信息安全博士、中國網絡空間戰略研究所所長秦安老師給出了三步走的解決方案應對。
在大數據高速發展的時代,隱私似乎正在成為一個細思極恐的話題:大數據時代,人人都在“裸奔”。
8月28日,網絡爆料稱,華住集團旗下連鎖酒店用戶數據疑遭洩露售賣。一條數據出售帖在社交媒體中被廣泛傳播,引起輿論廣泛關注。
從賣家發佈內容看,數據包含華住旗下漢庭、美爵等多家酒店,數據截止到2018年8月14日。洩露的信息包括華住官網註冊資料、酒店入住登記的身份信息以及酒店開房記錄,住客的具體用戶信息消費記錄等詳細數據均在售賣之列,約140G億5億條數據。
。
這不是國內首次出現酒店用戶信息被洩露事件。早在2013年10月,如家、漢庭等酒店就出現過數據洩露的事件。當時是因為酒店所使用的Wi-Fi管理和認證管理系統存在安全漏洞,數據傳輸過程並未加密。
數據失竊會即時帶來哪些問題?除了會給公司本身帶來公關危機,還會造成公司巨大的財務負擔,而數據洩露的直接受害者是用戶,最直接的體現就是自己的日常生活受到了極大困擾。
01
為什麼數據容易引發攻擊和竊取?
一般來講,數據洩露有三大原因:內部系統安全、黑客攻擊和員工疏忽管理。
據網絡安全專家高天分析認為,華住集團的開發人員將敏感信息數據庫上傳到了GitHub(該網站為公開代碼託管庫,通常程序員將未完成的代碼上傳至該網站,以便日後繼續編輯),是導致此次信息洩露的主要原因。
利用數據對用戶進行“畫像”,形成有利用價值的信息財富。數據洩露的直接後果是讓不少客戶遭遇了電話騷擾,頻繁收到各種“精準”營銷電話,從賣房子、賣黃金期貨,到推銷銀行業務等,對方可以說出準確的生日、家庭住址,甚至是身份證號。當你一次次懷著莫名的心情接到推銷電話時,你一定意識到了你的信息又被賣了,這一點,相信你我都不陌生……
在網絡空間,大數據是更容易被“發現”的顯著目標,一方面,大量數據的集中存儲增加了洩露風險,黑客的一次成功攻擊能獲得比以往更多的數據量,無形中降低了黑客的進攻成本,增加了“攻擊收益”;另一方面,大數據意味著海量數據的彙集,這裡面蘊藏著價值巨大的數據,這些數據會引來更多的潛在攻擊者。
一旦發現數據失竊,企業該做什麼?
首先應是防患於未然。危機溝通專家格思裡奇(Liz Guthridge)認為:安全漏洞一旦出現,企業必須迅速做出反應。此外,她強調企業應該制定預案防範未知的威脅,並考慮以下三個關鍵點:一是要在預案中充分考慮到出現安全漏洞的可能性;二是如果外部公司有可能掌握公司員工或客戶數據,要和他們合作,檢驗外部公司的危機溝通預案是否考慮全面;三是檢驗和實踐該預案。
世界經理人就此次“華住用戶數據疑遭洩露”事件採訪了信息安全博士,中國網絡空間戰略研究所所長,《網信軍民融合》雜誌副總編輯,中國網信軍民融合發展聯盟智庫工作委員會常務副主任,中國警察法學研究會反恐與網絡安全專委會常務副主任,復旦大學兼職教授。原中國信息安全雜誌社副社長秦安老師。
世界經理人:如何看待大數據洩密問題?
秦安:大數據洩密事件,可以類比為現實社會的水土流失,是網絡空間的天災人禍,只是在技術催生的人造網絡空間,人為的因素更多。臉譜,華住用戶信息洩漏事件,既有網絡空間開放等特性的原因,也有不良分子圖謀不軌的因素,還有國家網絡空間管轄能力不足,法制不健全的方面,擁有數據的企業部分程度上接管了國家管轄權。因此,必須從網絡空間新時代國家治理體系和治理能力現代化的視角來看待。
世界經理人:在出現大數據洩露後,企業應該怎麼做?
秦安:企業是數據信息洩漏的關鍵責任體。這裡面有責權利一致的問題,也有企業能力的問題,還有企業文化及道德的問題。在目前法律體制下,對企業處罰相對較輕。一旦數據洩漏,企業對國家,人民,法律要有敬畏感,以感同身受的緊迫感,報警求援,應急處置,切實處理好相關事宜。要把數據安全既作為國家安全問題,也作為重大民生問題,還作為自己長遠發展問題,數能載舟,易能覆舟,企業始終要有敬畏之心。
世界經理人:企業如何既能保證個人信息受到保護又能科學使用大數據?
