在大數(shù)據(jù)時代���,人人都有可能“數(shù)字裸奔”��。
前些日子�,特斯拉傳出數(shù)據(jù)安全問題的丑聞。一位特斯拉舉報者向德國媒體提供了100GB的機(jī)密數(shù)據(jù)����,泄密文件顯示���,特斯拉在自動駕駛技術(shù)方面存在的問題比想象中更為嚴(yán)重���,涉及數(shù)千例客戶投訴信息。
(資料圖片)
這些數(shù)據(jù)里還包含了10萬名離職和在職員工的姓名��,以及私人電子郵件地址�、電話號碼、員工工資��、客戶的銀行信息��、生產(chǎn)過程中的秘密信息等私密資料,甚至還有特斯拉CEO埃隆·馬斯克的社保號碼���。
報道稱�����,特斯拉內(nèi)部數(shù)據(jù)泄露的行為違反了歐盟《通用數(shù)據(jù)保護(hù)條例》����,有可能會被處以其年銷售額4%的罰款�,高達(dá)32.6億歐元。為此���,特斯拉律師回應(yīng)��,一名“心懷不滿的前雇員”濫用了作為服務(wù)技術(shù)人員的權(quán)限�����,并表示�,公司將對涉嫌泄密者采取法律行動����。
特斯拉事件不過是冰山一角。數(shù)據(jù)已經(jīng)成為這個時代最核心、最具價值的資產(chǎn)之一����,正深刻地改變?nèi)祟惖纳a(chǎn)和生活方式。但同時�����,全球每年都會出現(xiàn)大量有關(guān)數(shù)據(jù)泄露�、非法交易、過度濫用等安全事件����,牽動整個社會的神經(jīng)。
近些年�����,隨著數(shù)據(jù)安全相關(guān)政策的陸續(xù)出臺�,越來越多企業(yè)也把保護(hù)數(shù)據(jù)資產(chǎn)一事提上日程�。但想要真正實現(xiàn)數(shù)據(jù)安全保障,需要做的事還有很多�。
數(shù)據(jù)被“偷”,比想象中更容易
回到問題的最開始�,數(shù)據(jù)是怎么泄露出去的?
鋅財經(jīng)為此接觸到國內(nèi)專注于數(shù)據(jù)安全的高科技企業(yè)衛(wèi)達(dá)云計算CEO馬浩寧,了解到�,大規(guī)模的數(shù)據(jù)泄露可能是多種原因造成的。從內(nèi)因來看��,有可能是企業(yè)管理者對信息安全不夠重視��,比較集中出現(xiàn)的情況是�����,企業(yè)許多廢舊設(shè)備不當(dāng)處理�,造成數(shù)據(jù)外泄。
以往許多企業(yè)處理廢舊設(shè)備有“兩板斧”�,一是格式化,二是暴力拆卸����,但這兩種方式其實都做不到安全。馬浩寧解釋道���,“很多人不知道��,格式化是存在數(shù)據(jù)恢復(fù)可能性的�,今年315晚會上還專門做了這個專題�����,證實了恢復(fù)出廠設(shè)置也不一定能徹底清除手機(jī)數(shù)據(jù)?!?/p>
至于物理方式處理廢舊設(shè)備,無外乎就是消磁����、打孔,或者用外力將其粉碎���。但這樣一來����,一是會造成環(huán)境污染���,二是如果銷毀不徹底�,同樣可以恢復(fù)數(shù)據(jù)��?!芭e個例子���,如果一塊硬盤碎成幾塊��,那這個硬盤塊就有可能通過科技的方式將其數(shù)據(jù)還原�。”馬浩寧說道����。
同時,一些企業(yè)員工的保密意識不強(qiáng)�����,將企業(yè)核心數(shù)據(jù)通過郵件附件�����、在線聊天��、USB存儲設(shè)備等形式泄露出去���。也存在內(nèi)部員工惡意泄密的情況����,這往往會和商業(yè)行為結(jié)合起來����,有可能是同行找來的“內(nèi)鬼”作祟���。
從外部原因來講,基本上就和黑客相關(guān)���。不法人員通過技術(shù)手段入侵公司內(nèi)網(wǎng)竊取信息數(shù)據(jù)�。隨著信息技術(shù)的快速迭代���,違法獲得數(shù)據(jù)的門檻也在相應(yīng)降低���,尤其是近幾年“爬蟲”技術(shù)的廣泛應(yīng)用,給了不法人員更多可趁之機(jī)���。
