員工偷偷竊取上億用戶信息。
今年年初,公安部破獲了壹起竊取、販賣公民個人信息案。
被竊取的用戶信息主要涉及交通、物流、醫療、社交網絡、銀行等領域的上億條,然後這些用戶的個人信息通過各種方式在網絡黑市出售。警方發現幕後的主要嫌疑人是這家公司泄露信息的員工。
業內數據安全專家評價,這起案件泄露了上億條公民個人信息,主要問題在於內部數據安全管理的短板。
國外的情況也不樂觀。2016年9月22日,全球互聯網巨頭雅虎證實,2014年至少有5億用戶的賬戶信息被盜。被盜內容涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登錄密碼。
企業數據信息泄露後,很容易被不法分子用於網絡黑灰產的運營中牟利。危害輕的話,偷錢會要了他們的命。去年8月,山東高考生徐玉玉被電信詐騙9900元學費致死,其他數據安全事件可見壹斑。
去年7月,微軟windows 10也因未能遵守歐盟的“安全港”規定,過度收集用戶數據而受到法國數據保護監管機構CNIL的警告。
上海社科院互聯網研究中心發布的報告指出,隨著數據資源商業價值的凸顯,數據的攻擊、竊取、濫用、劫持等活動持續泛濫,並呈現出產業化、高科技、國際化的特點,對國家和數據生態治理水平以及組織的數據安全能力提出了新的挑戰。
目前,重要商業網站的海量用戶數據是企業的核心資產,也是私人黑客乃至國家攻擊的重要目標。重點企業的數據安全管理面臨嚴峻壓力。
企業和組織如何提高數據安全能力?
企業迫切需要提高數據安全管理能力。
“大數據安全威脅滲透到數據生產、流通、消費等大數據產業的各個環節,包括數據源、大數據處理平臺、大數據分析服務在內的各類主體都是威脅源。”上海社科院信息研究所所長惠誌斌告訴記者,大數據安全事件的風險成因復雜交織,既有外部攻擊和內部泄密,也有技術漏洞和管理缺陷,既有新技術、新模式引發的新風險,也有傳統安全問題。
5月27日,中國互聯網協會副秘書長石現生表示,互聯網日益成為經濟社會運行的基礎,網絡數據安全的意識、能力和保護手段面臨新的挑戰。
將於今年6月1實施的《網絡安全法》,重點關註企事業單位數據泄露相關問題。該法案要求各類機構承擔確保數據安全的責任,即保密性、完整性和可用性。此外,需要確保個人對其個人信息的安全和可控。
史憲生介紹,早在2015年,國務院就發布了《促進大數據發展行動計劃》,明確提出要“完善大數據安全保障體系”,“強化安全支撐,提高關鍵基礎設施設備安全可靠性水平”。
“目前很多企事業單位不知道如何提高數據安全管理能力,也不知道用什麽標準來衡量。”壹位業內人士表示,問題的癥結在於國內的數據安全管理還處於初級階段,很多企業沒有建立數據安全評估體系,或者說沒有完整的評估參考標準。
“大數據安全能力成熟度模型”已申請國家標準。
博覽會期間,記者從“大數據安全產業實踐高峰論壇”上獲悉,為解決這壹問題,全國信息安全標準化技術委員會等職能部門,聯合數據安全領域的標準化專家學者和行業代表企業,著手制定壹套機構數據安全能力的評估標準——“大數據安全能力成熟度模型”,該模型基於阿裏巴巴提出的數據安全成熟度模型(Data Security Maturity Model,DSMM)。
阿裏巴巴集團安全部部長鄭斌介紹了DSMM。
作為該標準項目的主要起草人,阿裏巴巴集團安全部總監鄭斌表示,該標準是DSMM基於阿裏巴巴自身數據安全管理實踐經驗起草的第壹份草案,旨在與同行業分享阿裏的經驗,提升行業整體安全能力。
“互聯網用戶的信息安全從來就不是壹個公司的事情。”鄭斌表示,“大數據安全能力成熟度模型”的制定也是由中國電子技術標準化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心、公安第三研究所、清華大學和阿裏雲計算有限公司等權威數據安全機構、學術機構和企業共同提出的。