2019年1月15日-16日,中央政法工作会议召开,会议部署了2019年政法工作的重点任务,明确了维护国家安全、确保社会稳定;构建海外安全保护体系等具体要求。
1月21日,防范化解重大风险专题研讨班开班,开班式指出要深刻认识和准确把握外部环境的深刻变化和我国改革发展稳定面临的新情况新问题新挑战,防范化解各领域重大风险,其中包括科技风险和外部环境风险等。
1月30日至2月24日,在不到一个月的时间里,第五至七轮中美经贸高级别磋商连续举行。双方围绕技术转让、知识产权保护等6方面的具体问题进行了深入交流并取得实质性进展。
2019年以来,党和国家的多项重大会议和工作都透露出了对安全保卫、风险防范化解、知识产权保护、企业保护、海外利益保护等方面的关注。
结合前段时间,我们对孟晚舟事件的分析(戳此回顾前文)不难发现,随着当前企业业务威胁形势的日趋严峻,企业业务保障问题已引起国家的高度重视。而如何解决层出不穷的业务威胁,实现自身业务保障,则成为我国企业面临的一大挑战。
企业失泄密问题
引发业务安全危机
信息化时代,企业对信息系统的依赖日渐加深,业务数据化趋势加剧,企业面临的业务威胁和风险点也不断扩大。诸如内鬼售卖客户数据、员工跳槽泄密、商业间谍窃密等等安全事件屡有发生,而其中任何一种都有可能引发企业的业务安全危机。
综合企业面临的业务威胁的来源,我们可以将其分为内部威胁和外部威胁。
01 内部威胁
企业面临的绝大多数业务威胁都是来自企业内部,而企业的内部威胁主要来自于人。就获取数据的难易程度而言,企业内部人员比外部人员更容易接触到企业的关键数据。这也正是企业需要重视内部威胁的原因之一。
去年,《焦点访谈》栏目曾报道了一起特大侵犯公民个人信息案。在该案中,大数据公司多达数十种公民个人信息遭内部员工盗卖,月涉案金额高达1000多万元。经调查发现,信息泄露的源头竟是来自银行、卫生、教育、社保、快递、保险、网购、汽修等众多行业部门的48名内鬼!
内鬼之一的田某是长沙一银行原信贷中心副主任,他利用职务之便,以每条30块钱的价格卖掉了单位信息系统中3000多个客户的征信信息,包括姓名、身份证号码、家庭住址、工作单位等。最终,法院以田某等行业内鬼构成侵犯公民个人信息罪,判处该犯罪团伙5年以下不等的有期徒刑。
这样的案例并不是个例,全球每年发生的企业业务安全事件不胜枚举,而造成这些事件的企业内部威胁主要有以下几种:
◆ 内鬼泄密:内鬼出于报复心理或受到利益诱惑,故意泄露公司内部机密信息;
◆ 员工无意识泄密:由于网络安全意识薄弱,内部员工遭到钓鱼或社工攻击;
◆ 员工跳槽泄密:掌握着公司核心技术或涉密信息的离职员工跳槽到同领域的企业;
◆ 内部管理漏洞:如网络管理混乱,访客网络与办公网甚至生产网未做隔离;安全管理制度缺失,员工随意带电脑或机密文件出公司,内网涉密文件出现在外网计算机上等;
◆ 分支机构、外协单位等监管盲区:企业的各类分支机构和外协单位包括合作伙伴、外部服务人员、第三方企业等,往往是企业监管盲区,同时也是泄密重灾区;
……
02 外部威胁
企业面临的外部威胁是广泛存在且充满随机性的,攻击者可以是来自全球的任何一个网络或联网终端,攻击手段和方式也是五花八门,其中不乏戏剧性的案例。
2017年曾发生一起著名的“90后商业女间谍案”,牵扯出两家二手车信息服务平台之间的明争暗斗。据报道,涉案双方查博士与车鉴定分别属于两家公司且存在竞争关系。自2016年下半年起,查博士派遣“间谍”陈小梅(化名)到车鉴定卧底。入职成为车鉴定客服人员后,陈小梅定期向查博士提供车鉴定内部运营数据、商业活动策划方案、定价策略、大客户名单、联系方式、充值记录、查询数据等商业秘密和信息。据此,陈小梅每月可从查博士获得4000元报酬。
直到车鉴定多番调查发现陈小梅的“间谍”身份,这场持续了8个月的卧底行动才宣告终结。同时,车鉴定也于2017年2月将查博士告上法院,称其通过安插“卧底”窃取公司商业机密;要求被告停止不正当竞争行为,并索赔2000万元。
此案揭露出企业在现代激烈的商业竞争中随时面临着商业机密被窃取的威胁,而这种威胁只是企业面临的来自多方面的众多外部威胁之一。
◆ 商业间谍攻击:企业通过雇佣商业间谍对竞争公司进行恶意攻击和窃密;
◆ 黑客入侵:企业在信息化进程中,重业务发展、轻网络安全,导致不法分子趁虚而入进行获利攻击或恶意破坏;
◆ 系统漏洞:世界上没有绝对安全的系统,无论公司架构采用的是主流抑或非主流框架,都可能出现漏洞及攻击;
◆ 勒索病毒:一种以邮件、程序木马、网页挂马的形式进行传播的新型电脑病毒,利用各种加密算法对文件进行加密,勒索被感染者付费解密;
……
关注企业全面安全
保护关键业务数据
内有内鬼与利益所得者蠢蠢欲动,外有各类攻击者虎视眈眈。面对如此严峻的威胁形势,企业应该如何找到突破口,实现自身业务保障呢?