事實上���,目前的數(shù)據(jù)安全問題遠(yuǎn)比想象中嚴(yán)重,《2023年Q1數(shù)據(jù)資產(chǎn)泄露分析報告》數(shù)據(jù)顯示����,今年Q1發(fā)生近1000起數(shù)據(jù)泄露事件,涉及1204家企業(yè)���、38個行業(yè)����,包含物流��、金融���、電商����、教育等���。由于匿名社交軟件Telegram在信息傳輸上有私密性和便利性的優(yōu)勢�,也成為傳播非法信息的主要平臺�。
就在今年2月,據(jù)媒體報道��,Telegram各大頻道突然大面積轉(zhuǎn)發(fā)某隱私查詢機(jī)器人鏈接�,泄露了國內(nèi)45億條個人信息,包括真實姓名��、電話與住址等��,數(shù)據(jù)高達(dá)435GB����。泄露來源直指國內(nèi)多家知名電商�、快遞平臺�����,有網(wǎng)友甚至聲稱��,自己10年前的收貨信息都被扒了出來�����。
數(shù)據(jù)信息大面積泄露����,也帶來了巨大的數(shù)據(jù)安全漏洞。
泛濫的數(shù)據(jù)�,為犯罪提供“溫床”
在這個科技顛覆和萬物互聯(lián)的年代,數(shù)據(jù)是石油�,是鉆石,是利益����。當(dāng)數(shù)據(jù)的價值上升到一定高度后,利用數(shù)據(jù)信息從事的違法犯罪活動,也迎來高峰時刻��。
電信詐騙���,很多時候就是從個人信息泄露開始的。犯罪分子在掌握一個人的姓名�����、性別����、年齡、身份證號碼�����、家庭住址等基本信息�,甚至短信記錄、聊天記錄����、個人視頻、照片等隱私信息后���,就能編造出迷惑性更高的詐騙場景���,實施精準(zhǔn)欺詐��。
前兩年�����,有位網(wǎng)友自述了她在30分鐘內(nèi)被詐騙16萬元的經(jīng)歷��。當(dāng)天����,這位網(wǎng)友接到了一位自稱是申通快遞員的電話����,對方表示“快遞丟件要給予雙倍賠償”,并且在電話中準(zhǔn)確報出了她在快遞單上留下的化名和快遞單號��,核實確實有這樣一件快遞后�����,她就放松了警惕��。
該網(wǎng)友在“客服”的誘導(dǎo)下在支付寶“備用金”申請180元的快遞理賠,但對方聲稱由于她操作失誤���,與支付寶產(chǎn)生了借貸關(guān)系���,需要在三年里每個月向支付寶自動轉(zhuǎn)入一筆錢,總金額為72000元�����。
網(wǎng)友講述被騙過程
為了解除借貸關(guān)系�����,博主又下載了一款名為“億聯(lián)會議”的App����,聽從“客服”指示�����,從名下多張銀行卡陸續(xù)向指定賬戶轉(zhuǎn)賬共計16萬元�����。隨后她繼續(xù)向朋友借錢,直到朋友提醒�,她才意識到,被騙了����。
事后,這位網(wǎng)友復(fù)盤時坦言�����,“這個詐騙其實并不高級����,但我還是被牽著鼻子走,可能是她一開始說出了我的信息����,也可能是她給我營造出的氛圍感,也可能是我沒那么‘聰明’�����。但不要小瞧這些騙子�����,特別是在這個信息泄露的時代?���!?/p>
在馬浩寧看來,電信詐騙在源頭上其實就是信息販賣�。這種信息販賣又基于什么?就是一些企業(yè)��、平臺對用戶信息的過度收集留下的隱患����,如果這些信息不慎泄露出去����,就會給犯罪提供“溫床”。
“我們接觸過一些互聯(lián)網(wǎng)客戶�,比如一家做App的公司,它可能收集大量注冊用戶信息���。根據(jù)相關(guān)法律規(guī)定�,企業(yè)在保存期限屆滿時�����,應(yīng)該對用戶信息做一個刪除,不能留存數(shù)據(jù)��,但以往許多企業(yè)都沒有采用這種方式�。”馬浩寧補(bǔ)充道����。
除去針對個人的電信詐騙,擁有豐富數(shù)據(jù)的大公司也容易被盯上�����,成為犯罪勒索的主要目標(biāo)����。
