隐形威胁：小心遗留系统中的被遗忘数据（Forgotten Data）

数据很容易被遗忘。特别是随着数字化转型的不断深入，很容易忽略未使用的系统或历史备份。在过去几年间，有多家公司因为这种“被遗忘的数据”而陷入困境，面临着严重的声誉损害和来自监管机构的巨额罚款。

在本文中，我们将探讨数据被遗忘的原因，它如何影响公司，以及可以采取哪些步骤来解决相关的风险和威胁。

被遗忘的数据意味着数据在整个生命周期中不再被积极地管理。当这种情况发生在一个组织中时，它就有违反多项法规的风险，包括欧盟的《通用数据保护条例》（GDPR），加州消费者隐私法案（CCPA）和其他全球隐私法规。

出现被遗忘数据的原因有很多，包括：

1. 超出项目范围

有时引入新系统是为了解决“正在燃烧的平台”（burning platform），比如摇摇欲坠的基础设施或失去支持的软件。当务之急是转向新技术。在交付新应用程序后，遗留应用程序的退役通常不包括在项目范围内。在其他情况下，问题被“踢到一边去”，并被定位为“永远不会发生的后续阶段或项目”。

2. 处理难度太大

遗留应用程序上的数据通常没有明确的所有权或上下文来支持补救和可防御的处理。手动修复数据通常被认为过于耗时，而且依赖于了解数据的个人（在某些情况下，这些人可能已经离开了公司）。

通过工具进行自动化补救可以帮助流程快速识别ROT（冗余、过时和垃圾）数据，并对由于法律或法规原因需要存档的数据进行分类。然而，大多数项目没有考虑到处理遗留数据的复杂性，等到意识到早就为时已晚。这是数据退役被排除在项目范围外，并被归为“太困难”的另一个原因。

3. 没有归档

公司没有策略或基础设施来支持由于监管原因需要保留的数据归档。因此，数据作为“存档”保留在遗留系统中，但很少或没有治理。随着人员的变化，随着时间的推移，遗留应用程序不可避免地会被遗忘。

4. 无限期保留备份

如果对数据应该保留多长时间或如何安全地存储和处理它们没有明确的标准，数据也可能被遗忘在备份中。在许多情况下，进程也没有定义如何安全地销毁或覆盖备份上保存的数据。如果没有适当的标准，或者没有检查遵守这些标准的控制，那么备份可能被放错位置，无限期地保留并完全忘记。

备份应该只用于灾难恢复，因此只对支持指定时间段内的恢复有价值。它们不应该被视为业务的档案或在诉讼的情况下合法。

数据之所以被遗忘，是因为在公司内部，它通常不被视为工作和预算的优先事项。但这样一个看似无害的疏忽会带来什么影响呢？

遗留系统使您的公司面临安全漏洞

遗留系统由于使用年限太长，会使组织面临数据安全漏洞的威胁。由于技术老化，某些漏洞可能不容易修复。即使有补丁也通常存在延迟情况（我们在Windows XP和WannaCry中看到了这一点），因为创建一个遗留补丁更难——而且在优先级列表中要低得多。遗留系统经常在缺乏支持的情况下运行，使公司面临网络和数据泄露风险。

并购（M&A）可能带来数据漏洞

如果作为收购或合并的一部分，没有进行足够的数据尽职调查（例如确保系统有适当的控制来保护个人数据）和补救措施，那么问题就可能像“特洛伊木马”一样未被发现，等待被网络犯罪分子暴露。例如，一家大型酒店经营者估计，在2014年一家被收购公司遭受网络攻击后，全球有3.39亿份客人记录受到影响。

遗留系统的操作和维护成本很高

平均而言，一家公司31%的技术是由遗留系统组成的。维护这些系统可能是一个昂贵的负担，平均有60-80%的IT预算被分配来维持它们的运行。

退役遗留系统不仅可以降低与数据可用性和完整性相关的数据风险，还可以释放IT预算，或用于证明对其他项目的投资是合理的，例如将公司数据恢复到控制下的补救项目。

过度保留的备份可能会带来安全风险

2018年，一名攻击者侵入了一家在线技术平台提供商的员工账户。暴露的数据包括当前的电子邮件地址和2007年起的数据库备份，其中包含“旧的加盐和散列密码”。这是未能例行管理和销毁备份的风险的一个主要例子。

