陈根:数据泄露——外贼易挡,家贼难防
文/陈根
在数字经济时代,数据是最核心的生产要素。事实上,生产要素的转换也是社会更迭的重要标志。当前,围绕数据的搜集、加工、分析、挖掘过程中释放出的数据生产力,正在成为驱动经济发展的强大动能。
对于企业来说,当前市场竞争很大一部分正关乎数据权属的竞争,数据收集规模较大的公司通常拥有覆盖各领域的大量移动应用程序。比如,腾讯公司开发了516个移动应用程序,使其能够在安全、社交、新闻、音乐、游戏等多领域的数据收集中占优势地位。可以说,数据的防护关乎到整个公司的存亡。
然而,外贼易挡,家贼难防。企业数据泄密事件通常是由组织内部的员工或领导者引起的,如何应对这种“内鬼式”的数据泄露已经成为摆在企业网络安全面前的一道难题。
外贼易挡,家贼难防
事实上,个人信息数据安全早已成为老生常谈的问题。数据安全是数字经济发展的一大基础,包括电子商务、打车出行、刷脸支付等在内的各类线上服务都与用户个人信息深度捆绑。数据安全的城墙一旦被攻破,公民信息将失去保护,各类违法侵权事件也将随之而来。
近年来,国家陆续出台了一系列保护公民信息安全的法律法规,业内公司持续完善用户数据安全的“护城墙”,相关部门和个人对相关违法违规行为的监督检举力度也在不断加强。但这依旧没有拦住堡垒从内部被攻破。
近年来,关于内部人员窃取数据非法销售的事情可以说是层出不穷。比如,特斯拉前员工马丁·特里普(Martin Tripp)盗取的“数十份有关特斯拉的生产制造系统的机密照片和视频”;苹果公司前员工张晓浪在参与无人驾驶汽车项目时,凭借职务关系,通过“广泛的内部安全和机密数据库访问权”非法获取大量信息;台积电任职10年的技术副总,将16nm、10nm等机密文件非法保持,准备离职。
内部人员盗取数据并非偶然,从希拉里·克林顿、斯诺登、“闺蜜门”,到SWIFT、泰国的ATM机,大都是“自己人”在捣乱。据调研机构波洛蒙研究所的调查,组织的内部员工的无意行为是最常见的内部威胁形式,占数据泄露事件的64%,而外部攻击行为只占数据泄露事件的23%。
“内鬼”导致的数据的泄露几乎跨越了所有的生产生活行业。在教育培训行业,更是有很多家长都有曾被教育培训机构的推销电话骚扰过的经历。这些教育培训公司,为了拓展业务,接到生源,铤而走险,非法获取家长个人信息的案例屡见不鲜。
在家装、房产中介、地产开发业以及酒店业,无锡倒卖公民信息案令人们印象深刻:2020年3月19日一家装潢公司营销人员李某在网络聊天群内,买卖无锡多个小区业主的个人信息,倒卖公民信息超500万条,涉及楼盘名称、业主姓名、身份证号、电话号码、楼栋号、房产面积等敏感隐私信息。
但最严重的还是银行保险等金融行业。银行是人们最依赖的机构之一,但同样也是滋生各种类型“内鬼”的土壤,泄露在“暗网”的个人信息60%以上都来自金融行业。
几日前,《经济参考报》记者获得某证券机构资金50万以上优质股民信息页面截图。页面显示,25969条数据,标价168美元,拥有姓名、开户证件号、性别、年龄、籍贯、手机号、浮动盈亏等9个数据维度。
发帖者表示:“姓名、身份证号码、手机号码等信息可自行验证,数据不多,贵在真实。”该数据自2021年1月17日发布,显示已成交3单。
国家计算机信息安全测评中心数据显示,重要资料被黑客窃取和被内部员工不当泄露提供的比例为1:99。消金社曾咨询了数位查询流水的黑产从业者,有人表示“数据源是从银行后台出的,你可以打印出来。”
一位曾在某商业银行任职一线柜员的员工也表示,其所在银行的柜员只需进入后台系统,就可随意查看客户一段时间内的交易流水,无需授权。河南工业大学曾对郑州商业银行300位客户经理进行问卷调查,结果显示:
60%以上的客户经理所在银行没有建立客户信息保密制度,不了解客户信息的范围;70%的客户经理认为所在银行的客户信息保密制度过于原则,没有覆盖客户信息收集、整理、提升和使用的各个环节;90%的客户经理认为客户信息主要掌握在客户经理手里,所在银行没有规定统一保护措施,工作调动可以随意带走客户信息,不存在任何制约措施。
