在大數據時代,人人都有可能「數字裸奔」。
前些日子,特斯拉傳出數據安全問題的醜聞。一位特斯拉舉報者向德國媒體提供了100GB的機密數據,泄密文件顯示,特斯拉在自動駕駛技術方面存在的問題比想象中更為嚴重,涉及數千例客戶投訴信息。
這些數據里還包含了10萬名離職和在職員工的姓名,以及私人電子郵件地址、電話號碼、員工工資、客戶的銀行信息、生產過程中的秘密信息等私密資料,甚至還有特斯拉CEO埃隆·馬斯克的社保號碼。
報道稱,特斯拉內部數據泄露的行為違反了歐盟《通用數據保護條例》,有可能會被處以其年銷售額4%的罰款,高達32.6億歐元。為此,特斯拉律師回應,一名「心懷不滿的前雇員」濫用了作為服務技術人員的權限,並表示,公司將對涉嫌泄密者採取法律行動。
特斯拉事件不過是冰山一角。數據已經成為這個時代最核心、最具價值的資產之一,正深刻地改變人類的生產和生活方式。但同時,全球每年都會出現大量有關數據泄露、非法交易、過度濫用等安全事件,牽動整個社會的神經。
近些年,隨着數據安全相關政策的陸續出台,越來越多企業也把保護數據資產一事提上日程。但想要真正實現數據安全保障,需要做的事還有很多。
數據被「偷」,比想象中更容易
回到問題的最開始,數據是怎麼泄露出去的?
鋅財經為此接觸到國內專注於數據安全的高科技企業衛達雲計算CEO馬浩寧,了解到,大規模的數據泄露可能是多種原因造成的。從內因來看,有可能是企業管理者對信息安全不夠重視,比較集中出現的情況是,企業許多廢舊設備不當處理,造成數據外泄。
以往許多企業處理廢舊設備有「兩板斧」,一是格式化,二是暴力拆卸,但這兩種方式其實都做不到安全。馬浩寧解釋道,「很多人不知道,格式化是存在數據恢復可能性的,今年315晚會上還專門做了這個專題,證實了恢復出廠設置也不一定能徹底清除手機數據。」
至於物理方式處理廢舊設備,無外乎就是消磁、打孔,或者用外力將其粉碎。但這樣一來,一是會造成環境污染,二是如果銷毀不徹底,同樣可以恢復數據。「舉個例子,如果一塊硬盤碎成幾塊,那這個硬盤塊就有可能通過科技的方式將其數據還原。」馬浩寧說道。
同時,一些企業員工的保密意識不強,將企業核心數據通過郵件附件、在線聊天、USB存儲設備等形式泄露出去。也存在內部員工惡意泄密的情況,這往往會和商業行為結合起來,有可能是同行找來的「內鬼」作祟。
從外部原因來講,基本上就和黑客相關。不法人員通過技術手段入侵公司內網竊取信息數據。隨着信息技術的快速迭代,違法獲得數據的門檻也在相應降低,尤其是近幾年「爬蟲」技術的廣泛應用,給了不法人員更多可趁之機。
事實上,目前的數據安全問題遠比想象中嚴重,《2023年Q1數據資產泄露分析報告》數據顯示,今年Q1發生近1000起數據泄露事件,涉及1204家企業、38個行業,包含物流、金融、電商、教育等。由於匿名社交軟件Telegram在信息傳輸上有私密性和便利性的優勢,也成為傳播非法信息的主要平台。
就在今年2月,據媒體報道,Telegram各大頻道突然大面積轉發某隱私查詢機器人鏈接,泄露了國內45億條個人信息,包括真實姓名、電話與住址等,數據高達435GB。泄露來源直指國內多家知名電商、快遞平台,有網友甚至聲稱,自己10年前的收貨信息都被扒了出來。
數據信息大面積泄露,也帶來了巨大的數據安全漏洞。
泛濫的數據,為犯罪提供「溫床」
在這個科技顛覆和萬物互聯的年代,數據是石油,是鑽石,是利益。當數據的價值上升到一定高度後,利用數據信息從事的違法犯罪活動,也迎來高峰時刻。
電信詐騙,很多時候就是從個人信息泄露開始的。犯罪分子在掌握一個人的姓名、性別、年齡、身份證號碼、家庭住址等基本信息,甚至短信記錄、聊天記錄、個人視頻、照片等隱私信息後,就能編造出迷惑性更高的詐騙場景,實施精準欺詐。
