10月7日,CCTV《焦点访谈》栏目播出了名为“信息安全:防内鬼 防黑客”的节目。节目中,淮安的卢先生早上在网上买了蜂蜜,结果下午就接到了精准的电话推销,向他兜售蜂皇浆、蜂胶等保健品。日常生活中,相信很多有过网购经历的人都遭遇过相似的情景,到底是哪个环节出了问题,致使我们的信息泄露呢?该如何保障我们的数据安全呢?
现在,我们的工作和生活越来越离不开互联网。可是在享受诸多网络带来的便利同时,我们也把大量的个人信息和私密数据都留在了互联网上。比如,用手机上的几乎任何一款APP,都会要求填写个人信息,或者收集微信、微博账号之类的。再比如,网购点东西,可能个人信息就会留存在电商企业、快递公司的系统里。而如果这些互联网平台不能很好地保护个人信息,那么,大规模的信息泄露就不可避免。最近警方破获的几起案件又给我们提了个醒。
案 件
近期,江苏淮安警方侦破了一起黑客攻击快递公司信息后台数据的案件。
当时,某快递公司频繁接到客户投诉,通过该快递公司网购某些商品后,很快就会接到类似商品的推销电话,甚至还有诈骗电话。客户怀疑,快递公司泄露了自己的信息。
警方侦查后发现,这个快递公司的信息系统后台已经被黑客攻破,大量的用户数据已经被窃取。
据警方介绍,一共扣押了300G的数据,经初步梳理,大概有1亿条左右公民信息。
随着互联网经济以及云计算、大数据技术的发展,越来越多的个人信息集中在各种网络平台系统之中。专业人士指出,相比于此前黑客盯上个人手机,通过木马病毒等窃取个体的信息,现在更多的黑客把目标盯上了各种集中了大量信息的平台。
淮安市公安局清江浦分局情报技术中心副主任沙俊说:“这些数据很鲜活,物流信息往往包含公民的姓名、手机号、家庭地址,还有买卖快递的时间,这种信息对于后期诈骗也好,或者推销商务产品也好,都可以更准确地对人群进行定位、分类。”
警方调查后表明,这些精准的个人信息,根据新旧标价不同,用途也不同,老旧的信息被卖给做推销的,最新的信息则被卖给做诈骗的,海量的个人信息买卖背后,是巨大的经济利益。警方抓获的四名犯罪嫌疑人,一年时间就非法获利100万。
信息数量大、获利多,近年来,由于防护不到位,众多平台被黑客等攻破,大面积信息泄露事件频频发生。而这种泄露,给个人的生命和财产安全,带来极大隐患。
2016年,刚参加完高考的山东考生徐玉玉,正是因为山东教育部门系统被黑客攻破,导致个人信息泄露,遭遇精准的电信诈骗,不幸去世。
中国科学院数据与通信保护研究教育中心主任荆继武说:“有80%的人的个人信息都曾经录入过,这是大概的统计,大部分人的信息已经在网上了。我们发现大量的公司在发展过程当中,保护手段还没有做得太好。很多用户也担心自己的信息被泄漏,这也达到了80%,说明我们百姓的网络安全意识在提高。”
除了外来的“黑客”,平台“内鬼”是造成个人信息和数据泄露的另一个主要原因。近年来,“内鬼”事件多次被曝出。
案 件
前不久,江苏常州警方破获一起特大侵犯公民信息案,这个案件中内鬼多达48名,涵盖银行、卫生、教育、社保、快递、保险、网购、汽修等多个行业。买卖的信息包括个人征信、车辆信息、开房住宿、收货地址等数十个种类实时信息。
这位某银行原信贷部副经理,就是一名“内鬼”,利用职务之便,他以每条30块钱的价格卖掉了单位信息系统中3000多个客户的征信信息,其中包括姓名、身份证号码、家庭住址、工作单位等。
那么,在信息更多向平台聚集的互联网大数据时代,平台如何防住外来的“黑客”和系统内的“内鬼”呢?
针对“黑客”,很多平台正在构筑综合和纵深的防御体系。专家指出,网络安全是一场攻守战,针对技术越来越高的黑客攻击,单点环节已经无法保障数据安全,必须有一个体系化的防御机制,并且根据威胁不断动态创新,才能构筑安全屏障。
针对泄露个人信息的“内鬼”,很多平台设置了安全内控体系和审计监督机制。以某移动支付平台为例,现在其用户已经达到7亿,每天平台有上亿笔交易,事关每个用户的钱袋子,保障个人信息和用户安全是其工作的重中之重。为此,平台设置了专人专岗,每次操作都会记录操作人、操作内容、操作时间、操作对象等信息,同时利用大数据和人工智能系统进行监督。
“内鬼”和黑客行为都属于违法犯罪,为了加强打击力度,我国相关立法也在不断完善。
我国《刑法修正案(九)》中加入了侵犯公民个人信息罪这个新罪名,随后两高司法解释明确非法获取、出售或提供50条以上征信、财产等公民个人信息,即构成刑事犯罪。
同时,针对内、外两方面造成的网络安全威胁,平台应该怎么做,从法律的层面,也越来越明确。网络安全法明确规定:网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损和丢失。同时明确,关键信息基础设施的运营者应当履行安全保护责任。
法律责任更明确,公安、网信等机关对于违法行为打击力度也在不断加大。就在本届人大刚刚公布的立法计划中,针对个人信息和国家数据安全,《个人信息保护法》、《数据安全法》这两部法律已经被明确列入立法规划。
中国社会科学院法学研究所研究员周汉华认为,除了立法,还得建立一个有效的监管体系,有力的执法结构,科学的执法方法,有威慑力的执法手段,以及执法的监督制约机制,形成一个社会共治的结构。每一个人都来关心,既关心个人信息的保护,也关心国家数据的安全。
如果不能很好地保护个人信息,那么,我们每个人都可能是透明人,都可能是受害者。之所以频频发生个人信息的大规模泄露,一个重要原因还是互联网平台企业没有尽到责任,对内对外的防护都不到位。所以不仅要在法律层面尽快完善立法、严格执法,互联网企业如何在管理层面、技术层面防止漏洞变黑洞,也是刻不容缓。“网络安全为人民、网络安全靠人民”。国家、社会、企业、个人共同努力,各负其责,让互联网成为安全网,我们工作生活才会更放心、更安心。(来源:央视网《焦点访谈》1007,内容有删减)
︱神琥观点
当前,个人信息泄露已成为精准诈骗的罪魁祸首。面对大规模的信息泄露事件,电商、快递等为代表的互联网平台企业应该如何应对呢?我们认为,构建主动防御机制、保障信息安全是关键。
以“主动防护”为核心,神琥科技研发推出了铜墙、铁壁系列产品。
铜墙系统专注于防护数据终端安全,通过实时监控人为操作和程序行为,识别高风险单位、部门、人员和设备,解决通过计算机终端发现威胁线索并主动上报的问题,可有效防范内鬼泄密。
铁壁系统专注于核查网络通讯安全,通过对网络通讯数据的实时采集、动态监测和预警分析等服务,解决通过网络节点发现和上报网络攻击等威胁线索的问题,可有效防范黑客窃密。
铜墙铁壁系统部署示意图
目前,铜墙铁壁系统已为多个企业用户构建起动态、全方位的信息安全主动防御机制,防范来自内、外两方面的网络安全威胁,确保企业的信息安全。关于铜墙铁壁系统更详细的介绍,敬请关注我们的后续文章!