其他
安全相对论 | 45亿条快递数据疑似遭泄露,他们这样说……
事件发生后,随即引起网友和安全行业的热议。对此,我们采访多位行业安全专家、物流电商等领域的安全工作者,基于不同的立场和视角,针对“谁该为数据泄露负责?”“企业是否该加大预算投入安全建设”等争议性话题展开讨论,以期给行业同仁带来不同的思路。
精彩提要:
Q: 快递企业应该为数据泄露负责吗?
不一定是快递企业的锅,可能是聚合平台或者其它渠道。溯源事件原因本身很难。 没有买卖就没有伤害,除了泄露源头,数据非法使用与传播也有一定责任。
不排除“内鬼”的可能,但也跟企业的数据安全建设有很大原因。 可能是快递或电商企业的供应链上下游的安全隐患导致的。
关注度这么高,相关行业的单位肯定会引以为戒,加大安全建设投入。 可能过一阵就忘了,还是需要从政策监管层面、企业意识层面来驱动安全投入。
以下是精华观点整理:
B:感觉经手快递信息的人还是比较多的,如果没法通过技术采证或什么手段找出确切的泄露方,也不应该完全让快递公司背锅。
C:没有买卖就没有伤害,除了泄露方,建议把数据购买方也一起追责。所以不该只声讨和惩罚快递企业,应该真正打击整个黑产的利益链条。
D:庞大的数据量不一定由一家泄露,有可能涉及到某个数据汇总接口,或是关键数据API。综合来看,很难精准定位到某一方,也很难追踪最初泄露的人。
E:这次的数据泄露事件不一定是某一次行动的成果,可能是多份历史数据的汇总,也可能不是单一来源,而是多个终端来源,所以单纯让快递企业负责还是比较难的。
泄露原因主要是“人为”吗?
B:有可能是“用户”的无意被有心之人利用了。比如部分用户的保护意识也不太够,生活中看到很多人可能直接就扔掉面单了,都没有做涂黑处理,信息就很容易被转手。不过这里也延伸到另一个问题,企业是不是在面单这块的技术处理上能做得更好。
C:不一定。目前快递供应链上下游的信息安全隐患还是比较大。比如一些软硬件供应商,本身存在比较大的风险(比如漏洞),会被攻击者利用,在企业不知情的情况下深入到企业内网。然后,快递企业将数据给第三方下游企业处理时,也存在泄露的可能。
企业应该花重金投入减少数据泄露吗?
B:企业内部做安全建设的投入产出比要怎么去量化、衡量,值得整个行业去探讨。如果没有一个比较好的量化评估的模型,就会影响企业对安全的投入。
C:可以加大投入,但在此之前,企业首先需要梳理清楚数据资产,明确安全投入的重点,减少无用功。比如限制性的去对外提供服务,这个企业也是自己能够去甄别的。
D:除了加大投入,企业也可以多关注目前国内的一些监管层面搞的活动。比如说定期性的行业、国家性质的大规模网络安全攻防演练,可以帮助企业提前发现问题,提前感受目前的全球攻防态势。
E:不太现实,像之前工信部就提出未来三年电信等重点行业网络安全投入占信息化投入比例达10%,但实际落实下来仍然很难。
为什么监管日趋严格 还是会出现这类问题?
B:这让我想到了欧洲那边的法律。欧盟会要求涉及处理大量个人隐私数据的单位设立专门的数据安全岗位,也就是DPO。这个角色会对企业内部的数据保护工作进行监管,同时作为沟通渠道同欧洲GDPR监管部门保持联系,负责数据外泄的紧急汇报,做好事故的处置工作。但是在国内,一旦发生数据泄露问题,究竟企业是自证清白,还是监管来溯源取证,边界比较模糊。
对企业和行业有哪些启发? 今后会不会有什么改变?
B:企业应该形成动态意识。安全是一个动态的、将来时的过程,我们虽然很难做到天衣无缝,只能不断增强这种动态对抗的意识,并且不断总结方法论。
C:企业可以对数据做加密、脱敏以及匿名化等多种处理,加强数据安全技术能力的建设。比如基于当下的互联网架构,服务端、云端这种底座端,还有内网的Office OA端,物联网的接入,以及快递小哥的device,从业务层、终端层、应用层来考虑。
D:从管理的角度来说,对体系化建设能力、人员安全意识的宣传、钓鱼邮件的演练培训跟准入考核的标准,应该植入企业文化。
E:估计没什么启发,可能过些时候就没人记得这件事了,只能靠行业的巨轮在滚动的时候,不断自我纠偏了。
看完了嘉宾们的讨论,大家认为谁才应该为数据泄露负责呢?对于此次数据泄露事件,以及快递行业的信息保护又有什么看法?不妨加入我们的讨论,在评论区/后台留下宝贵的见解。
腾讯安全正在护航产业安全
金融行业
中国银行 | 招商银行 | 华夏银行 | 中国建设银行 | 江苏银行 | 光大银行 | 微众银行 | 交通银行 | 富途 ……
交通行业
中国航空 | 南方航空 | 海航集团 | 中国航信 | 国铁吉讯 | 中远海运 | 广汽集团 | 上汽集团 | 如祺出行 ……
零售行业
五粮液 | 张裕集团 | 东鹏特饮 | 可口可乐 | 雅诗兰黛 | 永辉超市 | 多点新鲜 | 优衣库 | 名创优品 | 孩子王 | 金拱门 | 中免集团……
互联网
同程艺龙 | 虎牙直播 | 唯品会 | 哔哩哔哩 | 快手 | 知乎 | 京东 | 顺丰 | 蘑菇街 | 三七互娱 | 完美世界 ……
智能制造
三一重工 | 宁德时代 | 富士康 | 中铁集团 | 中粮集团 | 华为 | 荣耀 | 小米 | OPPO | VIVO | 海尔 | 美的……