一石激起千層浪。深圳市深網(wǎng)視界科技有限公司(以下簡稱深網(wǎng)視界)被指數(shù)據(jù)泄露之后,數(shù)據(jù)安全再次成為業(yè)界關(guān)注的焦點。 而在剛剛過去的2018年,F(xiàn)acebook數(shù)據(jù)泄漏事件,引發(fā)了人們對數(shù)據(jù)隱私和人工智能技術(shù)信任機制的討論熱潮。3億條快遞物流數(shù)據(jù)被人在暗網(wǎng)
一石激起千層浪。深圳市深網(wǎng)視界科技有限公司(以下簡稱深網(wǎng)視界)被指數(shù)據(jù)泄露之后,數(shù)據(jù)安全再次成為業(yè)界關(guān)注的焦點。
而在剛剛過去的2018年,F(xiàn)acebook數(shù)據(jù)泄漏事件,引發(fā)了人們對數(shù)據(jù)隱私和人工智能技術(shù)信任機制的討論熱潮。3億條快遞物流數(shù)據(jù)被人在暗網(wǎng)兜售以及華住集團5億條公民個人信息被泄露等事件也備受業(yè)界關(guān)注。
據(jù)外媒相關(guān)報道,此次深網(wǎng)視界數(shù)據(jù)庫暴露的原因是深網(wǎng)視界未能用密碼保護該數(shù)據(jù)庫,而該數(shù)據(jù)庫在線可供任何人查找。云和恩墨董事長蓋國強表示,行業(yè)內(nèi)數(shù)據(jù)庫不設(shè)置密碼的情況并不鮮見,但是后續(xù)需要企業(yè)的運維去加強管理,深網(wǎng)視界數(shù)據(jù)泄露原因之一可能是缺乏數(shù)據(jù)庫管理維護。
數(shù)據(jù)庫時常“裸奔”
數(shù)據(jù)安全話題永遠(yuǎn)不會過時,美國電信巨頭Verizon在《2018年數(shù)據(jù)泄露調(diào)查報告》中表示,黑客、惡意軟件和社交攻擊(如網(wǎng)絡(luò)釣魚)等是過去一年中*多的安全違規(guī)事件。結(jié)合近年發(fā)生的數(shù)據(jù)泄露事件,阿里云安全專家易鑫曾發(fā)文指出企業(yè)在數(shù)據(jù)安全管理中的幾個誤區(qū),其中不僅包括管理者對業(yè)務(wù)系統(tǒng)存在的漏洞和安全風(fēng)險心存僥幸,還包括敏感數(shù)據(jù)字段未進行加密,一旦泄露就是明文數(shù)據(jù)。
在與蓋國強交流時得知,行業(yè)內(nèi)數(shù)據(jù)庫不設(shè)置密碼的情況較為常見。
“數(shù)據(jù)庫,尤其是一些開源數(shù)據(jù)庫的早期版本,沒有設(shè)置密碼,這是非常常見的。比如,微信跟手機綁定之后,不需要密碼,通過手機號就可以登陸,好多數(shù)據(jù)庫都是這樣。但是后續(xù)需要企業(yè)的運維去加強管理。”蓋國強表示,“深網(wǎng)視界可能就是在這方面出了問題,既沒有設(shè)置密碼,也沒有DBA(數(shù)據(jù)庫管理員)去維護。”
蓋國強認(rèn)為,成熟的技術(shù)人員不應(yīng)該把數(shù)據(jù)庫直接暴露在公網(wǎng)上。“如果放在服務(wù)器的后端,別人掃描不到,也就登陸不了,相對安全。像Oracle這樣成熟的商業(yè)數(shù)據(jù)庫就不會輕易暴露,口令認(rèn)證、身份認(rèn)證也比較完整。”
事實上,因未設(shè)置數(shù)據(jù)庫密碼而造成數(shù)據(jù)泄露的案件并非孤例。不久前,國際網(wǎng)絡(luò)安全咨詢公司HackenProof的網(wǎng)絡(luò)風(fēng)險研究主管Bob Diachenko在推特上爆料,稱在互聯(lián)網(wǎng)上發(fā)現(xiàn)了一個未受保護的“MongoDB”數(shù)據(jù)庫,里面泄露了超過2.02億中國公民的個人信息,其中詳細(xì)記錄了大量的個人隱私內(nèi)容。這座數(shù)據(jù)金庫“裸奔”近一周時間,期間至少被十幾個IP訪問過。
企業(yè)對部分用戶數(shù)據(jù)缺乏重視
隨著互聯(lián)網(wǎng)以及相關(guān)技術(shù)的發(fā)展,大數(shù)據(jù)的影響力已經(jīng)滲透到日常生活中的各個方面,公眾對于數(shù)據(jù)安全問題的焦慮也日漸增加。實際上,數(shù)據(jù)一旦被存儲,就會有泄露的可能性,企業(yè)也無法**避免此類事情的發(fā)生。但有不少數(shù)據(jù)泄露事件,是企業(yè)不夠重視、操作不規(guī)范造成的。
就拿開源數(shù)據(jù)庫來說,由于本身免費,很多企業(yè)并沒有用它來承載關(guān)鍵的核心數(shù)據(jù)。“比如人臉識別方面的數(shù)據(jù),對用戶來說,隱私非常重要,但是對公司來說,這些數(shù)據(jù)可能并不重要。”蓋國強說道。
事實上,蓋國強提到的“數(shù)據(jù)重要性”是與企業(yè)的業(yè)務(wù)場景以及可能對用戶造成的損失相互關(guān)聯(lián)的。銀行數(shù)據(jù)丟失或者被篡改將會直接影響用戶資產(chǎn),但人臉識別數(shù)據(jù)被泄露后,很難衡量其對用戶造成的直接損失。在未與直接經(jīng)濟損失掛鉤的情況下,企業(yè)通常不會重視這部分?jǐn)?shù)據(jù)的保護。