蔚來汽車在去年12月就收到了一份勒索郵件,發(fā)件人聲稱已經(jīng)竊取到蔚來內(nèi)部數(shù)據(jù)��,并以泄露數(shù)據(jù)為要挾����,勒索225萬美元的等額比特幣。經(jīng)蔚來內(nèi)部調(diào)查��,承認(rèn)被竊取的數(shù)據(jù)為2021年8月之前的部分用戶基本信息和車輛銷售信息�。
蔚來汽車官網(wǎng)
這次勒索事件背后��,是蔚來作為一家擁有海量數(shù)據(jù)的企業(yè)�,對數(shù)據(jù)保護(hù)的重視沒有達(dá)到相應(yīng)的高度�,導(dǎo)致數(shù)據(jù)中心防護(hù)能力不足,讓犯罪分子有機(jī)可乘����。
防范數(shù)據(jù)安全風(fēng)險,需要全方位考量
“我生病了�����,你們給我提供藥����?���!?/p>
馬浩寧告訴鋅財經(jīng),以往接觸過的大部分客戶���,都給他這種感覺�����。這些企業(yè)多多少少都因為經(jīng)驗不足���,遭遇了一些數(shù)據(jù)安全事件��,比如員工電腦里的核心數(shù)據(jù)泄露等�����,事后才想辦法解決問題���。這種時候,馬浩寧的團(tuán)隊會針對這些企業(yè)IT設(shè)備安全��,出一份方案�,幫助他們在一些場景下做數(shù)據(jù)擦除。
云擦官網(wǎng)截圖
以互聯(lián)網(wǎng)行業(yè)為例��,這個行業(yè)的特點是員工流動的頻率比較高�����,可能每個星期都會有新員工入職����,也會伴隨著一些老員工離職���,這種時候就要對員工設(shè)備進(jìn)行專業(yè)的數(shù)據(jù)擦除。另外就是在一些臨時的項目上��,設(shè)備也會產(chǎn)生一些內(nèi)部數(shù)據(jù)�,包含客戶的敏感信息,那在項目結(jié)束后�����,也會對其進(jìn)行數(shù)據(jù)擦除���。
除此之外��,有一些企業(yè)也會采取數(shù)據(jù)加密的方式��,來保護(hù)公司商業(yè)機(jī)密的安全���。比如�,提前在員工電腦安裝加密客戶端軟件,即便員工將加密文件發(fā)送出去��,也會因為缺乏和管理端的聯(lián)動�����,導(dǎo)致文件無法打開。也可以把員工電腦的泄密通道“堵死”��,讓電腦文件無法發(fā)送出去�����,從而杜絕數(shù)據(jù)泄露���。
但技術(shù)端的監(jiān)管只是一部分����,很多時候人是更不可控因素���,因此����,加強(qiáng)對員工的數(shù)據(jù)安全培訓(xùn)��,建立規(guī)范明細(xì)的企業(yè)數(shù)據(jù)安全管理制度和員工電腦使用行為規(guī)范�,也是防范數(shù)據(jù)安全風(fēng)險的重要一環(huán)。
這些規(guī)章制度盡管無法徹底防止數(shù)據(jù)泄露,但可以在事先起到威懾���,預(yù)防部分員工試圖泄露商業(yè)機(jī)密的行為�。
隨著有關(guān)數(shù)據(jù)安全的相關(guān)政策陸續(xù)出臺�,越來越多企業(yè)對數(shù)據(jù)安全的意識發(fā)生轉(zhuǎn)變,合規(guī)也成為企業(yè)不可忽視的事情����。馬浩寧認(rèn)為,“從數(shù)據(jù)的生產(chǎn)����、存儲、傳輸����、交換或使用,到最后的銷毀��,每一個環(huán)節(jié)無論是在技術(shù)層面��,還是在政策層面�����,企業(yè)都應(yīng)該去平衡���,做到數(shù)據(jù)安全合規(guī)�����?!?/p>
數(shù)字浪潮滾滾而來����,對整個人類社會運(yùn)行機(jī)制產(chǎn)生深刻影響,但數(shù)據(jù)保護(hù)的相對滯后����,也讓數(shù)據(jù)安全事件成為潛在風(fēng)險。
