图片来源:pixabay
日前,某知名汽车企业发生了一起影响 330万客户的数据泄露事件。大部分受影响的客户都是该汽车企业当前或潜在买家。泄露的数据主要包括姓名、邮寄地址、电子邮件、电话号码以及有关“购买、租赁或询问的车辆”的信息,如车辆号码、品牌、型号、年份以及颜色。
据媒体公开报道显示,这次泄露的数据库是该企业 2014年~2019年期间的销售和营销数据。这些数据在2019年8月~2021年5月内被“在线公开”。随后,该汽车企业收到通知,这些数据被“未经授权的第三方”访问了。
据媒体报道,梅赛德斯-奔驰美国公司6月24日表示,近1000名客户和潜在买家的敏感个人信息在一个云存储平台上被无意间获取。此次的数据包括2014年1月~2017年6月期间客户和潜在买家在经销商和公司网站上输入的自报信用分数、驾驶执照和社会保险号码以及信用卡信息。
中国网络空间安全协会副理事长、上海交通大学网络空间安全学院教授李建华告诉新京智库,纵观过去多年,全球(包括国内)频发的数据安全泄露事件,其实跟“黑产”、“灰产”都有关。估计70%~80%是发生在内部,要么是管理出现了问题,要么是技术上有问题,也可能是受利益驱使。
国际咨询机构IDC预测,2025年全球数据量将高达175ZB(1ZB相当于10亿TB)。其中,中国数据量增速最为迅猛,预计2025年将增至48.6ZB,占全球数据圈(即被创建、采集或是复制的数据集合)的27.8%,平均每年的增长速度比全球快3%。中国将成为全球最大的数据圈。
罗兰贝格(上海)信息技术与高科技行业负责人李冰对新京智库表示,数据是数字经济时代的核心资产,是新的“石油”,无论是个人隐私数据还是非个人数据均具有社会与经济价值。从频发的数据泄露事件来看,不法分子对数据的经济价值已经有了充分的认识,无论在国家或企业层面都需加强数据安全建设。
6月10日,我国《数据安全法》正式发布,并将于9月1日起实施。参与立法工作的中国人民大学法学院副教授、博导,未来法治研究院副院长丁晓东对新京智库表示,《数据安全法》出台最重要的一个意义是,为数字经济以及数据产业的发展提供安全制度保障。
无处不在的隐私信息收集App
工业和信息化部网络安全产业发展中心副主任李新社告诉新京智库,随着数据搜集方法的不断发展,数据泄露的方式、途径也越来越不可预测,而且越来越多样。
对此,南开大学前校长、新一代人工智能发展战略研究院执行院长龚克深有体会。龚克向新京智库介绍,前不久他就遇到过这样的事。
龚克在某城高铁站上车前,逛了家红酒商店,觉得酒店卖的红酒不错,但又不想自己拎着坐高铁。他便咨询了售货员有没有网上购买的渠道。售货员告诉他可以扫码上网。上网后,要求使用摄像头功能,还要使用通讯录,龚克感到无法接受。“我买你的红酒,你管我跟谁通信。这就没有道理,非必要了”,龚克回忆说。拒绝使用通讯录后,龚克发现,这个网上购物平台就不让他继续购买红酒了。
龚克还经历了另外一件事,也同样让他无法接受擅自搜集个人隐私信息的行为。他在某电商平台买了件商品,让他做评价。因为龚克对购买的商品挺满意的,不过做评价希望上传产品照片,他也准备上传一张照片,但该平台还要使用手机的音频。
“使用音频是什么意思?就是用我的麦克风。你知道有很多人可能有这种体会,当你在谈论怀孕、生孩子时,马上就收到什么孕妇产品的广告。这就是它(App)使用你的麦克风在听,而且很可能是你曾经不自觉地授权过了。”龚克拒绝了该平台App使用手机的麦克风功能,结果照片也就无法上传。
图片来源:pixabay
