近日,關(guān)于國家電網(wǎng)被爆泄露千萬用戶信息的消息傳來,令人震驚。無獨有偶,爆發(fā)在“雙十二”之前的京東“泄密門”使得數(shù)據(jù)安全問題再一次進(jìn)入大眾視線。盡管事后兩家公司都發(fā)出聲明,澄清了事件的原委,但是信息安全帶來的隱患不容忽視。
數(shù)據(jù)泄露為何發(fā)生
隨著國家電網(wǎng)本身對電e寶推廣力度的加強,地方供電所在推廣和普及APP的過程中可能“兵行險招”。
電e寶上線后,確實經(jīng)歷了一波強勢推廣。11月28日,在新沂市南京路金三角商業(yè)街,有當(dāng)?shù)毓╇娝ㄟ^開展專項宣傳桌、條幅、展板等來吸引人群。西平縣供電所開展以點到面、向外輻射的推廣策略,首先推動自有員工接受,再推薦給好友或者分享朋友圈。
當(dāng)?shù)胤焦╇娋趾凸╇娝茝V電e寶如火如荼的時候,也就不難理解淘寶上代辦服務(wù)的出現(xiàn)。通過對地方供電所提供的信息,對電e寶進(jìn)行注冊辦理,一邊掙著錢,一邊就把信息給收集了。而信息監(jiān)管的缺乏,沒有人可以知道數(shù)據(jù)的流出和使用,這使得電網(wǎng)用戶的信息安全受到了極大的危害。
北京交通大學(xué)絲路中心大數(shù)據(jù)產(chǎn)業(yè)院院長梅一多在接受采訪時表示:“這是一個典型的第三方導(dǎo)致的數(shù)據(jù)泄露事件。是和大型企業(yè)有合作關(guān)系的中小微企業(yè)導(dǎo)致的數(shù)據(jù)泄露。因為無法明確在信息記錄的后臺,有誰記錄了信息,下載了數(shù)據(jù)。從收集到生產(chǎn)、分析、發(fā)布等各個環(huán)節(jié)都沒有數(shù)據(jù)隱私保護。”
設(shè)立安全標(biāo)準(zhǔn)
記者多次聯(lián)系國電網(wǎng),國電網(wǎng)表示:在多次查證后,并不存在推廣掌上電力和電e寶APP過程中存在泄露客戶信息的情況,并且已經(jīng)向淘寶進(jìn)行舉報。記者通過查詢淘寶之后發(fā)現(xiàn),一些提供掌上電力登錄、綁定服務(wù)的商家已經(jīng)全部下架。
我們發(fā)現(xiàn),大數(shù)據(jù)時代下的信息安全,有些并非是“剛性”泄露,恰恰是企業(yè)在推行戰(zhàn)略過程中,好心辦了壞事。
易觀大數(shù)據(jù)高級分析師林仕榮在接受《中國企業(yè)報》記者采訪時表示了幾點意見:“一、國家需要通過對企業(yè)的云計算服務(wù)和大數(shù)據(jù)安全設(shè)立標(biāo)準(zhǔn),這樣才能從根源上促進(jìn)企業(yè)的重視。二、相關(guān)部門可以考慮提升數(shù)據(jù)審計以及監(jiān)管力度,對企業(yè)進(jìn)行包括安全漏洞和數(shù)據(jù)泄露風(fēng)險的合規(guī)性檢查,不符合規(guī)定的可以下令責(zé)改。三、企業(yè)作為大數(shù)據(jù)信息的所有方,有保障數(shù)據(jù)安全不可推卸的責(zé)任。通過云服務(wù)廠商提供的安全保障措施,企業(yè)通過透明加密技術(shù)對數(shù)據(jù)進(jìn)行加密,這樣的做法使數(shù)據(jù)以密文的形式存儲在云端,防止網(wǎng)絡(luò)攻擊的危害。”
需求推動利益的產(chǎn)生,利益往往衍生出行業(yè)的不規(guī)范。特別是對于大數(shù)據(jù)安全來說,良性需求的創(chuàng)造和推動卻延伸出了信息安全的漏洞,著實令人遺憾。首席數(shù)據(jù)官聯(lián)盟發(fā)起人劉冬冬表示:“制定企業(yè)、行業(yè)法則,技術(shù)上不是問題,但需要用規(guī)則管理技術(shù)及運維的人,在事情可能發(fā)生之前就應(yīng)該先制定規(guī)則技術(shù)。”
