圖片來源@視覺中國
文 | 鋅財經,作者 | 陳妍,編輯 | 大風
文 | 鋅財經,作者 | 陳妍,編輯 | 大風
在大數據時代,人人都有可能“數字裸奔”。
前些日子,特斯拉傳出數據安全問題的丑聞。一位特斯拉舉報者向德國媒體提供了100GB的機密數據,泄密文件顯示,特斯拉在自動駕駛技術方面存在的問題比想象中更為嚴重,涉及數千例客戶投訴信息。
這些數據里還包含了10萬名離職和在職員工的姓名,以及私人電子郵件地址、電話號碼、員工工資、客戶的銀行信息、生產過程中的秘密信息等私密資料,甚至還有特斯拉CEO埃隆·馬斯克的社保號碼。
報道稱,特斯拉內部數據泄露的行為違反了歐盟《通用數據保護條例》,有可能會被處以其年銷售額4%的罰款,高達32.6億歐元。為此,特斯拉律師回應,一名“心懷不滿的前雇員”濫用了作為服務技術人員的權限,并表示,公司將對涉嫌泄密者采取法律行動。
特斯拉事件不過是冰山一角。數據已經成為這個時代最核心、最具價值的資產之一,正深刻地改變人類的生產和生活方式。但同時,全球每年都會出現大量有關數據泄露、非法交易、過度濫用等安全事件,牽動整個社會的神經。
近些年,隨著數據安全相關政策的陸續出臺,越來越多企業也把保護數據資產一事提上日程。但想要真正實現數據安全保障,需要做的事還有很多。
數據被“偷”,比想象中更容易
回到問題的最開始,數據是怎么泄露出去的?
鋅財經為此接觸到國內專注于數據安全的高科技企業衛達云計算CEO馬浩寧,了解到,大規模的數據泄露可能是多種原因造成的。從內因來看,有可能是企業管理者對信息安全不夠重視,比較集中出現的情況是,企業許多廢舊設備不當處理,造成數據外泄。
以往許多企業處理廢舊設備有“兩板斧”,一是格式化,二是暴力拆卸,但這兩種方式其實都做不到安全。馬浩寧解釋道,“很多人不知道,格式化是存在數據恢復可能性的,今年315晚會上還專門做了這個專題,證實了恢復出廠設置也不一定能徹底清除手機數據。”
至于物理方式處理廢舊設備,無外乎就是消磁、打孔,或者用外力將其粉碎。但這樣一來,一是會造成環境污染,二是如果銷毀不徹底,同樣可以恢復數據。“舉個例子,如果一塊硬盤碎成幾塊,那這個硬盤塊就有可能通過科技的方式將其數據還原。”馬浩寧說道。
同時,一些企業員工的保密意識不強,將企業核心數據通過郵件附件、在線聊天、USB存儲設備等形式泄露出去。也存在內部員工惡意泄密的情況,這往往會和商業行為結合起來,有可能是同行找來的“內鬼”作祟。
從外部原因來講,基本上就和黑客相關。不法人員通過技術手段入侵公司內網竊取信息數據。隨著信息技術的快速迭代,違法獲得數據的門檻也在相應降低,尤其是近幾年“爬蟲”技術的廣泛應用,給了不法人員更多可趁之機。
事實上,目前的數據安全問題遠比想象中嚴重,《2023年Q1數據資產泄露分析報告》數據顯示,今年Q1發生近1000起數據泄露事件,涉及1204家企業、38個行業,包含物流、金融、電商、教育等。由于匿名社交軟件Telegram在信息傳輸上有私密性和便利性的優勢,也成為傳播非法信息的主要平臺。
就在今年2月,據媒體報道,Telegram各大頻道突然大面積轉發某隱私查詢機器人鏈接,泄露了國內45億條個人信息,包括真實姓名、電話與住址等,數據高達435GB。泄露來源直指國內多家知名電商、快遞平臺,有網友甚至聲稱,自己10年前的收貨信息都被扒了出來。
數據信息大面積泄露,也帶來了巨大的數據安全漏洞。
泛濫的數據,為犯罪提供“溫床”
在這個科技顛覆和萬物互聯的年代,數據是石油,是鉆石,是利益。當數據的價值上升到一定高度后,利用數據信息從事的違法犯罪活動,也迎來高峰時刻。
電信詐騙,很多時候就是從個人信息泄露開始的。犯罪分子在掌握一個人的姓名、性別、年齡、身份證號碼、家庭住址等基本信息,甚至短信記錄、聊天記錄、個人視頻、照片等隱私信息后,就能編造出迷惑性更高的詐騙場景,實施精準欺詐。
