侵入企业网络窃取敏感数据。但是,并非所有的数据外泄都是如此富有戏剧性的。如果医护员工未经授权越过授权人员的肩看了电脑屏幕上显示的病人的健康信息,这也是一种数据外泄。
许多行业准则和政府法规规定严格管理敏感或个人信息数据,避免数据外泄。例如,在企业环境中,支付卡行业数据安全标准(PCI DSS)决定处理和使用敏感个人验证信息(如信用卡号码、个人密码和银行帐户号码以及姓名和地址)的人员。在医疗环境中,健康保险携带与责任法案(HIPAA)规定了可以查看和使用个人健康信息(如姓名、出生日期、
社会安全号码和健康史信息)的人员。
如果未经授权的人查看了这些信息,保护这些信息的公司或医疗机构就遭受了数据外泄(data breach)。如果数据外泄造成了身份盗窃或违反了政府或行业法规遵从,违规组织可能面临罚款或其他民事或刑事诉讼。