觀韜中茂律師事務(wù)所合伙人王渝偉在接受采訪時表示:“對于像淘寶、京東這類的線上平臺,應(yīng)當(dāng)從對個人數(shù)據(jù)信息的收集、使用、處理、轉(zhuǎn)移等方面來管理約束平臺的行為,同時完善個人用戶對于數(shù)據(jù)信息的刪除、更正權(quán)來保障個人權(quán)益?!毒W(wǎng)絡(luò)安全法》對于以上行為以及權(quán)利實際上都已經(jīng)有比較明確的規(guī)定,加強這方面的執(zhí)法力度應(yīng)該能夠有效地減少大數(shù)據(jù)環(huán)境下數(shù)據(jù)信息的泄露。”
加強立法和監(jiān)管
大數(shù)據(jù)資深分析師任偉巍在接受《中國企業(yè)報》記者采訪時從技術(shù)層面表示:“加強數(shù)據(jù)安全,一方面要加強立法、監(jiān)管以及對大數(shù)據(jù)犯罪的處罰力度,要對大數(shù)據(jù)犯罪形成強有力的威懾。另一方面,要推動大數(shù)據(jù)的市場運作機制,因為用戶數(shù)據(jù)不但決定市場化企業(yè)的收益、市場地位,更決定其潛在的經(jīng)營風(fēng)險。加強數(shù)據(jù)安全還要依靠技術(shù)手段,應(yīng)盡早制定我國自主的數(shù)據(jù)傳輸標(biāo)準(zhǔn)、接口、物聯(lián)網(wǎng)操作系統(tǒng),避免數(shù)據(jù)安全受制于國外機構(gòu)。例如,需要明確業(yè)務(wù)分析是否需要訪問真實數(shù)據(jù),或‘脫敏’數(shù)據(jù)能否使用,選擇合適的敏感信息遮擋和加密等矯正技術(shù)(masking or encryption)。遮擋技術(shù)能提供最好的安全性能,而加密則更具靈活性,可視將來的需要而定。同時,確保選擇的加密方案與企業(yè)的訪問控制技術(shù)能夠互操作,這樣,特定級別和身份的用戶只能訪問Hadoop集群中特定的數(shù)據(jù)范圍。”
大數(shù)據(jù)時代下的信息安全,“一言不合”就出漏。對公有云不放心,私有云也隨時可能出現(xiàn)安全問題,大數(shù)據(jù)信息安全在制定企業(yè)、行業(yè)和法律規(guī)則之外,必須要對數(shù)據(jù)的處理另辟蹊徑。
微眾稅銀COO曾源對記者表示:“大數(shù)據(jù)時代,技術(shù)問題往往都不是太大的問題,可以及時補救。真正存在的問題是管理數(shù)據(jù)人員的主觀倒賣和素質(zhì)操守問題,一些黑產(chǎn)數(shù)據(jù)往往給工作人員形成一種觀念,拿數(shù)據(jù)就能賣錢。所以,絕大多數(shù)的黑產(chǎn)數(shù)據(jù)都不是因為技術(shù)問題而被攻克泄露,而是買通內(nèi)部人員整體倒賣。” 那么,對于數(shù)據(jù)從業(yè)人員的備案和信用檢查就顯得尤為重要,企業(yè)需自檢,再由相關(guān)部門二次審核。企業(yè)內(nèi)部需要成立數(shù)據(jù)風(fēng)控部,通過監(jiān)控數(shù)據(jù)和操作降低數(shù)據(jù)外露的風(fēng)險。
Oracle大數(shù)據(jù)資深顧問魏函輝就這個問題表示,數(shù)據(jù)并非洪水猛獸,一點不能觸碰。同樣數(shù)據(jù)也并非不能買賣,而是要分為怎么賣,如何賣。他還認(rèn)為,原始數(shù)據(jù)是堅決不可以觸碰的,但是基于原始數(shù)據(jù)上產(chǎn)生的衍生數(shù)據(jù)、分析數(shù)據(jù),比如購物偏好、消費模式或者健康指數(shù)這些都是可以進(jìn)行互通的。只有正規(guī)的數(shù)據(jù)交易市場和平臺的出現(xiàn),讓數(shù)據(jù)交易變得有法可依、有章可循,這樣才能從根本上杜絕數(shù)據(jù)黑色鏈條的產(chǎn)生。