前兩年,有位網友自述了她在30分鐘內被詐騙16萬元的經歷。當天,這位網友接到了一位自稱是申通快遞員的電話,對方表示「快遞丟件要給予雙倍賠償」,並且在電話中準確報出了她在快遞單上留下的化名和快遞單號,核實確實有這樣一件快遞後,她就放鬆了警惕。
該網友在「客服」的誘導下在支付寶「備用金」申請180元的快遞理賠,但對方聲稱由於她操作失誤,與支付寶產生了借貸關係,需要在三年裡每個月向支付寶自動轉入一筆錢,總金額為72000元。
網友講述被騙過程
為了解除借貸關係,博主又下載了一款名為「億聯會議」的App,聽從「客服」指示,從名下多張銀行卡陸續向指定賬戶轉賬共計16萬元。隨後她繼續向朋友借錢,直到朋友提醒,她才意識到,被騙了。
事後,這位網友復盤時坦言,「這個詐騙其實並不高級,但我還是被牽着鼻子走,可能是她一開始說出了我的信息,也可能是她給我營造出的氛圍感,也可能是我沒那麼『聰明』。但不要小瞧這些騙子,特別是在這個信息泄露的時代。」
在馬浩寧看來,電信詐騙在源頭上其實就是信息販賣。這種信息販賣又基於什麼?就是一些企業、平台對用戶信息的過度收集留下的隱患,如果這些信息不慎泄露出去,就會給犯罪提供「溫床」。
「我們接觸過一些互聯網客戶,比如一家做App的公司,它可能收集大量註冊用戶信息。根據相關法律規定,企業在保存期限屆滿時,應該對用戶信息做一個刪除,不能留存數據,但以往許多企業都沒有採用這種方式。」馬浩寧補充道。
除去針對個人的電信詐騙,擁有豐富數據的大公司也容易被盯上,成為犯罪勒索的主要目標。
蔚來汽車在去年12月就收到了一份勒索郵件,發件人聲稱已經竊取到蔚來內部數據,並以泄露數據為要挾,勒索225萬美元的等額比特幣。經蔚來內部調查,承認被竊取的數據為2021年8月之前的部分用戶基本信息和車輛銷售信息。
蔚來汽車官網
這次勒索事件背後,是蔚來作為一家擁有海量數據的企業,對數據保護的重視沒有達到相應的高度,導致數據中心防護能力不足,讓犯罪分子有機可乘。
防範數據安全風險,需要全方位考量
「我生病了,你們給我提供藥。」
馬浩寧告訴鋅財經,以往接觸過的大部分客戶,都給他這種感覺。這些企業多多少少都因為經驗不足,遭遇了一些數據安全事件,比如員工電腦里的核心數據泄露等,事後才想辦法解決問題。這種時候,馬浩寧的團隊會針對這些企業IT設備安全,出一份方案,幫助他們在一些場景下做數據擦除。
雲擦官網截圖
以互聯網行業為例,這個行業的特點是員工流動的頻率比較高,可能每個星期都會有新員工入職,也會伴隨着一些老員工離職,這種時候就要對員工設備進行專業的數據擦除。另外就是在一些臨時的項目上,設備也會產生一些內部數據,包含客戶的敏感信息,那在項目結束後,也會對其進行數據擦除。
除此之外,有一些企業也會採取數據加密的方式,來保護公司商業機密的安全。比如,提前在員工電腦安裝加密客戶端軟件,即便員工將加密文件發送出去,也會因為缺乏和管理端的聯動,導致文件無法打開。也可以把員工電腦的泄密通道「堵死」,讓電腦文件無法發送出去,從而杜絕數據泄露。
但技術端的監管只是一部分,很多時候人是更不可控因素,因此,加強對員工的數據安全培訓,建立規範明細的企業數據安全管理制度和員工電腦使用行為規範,也是防範數據安全風險的重要一環。
這些規章制度儘管無法徹底防止數據泄露,但可以在事先起到威懾,預防部分員工試圖泄露商業機密的行為。
隨着有關數據安全的相關政策陸續出台,越來越多企業對數據安全的意識發生轉變,合規也成為企業不可忽視的事情。馬浩寧認為,「從數據的生產、存儲、傳輸、交換或使用,到最後的銷毀,每一個環節無論是在技術層面,還是在政策層面,企業都應該去平衡,做到數據安全合規。」
數字浪潮滾滾而來,對整個人類社會運行機制產生深刻影響,但數據保護的相對滯後,也讓數據安全事件成為潛在風險。-[文:鋅財經*作者:陳妍*編輯:大風/鈦媒體]
