不止圆通!N次数据泄露事件之后 为何企业依然频频中招?
“这个产业链如此“兴旺”,在于它入行容易又回报丰厚。”
圆通内鬼泄密的事儿又一次挑动了大众神经,泄露公民个人信息超40万条、涉案金额120余万元的案件,罪魁祸首竟是圆通在某省区下属的一个小加盟店。
案件嫌疑人落网
图/新京报贝壳财经
这类事件其实并不新鲜,如今隔三差五总会爆出或规模巨大、或涉及知名企业的用户隐私数据泄露案件,尽管很多案件发生后,我们都会看到人们口诛笔伐、媒体撰文批判、监管严厉处罚等等,可这状况却并未见到有明显的改善。
为什么数据泄露事件层出不穷?
就如前文所说,相信没有人会把数据泄露当成寻常事件,从道理上讲,在多方的持续关注和监管之下,状况理应好转才对,可为什么相关的事件依然会频繁出现呢?
针对这个问题,美创科技的解决方案专家吴慧慧告诉安全419(anquan419.com),数据泄露其实仅仅只是整个数据盗卖链的一环,如同海面冰山,我们看到的只是一些被曝光出来的案件,还有体量更多、类型更全的个人信息,在地下更频繁地挖掘、流通、交易。
“这已经是一套非常成熟的黑色产业链,上游的人制作、贩卖病毒、木马等工具,进而就有人发动攻击盗取数据,当然也有内鬼带出来的。通过非法手段获取的数据会经过撞库、洗库等方式进一步筛选提炼,甚至在交易过程中进行多次整合,这意味着网上我们能看到的在交易中的信息,可能已经被过了好几手。最后,下游利用信息实施电信诈骗、盗取游戏装备、盗取信用卡交易等,进行‘多姿多彩’的非法牟利活动。”
这个产业链如此“兴旺”,在于它入行容易又回报丰厚。
首先,数据的获取比较轻松。就拿快递行业来说,大多数快递公司的面单依然以明文的方式展示用户信息,在快递站点的系统中,每个业务员都可以搜索海量订单,如果这个系统没有安全管控的话,信息不仅一览无余,还能被轻而易举地复制并传播。这与许多靠实物交易的行业相比,显然要容易的多。
其次,数据存储没有太多压力。拿跟快递密切相关的电商来说,商家需要花钱租赁实体仓库,货物积压的风险也随之而来,但数据的存储只需要你拥有一块并不昂贵的硬盘,或是依靠网络传输就能实现,从业成本低了不是一点点。
再者,数据变现的市场供不应求。房产中介对于购房者信息的需求,装修公司对于小区业主名单的需求,保健品销售对于老年人和患者信息的需求,教育培训学校对于家长和学生信息的需求……数据盗卖链的下游总在尽力寻找目标群体的信息,需求源源不断。
在这其中,企业作为数据的收集、使用方,也有推波助澜之势。吴慧慧强调,“很多企业的思维,还是说先把业务搞好,再去考虑数据安不安全,长期忽视了数据泄露带来的危害。也正因为这样的缺失,导致对员工安全意识的灌输严重缺位,同时自身的安全建设又严重滞后,像快递这样站点众多、从业人员流动频繁的大企业,员工缺乏安全意识,但又能接触到用户的隐私数据,发生泄露的风险自然是很高的。”
随着《网络安全法》、等保2.0标准的实施,以及今年的《数据安全法》、《个人信息保护法》等草案的出台,已经明确要求业务和安全需要并行建设,这是促使企业去提升自身安全管控的一个强制手段。
圆通就数据泄露作出回应
图/圆通速递官方微博
事实上,大部分企业并非没有部署安全措施。圆通在回应中称“圆通核心业务系统均通过了信息安全等级保护三级测评,从技术层面和管理层面着力保障信息系统的安全性。”这貌似与大众的感觉相悖,所谓的安全防护在面对数据泄露上,似乎总是效果堪忧。
为什么有安全防护却保护不了数据的安全?
“这其实是数据价值的极大凸显与传统防护思维的冲突。”吴慧慧说。
在近些年大量企业数字化转型后,数据量呈指数级上升,经过深度挖掘融合使用,数据作为一种资产的价值才得以体现,数据才变得“贵重”,贵重之后自然就会有人“惦记”。
然而传统的安全注重的是攻防,防护方会更关注攻击者的手段和技巧,并作出针对性防御。这在以往网络边界非常清晰的情况下是比较有效的,“我只要堵住你入侵的漏洞就好了。”
但如今各种云化的冲击、BYOD(Bring Your Own Device)工作方式的流行、供应链的无限延伸,数据也随之冲出了企业内部,横向的扩散带来的是更多感染的机会。
因此在攻防博弈的过程中,企业所消耗的时间和精力,跟实际带来的数据安全的回报不成正比。吴慧慧解释道,数据安全建设并不是说部署一台安全设备或是买一个安全服务就做好了,它需要进行整体规划,并结合企业内部的安全评估来做,整体的部署在长期的内部跟踪迭代中逐渐去完善,这首先就需要企业把安全建设提到较高的层次来考虑,否则安全整体架构的缺失,会导致网络安全做不好,数据安全也没有精力做的一个局面,反映出来就是大家所感觉到的——“你的防护没效果”。
对于这种现状,数安行的CEO王文宇亦表示,在这个大数据与5G万物互联的时代,个人信息被收集和使用得过快过多过深,传统的个人信息保护方法或技术,已不足以应对新形势下的保护诉求。
个人信息在一个企业中,通常是跨业务、跨域在流动和使用的,经过很多年的累积,既有大量的暗数据沉淀不动,又有极大量级的明数据在持续使用和增长。暗数据蛰伏不动,一方面不利于挖掘数据的价值,另一方面也会存在安全隐患,但企业管理者对此并不了解。明数据处于活跃期,在使用和增长过程中持续变动,但缺乏一个链条将各类信息梳理清晰。辐射到企业的上下游供应链及整个行业中,则更为明显。
对此王文宇建议基于不同行业的个人信息特征,选取分类标准和算法,对暗数据、明数据方式存在的个人信息自动完成分类梳理和标注。
后续,则是从用户、终端、网络、个人信息数据四个方面建立起零信任安全域,来保护个人信息的访问、传输、存储和使用。
具体来说,零信任用户、零信任终端控制访问个人信息的安全认证,防止非法用户或终端接触个人信息;个人信息在终端之间、终端与服务器之间传输时,零信任网络保护个人信息;个人信息存储在终端中以及在终端中使用时,零信任终端以及对个人信息本体的零信任防护,构建出安全域空间,保护数据安全。
这种基于数据运营安全切面的个人信息保护方案,既遵循了监管方对于个人信息保护的合规性要求,同时从数据运营全周期中对个人信息进行保护,可以在网络无影响、业务无改造的前提下,适应当下阶段对个人信息保护的需求。