前兩年,有位網友自述了她在30分鐘內被詐騙16萬元的經歷。當天,這位網友接到了一位自稱是申通快遞員的電話,對方表示“快遞丟件要給予雙倍賠償”,并且在電話中準確報出了她在快遞單上留下的化名和快遞單號,核實確實有這樣一件快遞后,她就放松了警惕。
該網友在“客服”的誘導下在支付寶“備用金”申請180元的快遞理賠,但對方聲稱由于她操作失誤,與支付寶產生了借貸關系,需要在三年里每個月向支付寶自動轉入一筆錢,總金額為72000元。
網友講述被騙過程
為了解除借貸關系,博主又下載了一款名為“億聯會議”的App,聽從“客服”指示,從名下多張銀行卡陸續向指定賬戶轉賬共計16萬元。隨后她繼續向朋友借錢,直到朋友提醒,她才意識到,被騙了。
事后,這位網友復盤時坦言,“這個詐騙其實并不高級,但我還是被牽著鼻子走,可能是她一開始說出了我的信息,也可能是她給我營造出的氛圍感,也可能是我沒那么‘聰明’。但不要小瞧這些騙子,特別是在這個信息泄露的時代。”
在馬浩寧看來,電信詐騙在源頭上其實就是信息販賣。這種信息販賣又基于什么?就是一些企業、平臺對用戶信息的過度收集留下的隱患,如果這些信息不慎泄露出去,就會給犯罪提供“溫床”。
“我們接觸過一些互聯網客戶,比如一家做App的公司,它可能收集大量注冊用戶信息。根據相關法律規定,企業在保存期限屆滿時,應該對用戶信息做一個刪除,不能留存數據,但以往許多企業都沒有采用這種方式。”馬浩寧補充道。
除去針對個人的電信詐騙,擁有豐富數據的大公司也容易被盯上,成為犯罪勒索的主要目標。
蔚來汽車在去年12月就收到了一份勒索郵件,發件人聲稱已經竊取到蔚來內部數據,并以泄露數據為要挾,勒索225萬美元的等額比特幣。經蔚來內部調查,承認被竊取的數據為2021年8月之前的部分用戶基本信息和車輛銷售信息。
蔚來汽車官網
這次勒索事件背后,是蔚來作為一家擁有海量數據的企業,對數據保護的重視沒有達到相應的高度,導致數據中心防護能力不足,讓犯罪分子有機可乘。
防范數據安全風險,需要全方位考量
“我生病了,你們給我提供藥。”
馬浩寧告訴鋅財經,以往接觸過的大部分客戶,都給他這種感覺。這些企業多多少少都因為經驗不足,遭遇了一些數據安全事件,比如員工電腦里的核心數據泄露等,事后才想辦法解決問題。這種時候,馬浩寧的團隊會針對這些企業IT設備安全,出一份方案,幫助他們在一些場景下做數據擦除。
云擦官網截圖
以互聯網行業為例,這個行業的特點是員工流動的頻率比較高,可能每個星期都會有新員工入職,也會伴隨著一些老員工離職,這種時候就要對員工設備進行專業的數據擦除。另外就是在一些臨時的項目上,設備也會產生一些內部數據,包含客戶的敏感信息,那在項目結束后,也會對其進行數據擦除。
除此之外,有一些企業也會采取數據加密的方式,來保護公司商業機密的安全。比如,提前在員工電腦安裝加密客戶端軟件,即便員工將加密文件發送出去,也會因為缺乏和管理端的聯動,導致文件無法打開。也可以把員工電腦的泄密通道“堵死”,讓電腦文件無法發送出去,從而杜絕數據泄露。
但技術端的監管只是一部分,很多時候人是更不可控因素,因此,加強對員工的數據安全培訓,建立規范明細的企業數據安全管理制度和員工電腦使用行為規范,也是防范數據安全風險的重要一環。
這些規章制度盡管無法徹底防止數據泄露,但可以在事先起到威懾,預防部分員工試圖泄露商業機密的行為。
隨著有關數據安全的相關政策陸續出臺,越來越多企業對數據安全的意識發生轉變,合規也成為企業不可忽視的事情。馬浩寧認為,“從數據的生產、存儲、傳輸、交換或使用,到最后的銷毀,每一個環節無論是在技術層面,還是在政策層面,企業都應該去平衡,做到數據安全合規。”
數字浪潮滾滾而來,對整個人類社會運行機制產生深刻影響,但數據保護的相對滯后,也讓數據安全事件成為潛在風險。