可以说,任何行业,信息安全的把关不严,都为“内鬼”钻漏洞泄露个人信息提供了天然的土壤。如何应对这种“内鬼式”的数据泄露已经成为摆在企业网络安全面前的一道难题。
拒绝“内鬼自盗”
据不完全统计,国内个人信息泄露数达55.3亿条左右。平均算下来,每个人就有4条相关的个人信息被泄露,车辆、房产、地址、职业、年龄、电话号码、身份证信息等在黑市上频繁流动。
国内知名信息安全团队“雨袭团”去年10月发布报告称,在一年半的时间内,高达8.6亿条个人信息数据被明码标价售卖,个人数据基本处于裸奔状态。大量的数据被窃取,这给用户的个人信息安全带来了极大的风险与隐患。
近年来,国家陆续出台了一系列保护公民信息安全的法律法规,业内公司持续完善用户数据安全的“护城墙”,相关部门和个人对相关违法违规行为的监督检举力度也在不断加强。
即便如此,个人信息泄露的事件仍时有发生。可见,守护好个人信息数据的安全,不仅需要法律法规的保障、技术力量的支撑,需要有关企业提高安全意识、责任意识,还需要行业从业人员具备基本的职业素养和道德操守,也需要社会舆论拓展监督视角。
一方面,要确认企业对客户数据泄露事件的担责。即公司“内鬼”、黑客外部攻击等导致数据泄露的情况出现后,企业要承担责任,因为其对数据具有安全保障责任。尽管从目前的实践看,数据泄露事件发生后,查找与之对应的责任人可能存在一定难度,但作为数据管理者的企业却很容易找到,用户可以要求数据管理者承担责任。
国家网络安全法明确规定,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。也就是说,虽然企业可能也是数据泄露的受害者,但如果其未尽到企业网络安全保护义务的话,仍要承担包括行政处罚责任在内的法律责任。
法律责任的确认将帮助企业更在意内部数据安全管控,防止数据从内部被窃取。惩罚机制的存在,让企业感受到危机,它们才会真正重视数据的泄漏,正本清源地清除“内鬼”。比如,在国外,企业泄露用户信息后,将面临天价罚款。2019年,因为用户信息被泄露,Facebook就被罚款50亿美元。
另一方面,大数据时代,要想从根本上解决信息泄露问题,还是要依靠先进的技术,建立可信身份认证体系、安全态势感知以及高级威胁终端监测及响应等。
从可信身份认证体系来看,身份认证与业务场景密切相关,不同场景对身份认证的强弱度要求不同,这包括身份管理、访问管理、高级认证、身份威胁分析、特权账号管理、堡垒机、互联网接入认证、网站统一认证等方方面面。
防范“内鬼”最常用的方法非“4A”莫属,它通过对IT系统的账号(Account)、认证(Authentication)、授权(Authorization)和审计(Audit)进行统一集中管理,解决了“When”、“Where”、“What”、“Who”、 “How”这样的问题。
安全态势感知则通过使用人物画像、上下文感知、威胁情报、专业运营等技术与服务实现内部威胁发现的高命中率,并智能协同安全防护设备进行实时控制,自学习的人物安全基线驱动弹性授权,实现自动化、智能化的事后、事中、事前管控。
高级威胁终端监测及响应则像是终端行为记录的高清摄像头,能够将内核态和用户态的详细记录汇总到服务器进行关联分析和高级查询。
此外,在可能出现个人隐私和信息泄露环节,要用技术将信息匿名化,这些匿名信息只有系统能识别,而行为人不能识别、获取。比如,数据脱敏(DM)就是一种主动预防技术,旨在通过向用户提供高度仿真的数据,而不是真实和敏感的数据,同时保持其执行业务流程的能力,从而防止滥用敏感数据。
最后,对从业人员来讲,利用职务便利侵害用户权益,伤害的不只是自己赖以生存的行业企业,更会伤害自身。无论是为企业长远发展,还是为个人进步成长,从业人员均应始终坚持以用户信息安全为先决要义。
显然,数字经济的长治久安和行稳致远,除了有赖于不断完善的法律法规、持续进步的科学技术、严细深实的市场监管,还需要每一个企业和组织根据自己的情况来设计出合适的培训方案、安全应急响应方案以及取证分析方案,而不是因为其中潜在的安全问题陷入困境,也拒绝“内鬼”在这块温床中肆意妄为。