汇业评论 | 吴亦凡事件对网络安全合规的启示
一、零信任
吴亦凡事件中,各方对犯罪嫌疑人刘某迢的“默认信任”,是导致各方翻船的重要导火索,值得我们警醒,也让我们想到了网络安全的“零信任”理念。
零信任是网络安全防护的最新技术理念,意即“不验证就不信任”,对“默认信任”说不,应当“基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信”。
技术理念如此,网络安全管理理念亦当如此。网络安全社会工程学攻击时有发生,这就要求我们加强外部访问人员的日常管理和验证;当前APP违法违规通报案例中,大多是由于APP宿主过分信任第三方SDK,没有履行SDK准入“验证”及“审查”责任,进而出现第三方SDK提前启动权限或私自收集、传输个人信息的猫腻;之前也曾传出笑话,某金融机构被无名小辈网络勒索,也是因为急于想掩盖问题,没有核验对方的身份以及相关数据的真实性。
黄春林律师团队提示:技术零信任、管理零信任。
二、上下游牵连
吴亦凡之所以翻船,表面原因无疑是因为“供应商”都某某的牵连;而都某某最终翻车,无疑也是受“猪队友”刘某文、网文“供应商”徐某的牵连。
回顾我们很多网络安全事件,大多数也是因为上下游(例如供应商、经销商及合作伙伴等)牵连导致。例如之前闹得沸沸扬扬的某支付公司旗下大数据公司身份证返照缓存案件,以及暴力违法催收牵连大数据公司案件;再如,某电商平台数据泄露并诱发大面积诈骗案,莫不与作为众多知名零售品牌的供应商的某电商代运营公司相关,最终促使电商平台开始推行订单生态链路的数据加密管理;某电力公司微信公号发布违法敏感内容,也是由于供应商离职员工报复导致;等等。
此类事件,不胜枚举,甚至有人戏说,没有被供应商坑过的安全就不是一个合格的安全。
黄春林律师团队提示:上下游事前审查、事中监督、事后复验。
三、一案双查
很多人觉得,北京公安通报出来后,犯罪嫌疑人刘某迢已归案,吴亦凡、都某某就没事儿了。君不见通报末尾跟了一句,“针对网民举报的‘吴某凡多次诱骗年轻女性发生性关系’及近期网络互曝的有关行为,警方仍在调查中,将根据调查结果依法处理。”
这在网络安全案件查处中,专业术语叫“一案双查”。“一案双查”,意即公安机关在对网络违法犯罪案件开展侦查调查工作时,同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查。也就是说,如果公安机关在侦办上下游个人信息泄露、网络黑灰产、网络赌博等刑事案件时,可能会同步调查相关公司的网络安全合规情况,例如等保合规、制度合规、人员合规等。之前,公安机关在查处其他刑事案件时,先后对某多多、36*、某乎、某某支付等知名互联网公司均启动过“一案双查”,并最终行政处罚。
黄春林律师团队提示:练好内功、积极配合。
四、舆情风暴
吴亦凡事件引发了巨大的舆情风暴,各大品牌相继解约,公安部门从快查处,相信未来也会成为从重处罚的重要考量因素之一。
舆情大过天,一点都不为过。网络安全事件引起的相关民事责任、行政责任等都还可能有得救,还有空间周旋,即便下架、停更、停注,也可能是“暂时的困难”。但是一旦引发舆情风暴,监管巴不得七剑下天山,用户发生挤兑踩踏,供应商断供,投资人撤资或恐慌性抛盘,消费者失去信任……会让你有“脑袋炸裂”、“完全无从下手”、“说什么都没人信”的无力感,正所谓,屋漏偏逢连夜雨、墙倒众人推。不信,你去问问特斯拉事件、滴滴出行事件、携程事件中的当事者。
黄春林律师团队提示:息事宁人、舍财免灾,少装X。
五、合规不怕鬼敲门
吴亦凡碰到都某某,半路还杀出个“陈咬金” 刘某迢,也算是倒了八辈子霉了。但是,要是吴亦凡自身“作风够硬”,管你什么妖魔鬼怪,也不至于这般地步。
企业网络安全亦如此。没有哪个企业的网络是绝对安全的,“闯到鬼”只是迟早的问题。但是,当监管来敲门,不是看你的网络是否绝对安全,而是看你为网络安全做了什么?之前我们写过一篇文章《网络安全审查:跨过数据安全的第七道门槛》,所有这些网络安全合规动作你都做了,该有的网络安全制度、措施、机制、岗位、人员、记录都有了,你或许就能免责或者至少降低责任。不信,你去看看雀巢员工侵犯公民个人信息罪案,雀巢公司为什么能全身而退。正所谓合规三重价值:合规即遵从,合规即抗辩,合规即产品。
黄春林律师团队提示:政治老师说,不会答题,你至少得写满。
往期文章推荐: