企業(yè)數(shù)據(jù)安全“烏云”密布:難以估量的“未來”危機(jī)
數(shù)據(jù)安全正在將越來越多的企業(yè)推向風(fēng)口浪尖。
10月19日,烏云網(wǎng)發(fā)布消息稱,網(wǎng)易的用戶數(shù)據(jù)庫疑似泄露,引發(fā)了與后者的口水戰(zhàn)。而網(wǎng)易并不是第一個被“烏云”盯上的企業(yè),此前,騰訊、攜程、支付寶都曾登上過烏云網(wǎng)的“黑名單”。
在業(yè)內(nèi)人士看來,這些已然暴露出來的問題還只是冰山一角,更多企業(yè)的數(shù)據(jù)泄露還處于秘而不宣的狀態(tài);實際上的數(shù)據(jù)安全威脅無孔不入,甚至連專業(yè)的安保機(jī)構(gòu)都表示“損失已經(jīng)難以彌補(bǔ)”。
“這些泄露的數(shù)據(jù)大量流入數(shù)據(jù)黑市,造成了用戶安全、企業(yè)安全甚至國家安全方面的連鎖反應(yīng),但是國內(nèi)企業(yè)在經(jīng)營狀況、預(yù)算、意識等方面的問題,在數(shù)據(jù)安全這方面的投入還遠(yuǎn)遠(yuǎn)不夠。”亞信安全業(yè)務(wù)發(fā)展總監(jiān)童寧對《中國經(jīng)營報》記者表示。
而對于很多企業(yè)而言,數(shù)據(jù)安全保護(hù)是基于一個投入產(chǎn)出比的商業(yè)考量。但無疑,未來日益趨嚴(yán)的法律環(huán)境以及可能帶來的巨額賠償會讓他們重新思考這個天平兩端的籌碼。
潛滋暗長的數(shù)據(jù)“黑市”
數(shù)據(jù)安全事件正在接連爆發(fā)。網(wǎng)易郵箱所引發(fā)的爭執(zhí)尚沒有平息,互聯(lián)網(wǎng)巨頭百度又步其后塵。
10月28日,烏云網(wǎng)曝出百度全系的安卓APP存在安全漏洞,只要安卓設(shè)備連接網(wǎng)絡(luò),黑客就能對設(shè)備實現(xiàn)遠(yuǎn)程操控,安裝指定應(yīng)用。隨后,百度官方回應(yīng)稱:已經(jīng)發(fā)現(xiàn)并確認(rèn)了該漏洞,目前產(chǎn)品團(tuán)隊已經(jīng)緊急修復(fù)了該漏洞。
盡管事后補(bǔ)救是必要之舉,卻無法彌補(bǔ)損失。就像潘多拉的盒子一樣,系統(tǒng)漏洞一旦產(chǎn)生,災(zāi)難就已經(jīng)無可遏制地廣泛散播了。正如綠盟科技深圳互聯(lián)網(wǎng)金融安全研究負(fù)責(zé)人賴東方所說的,在漏洞和數(shù)據(jù)被披露之前,影響就可能早已擴(kuò)散出去了。
2011年,知名網(wǎng)站CSDN證實600余萬用戶資料被泄露,卷入其中的還有人人網(wǎng)、多玩網(wǎng)等,涉及數(shù)百萬用戶數(shù)據(jù)資料。而經(jīng)過調(diào)查發(fā)現(xiàn),此次泄露的數(shù)據(jù)信息源于2009年的黑客攻擊,也就是說,這些數(shù)據(jù)“應(yīng)用”早已暗中發(fā)酵了2年多的時間,而當(dāng)事人卻一無所知。
烏云網(wǎng)創(chuàng)始人方小頓(劍心)曾公開指出,互聯(lián)網(wǎng)模式下企業(yè)內(nèi)部IT系統(tǒng)一打開,外面就是一群狼。事實也確實如此,童寧就指出,那些黑客以每天不間斷的方式長期,甚至貼身對企業(yè)進(jìn)行系統(tǒng)攻擊,這種情況在國際大型金融公司已司空見慣。
“具有商業(yè)價值,尤其是掌握大量用戶信息的,比如一些互聯(lián)網(wǎng)巨頭和使用率極高的在線公眾平臺,更加容易遭遇黑客攻擊”,賴東方說,互聯(lián)網(wǎng)金融企業(yè)面臨的問題尤為嚴(yán)重,因為他們目前的安全水平比銀行低很多,又涉及金融類的敏感信息和敏感操作,“只要是我們檢測過的平臺,都發(fā)現(xiàn)有各種漏洞。”
根據(jù)《2014年互聯(lián)網(wǎng)金融行業(yè)安全漏洞分析報告》不完全統(tǒng)計,截至2014年底,已有近165家P2P平臺由于黑客攻擊造成系統(tǒng)癱瘓、數(shù)據(jù)被惡意篡改、資金被洗劫一空。2015年4月,烏云網(wǎng)也發(fā)布警示稱,芝麻金融P2P網(wǎng)站遭遇數(shù)據(jù)庫泄露,造成逾8000名用戶資料泄露,涉及金額高達(dá)3000萬元有余。
除了這些顯而易見的損失外,大量的敏感信息流入到業(yè)內(nèi)人士所稱的“數(shù)據(jù)黑市”里。據(jù)賴東方了解,在這個灰色產(chǎn)業(yè)鏈條中,負(fù)責(zé)網(wǎng)絡(luò)入侵、數(shù)據(jù)竊取、網(wǎng)絡(luò)釣魚、網(wǎng)絡(luò)敲詐等各個虛擬單元以松散的形式結(jié)合,他們大多不使用實名,而以網(wǎng)絡(luò)代號相稱。
這些數(shù)據(jù)“黑手”就像是在暗中靜候時機(jī)撲向獵物,攻其不備。比如一些黑客即便竊取到用戶的賬戶數(shù)據(jù),但并不會馬上盜取,而要守株待兔以獲取更大的數(shù)目;而一些企業(yè)則會在上市備戰(zhàn)之際收到黑客的“敲詐電話”,后者以此前竊取到的公司機(jī)密為要挾,而在這種命中要害的“節(jié)骨眼”上,企業(yè)多半會選擇“破財消災(zāi)”。
不僅如此,據(jù)童寧透露,許多數(shù)據(jù)會經(jīng)由“地下黑市”輾轉(zhuǎn)售賣至其他國家,這也就意味著,企業(yè)和用戶的數(shù)據(jù)風(fēng)險暴露在全球的犯罪“平臺”上,甚至一些非常敏感的信息會進(jìn)一步引發(fā)國家安全問題。
“根據(jù)中國現(xiàn)行的法律,任何個人信息的買賣都是違法的。”上海泛洋律師事務(wù)所高級合伙人劉春泉說,但是在現(xiàn)實的執(zhí)法中卻面臨種種困境,因為數(shù)據(jù)的溯源,問責(zé)都很難取證,而在大數(shù)據(jù)時代面臨的問題就更為復(fù)雜。
正因如此,這些數(shù)據(jù)長期以來被肆無忌憚地竊取、流傳甚至利用。“目前國內(nèi)企業(yè)的網(wǎng)絡(luò)安全防護(hù)還處于剛剛起步階段,安全防護(hù)的意識還比較淡薄。國內(nèi)企業(yè)的安全防護(hù)驅(qū)動主要來自兩個方面,一方面是行業(yè)監(jiān)管要求,另一個方面則是事件驅(qū)動,即感受到切膚之痛后才強(qiáng)化安全防護(hù)。”賴東方指出。
經(jīng)濟(jì)考量下的兩難
事實上,中國企業(yè)不僅沒有在數(shù)據(jù)泄露方面體會到真正的“痛點(diǎn)”,卻往往由于忌諱數(shù)據(jù)安保方面的巨大投入而裹足不前。
童寧給出的一組數(shù)字顯示,國外的企業(yè)在數(shù)據(jù)安保方面的投入會占到IT預(yù)算的5%~10%,國內(nèi)企業(yè)一般都在5%以下。
相比于傳統(tǒng)企業(yè),互聯(lián)網(wǎng)公司在某些層面對用戶信息更加疏于保護(hù)。童寧指出,對于前者來說,客戶信息成為競爭的核心要素;而對于互聯(lián)網(wǎng)企業(yè)來說,是利用大數(shù)據(jù)而建立地群體畫像,所以缺乏動力去進(jìn)行個體用戶的信息保護(hù)。
投入產(chǎn)出比確實在很大程度上左右了企業(yè)對數(shù)據(jù)安全的重視程度,滴滴出行技術(shù)副總裁、商業(yè)變現(xiàn)事業(yè)部總經(jīng)理朱磊表示,“如果涉及到核心數(shù)據(jù),一般的企業(yè)都會嚴(yán)密保護(hù)。但在數(shù)據(jù)安全方面卻有很大的不同,因為數(shù)據(jù)的商業(yè)價值還都沒有挖掘出來,在沒有產(chǎn)出的情況下,很多企業(yè)也就不愿意在這方面做太多的投入。”
尤其是對剛剛起步的互聯(lián)網(wǎng)金融企業(yè)來說更是如此,有利網(wǎng)原CEO、美利金融CEO劉雁南就指出了現(xiàn)實的兩難,互聯(lián)網(wǎng)金融企業(yè)處于開放式的網(wǎng)絡(luò)通信系統(tǒng)中,很容易遭受計算機(jī)病毒以及網(wǎng)絡(luò)黑客的攻擊。必須對自身的交易系統(tǒng)、數(shù)據(jù)系統(tǒng)等進(jìn)行持續(xù)的高投入,而這無疑會加大企業(yè)的運(yùn)營成本。
而且,IT系統(tǒng)的建設(shè)并不能解決所有的問題。在朱磊看來,對企業(yè)來說技術(shù)上的投入不是一個關(guān)鍵問題,更重要的在于內(nèi)部管理。
“對于一般的企業(yè)來說,抵御外部攻擊的基礎(chǔ)性防火墻都會設(shè)立,所以外部攻擊還不是一個大問題。”朱磊指出,更大的風(fēng)險來自于企業(yè)內(nèi)部,很多企業(yè)數(shù)據(jù)的審批、授權(quán)等流程管理并不嚴(yán)格,這部分更容易導(dǎo)致數(shù)據(jù)泄露問題。
這個觀點(diǎn)得到德勤企業(yè)風(fēng)險管理合伙人馮曄的認(rèn)同,他表示,很多企業(yè)覺得數(shù)據(jù)保護(hù)是一個IT技術(shù)的問題,但實際上這是一個全員管理的問題。
對數(shù)據(jù)管理堪稱“偏執(zhí)”的美國運(yùn)通內(nèi)部人士就指出,公司對數(shù)據(jù)控制極為嚴(yán)格,經(jīng)常有一些不近人情的規(guī)定,比如在員工的內(nèi)部郵件中,如果涉及到15位或者17位的連續(xù)數(shù)字,并且其中有37的組合,那么就會被系統(tǒng)認(rèn)定為疑似卡號的問題郵件,從而提交到全球預(yù)警中心,最后只能在當(dāng)事人及其部門老板都要提交相關(guān)的證據(jù)后才可以消除警告。
“很多類似的情況,比如內(nèi)部電腦不能使用任何外接設(shè)備,非授權(quán)的部門不能接觸到任何會員信息。”上述人士指出,所以涉及到數(shù)據(jù)安全問題,一件在外界看來舉手之勞的事情,在系統(tǒng)內(nèi)輾轉(zhuǎn)下來要耗費(fèi)幾個小時的時間,這些都成為技術(shù)投入之外,企業(yè)在數(shù)據(jù)保護(hù)方面所要付出的隱性成本。
也正因如此,很多企業(yè)將數(shù)據(jù)保護(hù)作為“一種成本而非收益”,造成了“數(shù)據(jù)泄露之后再設(shè)法補(bǔ)救,而非預(yù)先防護(hù)”的被動局面。
日益逼近的“冰山”
一方面缺乏利益刺激,另一方面則對可能造成的損失缺乏考慮,這兩方面的權(quán)衡對企業(yè)來說是一道很簡單的算術(shù)題,正如童寧所言,“做好了數(shù)據(jù)安保,企業(yè)沒有直接的回報,做不好,即便發(fā)生了一些事情,也沒有成本。”