无法履行遵守数据主体请求的能力

根据GDPR，被遗忘的数据不能从数据主体请求（DSR，指个人向企业发出的对其个人数据执行操作的正式请求）中豁免。如果遗留系统中的数据不受管理且不可发现，那么组织将很难完全遵守履行个人“被遗忘权”和访问其数据的能力。

合规地、防御性地将遗留系统退役，并将数据修复到新系统和/或公司存档，不仅意味着数据得到更安全的管理和治理，还意味着数据对DSR来说更容易发现和操作。这降低了因无法及时、符合成本效益的方式充分响应此类请求而产生的成本和风险。

1. 沟通处理遗留数据风险的重要性

建立一个业务案例，以获得高管的支持来解决被遗忘数据的风险。展示通过防御性地处理和归档遗留系统的数据可以节省的成本，以及可以避免的网络犯罪、声誉损害和更高效、更具成本效益地响应合规请求的能力方面的风险。

2. 通过数据的生命周期来管理数据

有效的数据治理应包括使数据整个生命周期（从创建到处理）都能得到治理的一整套策略、流程和控制，包括数据管理、数据隐私、记录管理和信息安全。数据管理的一个基本原则是，在数据的整个生命周期中，必须始终拥有数据，并采用适当的流程来确保数据不会被遗弃或遗忘。记录管理也发挥了关键作用，确保确定记录保留时间表，并确定处理或数据存档的规则，然后就可以根据这些规则退役遗留系统及其数据。您的公司是否有适当的政策、标准和控制来确保您的所有数据都得到有效和合规的管理？

3. 将数据治理嵌入到SDLC流程中

将数据治理原则嵌入到您的系统开发生命周期（SDLC）中，最重要的是确保生命周期结束过程作为向服务过渡的一部分得到考虑和记录。提前定义退出计划是一种很好的做法，该计划包括如何将系统退役，以及作为该过程的一部分如何安全地、合规地管理数据。

4. 实现应用程序退役的标准化方法

确保为应用程序退役定义了一种标准方法，其中包括对它们所持有的数据进行补救。这应该包括将数据归档到备用平台的方法和解决方案，如果由于法律或监管原因，数据需要在系统的有效生命周期之后保留，请遵循公司记录保留计划行事。

5. 优先制定数据卫生计划，以解决遗留数据风险

对遗留系统和暗数据（如公司内的历史文件共享）进行审计。确保对高风险系统实施了最新的数据隐私影响评估（DPIA），以了解公司无限期保留遗留数据所面临的风险水平，以及可以采取什么步骤来降低这些风险。此外，在公司的风险登记册中记录和跟踪风险，并基于公司的风险偏好创建一个优先级和成本数据卫生计划，以纠正数据，解决已识别的风险。

6. 确保数据隐私是并购尽职调查不可或缺的一部分

拥有一套明确定义的数据隐私角色、职责和流程，以支持并购活动中的尽职调查，有助于确保目标公司的被遗忘数据不会引入不可预见的风险和漏洞。审查任何已获得的系统和数据流，确保数据、隐私和安全风险已被记录在案。制定和确定补救计划，以解决这些风险，并积极跟踪它们，直至解决。

7. 检查数据备份策略

为了确保备份不会成为被遗忘的数据，要有标准化的备份过程和时间表，包括备份的频率、每种备份类型的保留周期、备份的安全性以及用于监控和检测不符合要求的嵌入式控件。有详细的流程来回收（或安全销毁）过期的备份磁盘。备份数据仅用于灾难恢复目的，不应用作记录存档，如果让它超出预期的用途，就会引入不必要的数据风险，可能会带来严重的后果。

参考及来源：https://www.ftitechnology.com/resources/blog/the-dangers-of-forgotten-data