关注企业全面安全是关键。企业需要建立起全面的企业技术风险防范体系,开展业务保障和风险防范工作,着力保护好企业的合同、方案、标书、知识产权、内部文档、财务数据、涉密信息等关键业务信息。
从企业面临的内外威胁来看,企业技术风险防范体系可以分为两部分,即:对内,摸清风险防控薄弱环节;对外,严把网络通道安全。
01 摸清风险防控薄弱环节
在保障自身业务安全问题上,通常大多数企业的做法是关注防火墙、防水墙、审计系统等边界防御措施,但如果企业的威胁是来自内部,边界防御措施就会受到严峻挑战。因此,守护内部数据安全,关键在于弄清楚“哪些机构、部门、人员、设备的风险最高”,找到企业风险防控的薄弱环节,从而确定企业的风险底数,以采取针对性、差异性防范措施。
例如,张三在内网设备A上将涉密技术文档拷贝到U盘,并将该U盘插入外网设备B,又通过QQ邮箱将涉密技术文档发送给了李四。在这一过程中,我们可以自动识别并上报张三对涉密技术文档的“拷贝、U盘插拔、邮箱发送”等一系列异常行为,同时提高设备A、张三及其所在部门的风险指数并预警,帮助管理人员直观掌控企业安全状况,及时处理各种风险问题,提高企业风险管控工作的效率,从而更好地保护企业关键业务信息。
02 严把网络通道安全
较之企业的内部威胁,来自外部的网络攻击也是一个让企业非常头痛的固疾,存在着敌明我暗、双方攻防力量不对等等问题,这使得网络攻击往往发现难、发现晚。防御外部网络攻击,关键在于弄清楚“什么人、什么时间、对我发起了什么攻击”。
在企业的业务保障工作中,通过对企业的网络节点进行监控部署,可以实时直观地呈现出企业整体网络通道的安全状态。在网络攻击发生后,我们还可以通过回溯网络节点上记录的数据,还原网络攻击的过程。这样不仅能为案件提供关键电子证据,还能在长期的监控中积累攻击行为特征,形成网络威胁预警感知机制,实现对网络攻击的主动发现,让网络威胁看得见、防得住、可溯源,从而提升对企业关键业务系统的运行保障能力和问题处置效率。
以前文“90后商业女间谍案”为例,在发现客户信息等商业机密泄露时,车鉴定最初怀疑是通讯传输过程被黑,采取多种安全措施无果后,通过大量人力查看客户信息后台日志,最终才抓出“间谍”。如果车鉴定提前摸清公司的风险底数,加强对高风险部门、人员、设备以及网络通道等的监控,就能在窃密行为发生后的第一时间发现“间谍”的异常行为特征,为案件的侦破提供关键证据支撑,既节省人力,又能及时止损。
信息化是当今时代发展的大趋势,同时这也意味着企业面临的业务威胁和风险问题将会长期存在。
对于企业而言,当前的业务威胁形势已如温水煮青蛙,企业需得居安思危,将保护关键业务数据和敏感信息的意识刻画到企业基因中。同时加快业务保障工作的常态化,将技术防范与意识培养、制度约束手段结合起来,全面提升应对业务威胁的能力,做到有备无患,从而实现企业业务与风险管理相促相长、良性发展。