實際上,國內(nèi)的現(xiàn)行法律對企業(yè)提出了個人信息保護(hù)的要求,《消費(fèi)者權(quán)益保護(hù)法》中規(guī)定工商局可以對此做出最高50萬元的罰款,但對民事賠償卻沒有一個明確的說法,如何賠,賠多少都沒有規(guī)定,而且由于“難以進(jìn)行用戶損失的舉證,所以向企業(yè)的索賠很難成立。”劉春泉認(rèn)為,這也是當(dāng)前所面臨的法律困境。
2014年7月,劉春泉由于頻繁收到“95588”發(fā)送的商業(yè)短信而退訂無果后,對工行上海分行提起訴訟,要求后者停止發(fā)送商業(yè)信息、賠禮道歉,并作出賠償。而后盡管一審判決支持了他的訴求,但最終被上海市第一中級人民法院改判。理由則是“法院說垃圾短信雖然不妥但類似情況很多,所以不違法。”
“這種很明顯的信息侵權(quán)問題尚無法得到法律層面的肯定,那么在大數(shù)據(jù)錯綜復(fù)雜的環(huán)境下,向企業(yè)索賠就更加難上加難。”劉春泉說。而從企業(yè)層面來看,如果沒有現(xiàn)實的風(fēng)險刺激,數(shù)據(jù)安全更加難以提上日程,“很多企業(yè)的相關(guān)部門都會面臨領(lǐng)導(dǎo)的質(zhì)疑:你做這個有什么意義,真正的風(fēng)險是什么?”
而同樣的針對“垃圾短信”提起的訴訟,國外卻有“8年間獲賠超過100萬美元”的案例——這也是其他國家在數(shù)據(jù)安全保護(hù)方面的一個縮影,一些國外知名企業(yè)都曾為此類法律利劍所傷。
美國零售巨頭塔吉特的遭遇就是一個很典型的例子。2014年,塔吉特對外界宣布,由于遭遇黑客攻擊,預(yù)計多達(dá)1.1億名用戶信息被盜。此次危機(jī)對塔吉特帶來了幾乎“災(zāi)難性”的打擊:客戶大量撤逃,多起集體訴訟接連而至,股價應(yīng)聲下跌,最后連“業(yè)績出色”、在塔吉特服務(wù)35年之久的CEO也不得不黯然下臺,為數(shù)據(jù)泄密買單。
最近的消息表明,塔吉特同意支付1000萬美元,與集體訴訟達(dá)成和解。而值得注意的是,塔吉特也曾爭辯消費(fèi)者缺乏起訴資格,未能證實泄漏事件對其造成任何傷害,但該意見卻遭到一名法官的拒絕。
“因此,國外企業(yè)對這方面的風(fēng)險非常重視,要改變國內(nèi)的現(xiàn)狀,我認(rèn)為應(yīng)該通過政策和法律對企業(yè)施壓,使后者能夠加強(qiáng)這方面的投入力度。”童寧表示。而在劉春泉來看,國內(nèi)對個人信息安全和數(shù)據(jù)侵權(quán)的法律環(huán)境會不斷趨嚴(yán),而這將對疏于防范的企業(yè)構(gòu)成一個巨大的威脅。
“全國人大常委會‘關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定’沒有對違法行為規(guī)定具體數(shù)額,換言之也就是說沒有賠償上限,與其說是一個漏洞,不如說是留給執(zhí)法部門進(jìn)退自如的一個手段,在這樣的前提下,對那些在個人數(shù)據(jù)收集和使用上違法的行為處以天價罰款是完全合法的。”劉春泉指出。
一個可咨對比的案例就是,企業(yè)在2012年之前都把《反壟斷法》視為“沒有牙齒的老虎”,但經(jīng)歷過幾次市場整頓、一些大企業(yè)接連遭遇高額反壟斷罰單之后,如今以劉春泉的說法是,“反壟斷的律師是沒有預(yù)算的,基本上是要多少給多少。”
“之前政府以掃黃為抓手來治理互聯(lián)網(wǎng)企業(yè),我認(rèn)為未來很有可能將個人信息和數(shù)據(jù)安全作為抓手。”在劉春泉看來,如此將對某些企業(yè)造成致命打擊。