通用电气宣布第三方服务提供商数据泄露

通用电气(GE)披露了一起数据泄露事件,该事件源于其第三方服务提供商佳能业务流程服务公司。

装饰图片

在当前新闻周期聚焦新冠疫情报道之际,您或许忽略了美国跨国企业通用电气(GE)近日披露的一起数据泄露事件——该事件源于其第三方服务供应商佳能业务流程服务公司Canon Business Process Services。此举使通用电气加入了万豪Quest DiagnosticsLabCorpSprint和Target等众多遭遇同类数据泄露的全球知名品牌行列。 这起事件恰恰凸显了加强对第三方管控的必要性。

以下是关于此次数据泄露事件的简要说明,以及第三方风险管理解决方案(如Prevalent提供的方案)如何提供帮助。

GE数据泄露事件概述

据通用电气公司称,2020年2月3日至14日期间,未经授权的第三方访问了佳能公司的一处电子邮箱账户,该账户存有通用电气现任及离职员工及其受益人的敏感信息。通用电气曾与佳能合作进行文件处理业务。 遭入侵邮箱账户管理员所保管的文件包含个人敏感资料,如工资直接存款表格、驾驶执照、护照、出生证明等,其中可能涉及姓名、地址、社会保障号码、驾照号码、银行账户号码、护照号码及/或出生日期等信息。

尽管我们尚未确定攻击载体——例如可能是鱼叉式网络钓鱼或社会工程学攻击所致——但我们确知持续评估和监控第三方控制措施有助于降低此类安全事件的发生概率及其影响程度。

第三方风险管理如何助力

在这个充满不确定性的时期,黑客将伺机利用团队注意力分散和资源枯竭的漏洞。当供应链安全比以往任何时候都更为关键之际,我们再也不能将其视为合规检查的勾选项。

成熟的第三方风险管理计划具备敏捷性,并通过以下方式为数据泄露事件做好准备:

  • 根据一系列安全最佳实践框架评估供应商,并针对需要修复的薄弱环节进行明确评分。
  • 监控暗网黑客聊天论坛,以发现公司提及或被盗凭证
  • 利用实时漏洞通知及多源情报,为关键网络安全实践(例如双因素认证、密码轮换策略以及员工培训与意识提升计划)的非通道评估提供依据。
  • 利用预先完成的评估来了解供应商过去是否存在类似漏洞,以及他们的补救计划是什么。
  • 采用程序化流程进行违规检测、通知及向相关第三方上报

通用电气表示,他们正在采取适当措施确保安全;此次事件并未直接影响通用电气系统;且正与佳能合作调查事件发生原因。然而,对于可能受此次数据泄露影响的数千名通用电气员工而言,这些声明并不能带来多少安慰。通过益百利提供的两年免费信用监控服务,不过是治标不治本的权宜之计。

担心自身第三方风险管理措施是否到位?立即参与Prevalent在线风险评估,快速获取评分及亟待解决事项的改进建议。


编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。