秦安:唯一的途經是提升網絡安全能力。可以涵蓋三個步驟。一是強化企業網絡安全意識,加大網絡安全投入,把數據安全作為企業發展的生命線,成為不可觸碰的紅線。二是提升企業自身網絡安全整體保障能力。類似企業必須有自己的安全團隊,且放在至關重要的位置。三是藉助外部力量。這既包括專業網絡安全公司,也包括國家相關網絡安全部門,在他們的幫助下,形成常態化的數據安全保障機制。
02
製造業企業遭遇到黑客攻擊竊取數據怎麼辦?
梳理過去幾年的數據洩露事件,我們發現數據洩露事件不僅發生在互聯網行業、酒店服務業,同樣在金融、醫療教育都有,而製造行業是重災區。
製造業企業遭遇到黑客攻擊竊取數據怎麼辦?
在競爭激烈的汽車製造業,研發數據和商業機密是各大汽車製造商保持強勁競爭力的關鍵,2018年7月,UpGuard Cyber Risk 的安全隊伍透露,100多家汽車產業鏈上下游公司的敏感文件遭到洩露,包括通用、豐田、特斯拉等統統中招,從車企發展藍圖規劃、生產原理、製造細節,到客戶合同材料、工作計劃,再到各種保密協議文件……甚至員工的駕駛證和護照的掃描件等隱私信息,共計157千兆字節,包含近47,000個文件遭洩露。這些文件放在屬於Level One Robotics的一臺服務器上,LevelOne對此洩露事件很重視,收到通知後立即關閉了服務器。
數據信息一般有生產、存儲、使用、傳輸、共享、銷燬等幾個主要環節,無論其中哪個環節出問題,數據安全都會收到影響,特別需要指出的是存儲,疏於管理會引發失控。
事實上,對於企業來說,它們關注的並不是系統是不是遭到了入侵,而是在系統中存放的數據和信息有沒有被盜取,有沒有被篡改,或者說是不是已經被破壞掉了,這才是重點。
為了保護企業內最重要的數據信息,就必須要做到技術、人員與流程的結合,並有效地實施數據丟失防護策略,以降低企業的潛在數據丟失風險。
數據安全的風險來自於兩個方面:一方面是數據本身是否安全,也就是說數據是否加密;另一方面則在於訪問數據的人是否得到了授權。為了解決關鍵業務的數據安全問題,對數據系統進行全面、可靠、安全和多層次備份是必不可少的。除此以外,各種安全產品,無論防火牆、防病毒、防黑客、防入侵等等,都或多或少地肩負著一些保護數據的責任。從保護數據的角度講,對數據安全這個廣義概念,又可以細分為三部分:數據加密、數據傳輸安全和身份認證管理。
對於企業而言,其應當根據法律規定採取技術措施和其他必要措施,例如及時進行信息系統的安全等級保護定級,開展內部安全培訓,以確保信息安全,防止用戶個人信息洩露、丟失。在發生信息洩露、丟失的情況時,應當立即採取補救措施,包括立即向主管機關彙報事件,評估事件可能造成的影響,並採取有效的方式告知用戶(客戶)。
不久前,中國信息通信研究院發佈《大數據安全白皮書》,指出了當前大數據發展面臨的安全問題,同時對推進大數據安全技術的發展提出了具體建議。
如何使企業既能安全保存大數據,又能科學挖掘利用數據價值?白皮書給出了具體建議:
第一,站在總體安全觀的高度,應構建大數據安全綜合防禦體系
第二,從攻防兩方面入手,強化大數據平臺安全保護
第三,加強隱私保護核心技術產業化投入,兼顧數據利用和隱私保護雙重需求
第四,重視大數據安全評測技術的研發,構建第三方安全檢測評估體系
全社會對數據安全的高度重視是一件好事。但是,我們也需要警惕,避免陷入“數據恐慌”的另外一個極端中。我們今天關心的數據安全威脅,主要包括數據被濫用、誤用和被竊取這幾種情況。從數據安全管理角度來看,目前最需要的是如何衡量擁有數據的組織的數據安全保護能力。安全能力不僅僅涉及技術,更加重要的是管理。
大數據期刊:從全生命週期管理角度看大數據安全技術研究
中國計算機報:大數據安全的六大挑戰
國家信息中心:數據安全能力將成為大數據時代的重要競爭力
中國信息產業網-人民郵電報:如何構建大數據的大安全
文 / 鬱偉 來源 / 我是Leader
閱讀更多 世界經理人 的文章