數(shù)據(jù)泄露不僅給人們帶來安全擔(dān)憂,也給涉事公司的業(yè)績帶來不利影響。天風(fēng)證券2019年初評價稱,F(xiàn)acebook隱私風(fēng)波不斷使管理層信用遭遇巨大考驗,丑聞頻出,從“用戶隱私折價”衍生到的“管理層信用折價”令人失望,業(yè)績增速在近兩季度從原有40%以上降至接近30%。
2018年7月份,由IBM發(fā)起、Ponemon獨立調(diào)查的《2018年度數(shù)據(jù)泄露成本分析報告》顯示,數(shù)據(jù)泄露的平均成本從2017年的362萬美元上升到386萬美元,平均每條失竊記錄的成本從2017年的141美元上升到148美元,而未來兩年發(fā)生重大數(shù)據(jù)泄露的可能性也略有上升。此外,事件應(yīng)急響應(yīng)團隊能夠挽回的成本約為平均每條記錄14美元。
西南政法大學(xué)副教授蔡斐此前在媒體上發(fā)表評論稱,在個人與企業(yè)的“結(jié)構(gòu)性不平等”中,企業(yè)不能以簡單的個人信息協(xié)議作為用戶信息保護合法合規(guī)的基礎(chǔ),而是應(yīng)當(dāng)深切認(rèn)識到隨著經(jīng)營能力擴張,法律責(zé)任或是社會責(zé)任都將隨之出現(xiàn)擴張。
個人敏感數(shù)據(jù)保護意識提升
對于數(shù)據(jù)保護和網(wǎng)絡(luò)安全,業(yè)界有過不少研究。中國信通院發(fā)布的《互聯(lián)網(wǎng)法律白皮書(2018年)》顯示,全球范圍內(nèi),當(dāng)前網(wǎng)絡(luò)安全形勢日益嚴(yán)峻,勒索、網(wǎng)絡(luò)盜竊、銀行詐騙、網(wǎng)絡(luò)間諜和破壞互聯(lián)網(wǎng)服務(wù)等網(wǎng)絡(luò)安全事件數(shù)量激增。各國對網(wǎng)絡(luò)的高度依賴與網(wǎng)絡(luò)安全的極度脆弱兩者間的矛盾十分突出。
“所以,*終要靠什么?*終的解決方案要靠政策性法規(guī)的強制規(guī)定。”作為安全行業(yè)多年的從業(yè)人員,蓋國強感受頗深,他認(rèn)為,未來數(shù)據(jù)安全性的提升,很大層面上要基于**的立法。
記者發(fā)現(xiàn),過去一年,我國不斷完善個人信息相關(guān)規(guī)范。2018年8月27日,民法典各分編草案提請十三屆**人大常委會第五次會議審議,草案進一步強化對隱私權(quán)和個人信息的保護。2018年9月10日,個人信息保護法被列入十三屆**人大常委會立法規(guī)劃。2018年11月30日,公安部發(fā)布《互聯(lián)網(wǎng)個人信息安全保護指引(征求意見稿)》。
不過,上述白皮書提到,目前,大多數(shù)**并未制定統(tǒng)一的網(wǎng)絡(luò)安全基本法。在這一領(lǐng)域,亞洲**進展相對較快,日本和新加坡推進和完善網(wǎng)絡(luò)安全基本立法進程。
另一方面,歐美**的相關(guān)法規(guī)也有一定借鑒意義。歐盟制定的《通用數(shù)據(jù)保護條例》(即GDPR,General Data Protection Regulations)規(guī)定,任何收集、傳輸、保留或處理涉及到歐盟所有成員國內(nèi)的個人信息的機構(gòu)組織均受該條例的約束。
在GDPR生效后,歐洲監(jiān)管機構(gòu)發(fā)起的*引人注目的調(diào)查與Facebook有關(guān)。
石家莊網(wǎng)站建設(shè)消息2018年9月,F(xiàn)acebook宣布遭遇有史以來**的一次黑客攻擊,但是直到兩個月后,F(xiàn)acebook才向其歐洲監(jiān)管機構(gòu)報告了數(shù)百萬用戶照片被泄露的信息。由于用戶數(shù)據(jù)被泄露以及多項違規(guī)行為,根據(jù)GDPR相關(guān)規(guī)定,F(xiàn)acebook可能面臨**16億美元的罰款。
信達(dá)證券相關(guān)研報顯示,由于用戶信息泄露事件的頻繁發(fā)生,用戶對于個人敏感數(shù)據(jù)的保護也愈加重視,對企業(yè)而言,獲取用戶數(shù)據(jù)將變得更為困難,因此有價值數(shù)據(jù)的壟斷程度也將有所提升。
此外,上述研報提道,數(shù)據(jù)泄露事件或在短期內(nèi)對大數(shù)據(jù)產(chǎn)業(yè)產(chǎn)生一定基于對數(shù)據(jù)濫用的擔(dān)憂,但長期來看,將促進大數(shù)據(jù)使用規(guī)劃化、制度化,促進國內(nèi)關(guān)鍵領(lǐng)域數(shù)據(jù)采集和使用的自主可控,從而利好國內(nèi)大數(shù)據(jù)產(chǎn)業(yè)的長期發(fā)展。
| 