“提供服务往往需要采集某些必要的数据以及使用某些必要的功能,关键在于‘必要’”,龚克认为,对于这类问题,一方面需要对于数据采集的必要性以及相关的时间、范围等等有所规制;另一方面,希望市场上能有各种软件产品和服务来查找和封堵非必要的采集数据、超越时间地点等必要使用范围的存储、传输数据的毛病,就像当年的防病毒、查病毒软件的一样。在人工智能算法时代,也要有一批这样的应用软件诞生。
龚克建议,国家需要开发出一些技术来保护个人、组织的数据安全。希望这些技术能够变成产品,而且这些产品要给用户使用,不只是给服务提供商使用,要让用户通过这些产品来检验市场上的各种软件是否正在侵犯个人隐私、窃取机构信息。“就像测电笔,既可以给专业人员用,也可以让用户使用,一检测就知道电器产品是不是漏电,而不是厂家说产品合格就是合格。当然,还需要第三方来检测数字化产品在数据采集、存储、传输、清楚等方面的合规性。”
龚克举例介绍,很多企业提出要用好科技的力量,这不仅要体现在帮助特需群体、助力社会服务和治安等方面,还应该向用户和公众“透明”它的产品和服务采集了哪些数据,为什么要采集这些数据,在什么地方存储这些数据,在什么情况下、什么范围内、有什么人在这些数据,在什么时间和情况下清楚,在使用、存储、传输有没有做必要的脱敏等。“这些要公开透明,接受用户和监管部门的审查,让用户放心,不让用户觉得整天被监视。”
龚克认为,这方面虽然提出了很多原则性要求,但是落地不够,所以随着各种平台软件的应用越来越广泛,“这会让用户越来越焦虑。”
企业市场经营主要风险之一
“企业数据泄露与企业对数据安全的重视程度是有直接关系的”,国际计算机协会(ACM)中国安全分会会长、浙江大学网络空间安全学院执行院长任奎对新京智库说。
目前来看,尽管大多数企业有一定程度上的数据安全意识,但仍由于局限性,而没能构建一个涵盖数据全生命周期所有环节的安全防护体系。
任奎介绍,曾有调查结果显示,绝大部分的数据泄露风险都来自企业内部,其中邮件外发和互联网上传是两个最方便的数据外传手段,也是泄露事件发生概率最高的两个渠道。由于数据大多存储在网络空间的服务器上,本来就容易成为不法分子攻击、窃取的目标。而一些公司企业自身对于数据防护意识不高,防护手段不足,遇到工作人员操作失误或者网络攻击就容易泄露数据信息。
IDC的调研报告显示,目前一半的数据保存在企业自身的数据中心或者租用的第三方数据中心,有22%保存在云服务商数据中心,19%保存在边缘数据中心。随着我国数据中心使用增加,数据中心能耗大、效率低的问题日益突出,同时由于数据交换更加频繁,核心业务数据、个人隐私数据保护等也面临更多安全风险。
任奎还介绍,一些商家出于利益等方面的原因会出卖、共享、提供数据信息,也会造成敏感数据泄露。尽管数据安全对企业至关重要,但许多企业对数据安全仍未产生深刻认知,安全措施不到位,未将数据安全置于企业经营的优先地位,这都为企业日后埋下了重大安全隐患。
2020年11月,上海市网信办网安处会同青浦区网信办、青浦公安分局、区商务委、区邮政管理局约谈了圆通速递。原因是,这年7月份,该公司河北省区内部员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致40万条个人信息泄露。相关犯罪嫌疑人于两个月后落网。
李建华对此分析,电商、金融及电信机构等网站或软件,他们要分析用户行为、兴趣和爱好,他们要对用户数据进行利用,他们就会权衡利弊做出最优选择。
比如,为什么垃圾邮件的治理问题尾大不掉?因为企业发送垃圾邮件不用付出多大代价,如果发10万封垃圾邮件,哪怕说发一封收一分钱,成本不高,但收益可能非常大。
美国威瑞森公司发布《2021年数据泄露调查报告》显示,新冠肺炎疫情所致远程办公和云端迁移潮为网络罪犯开辟了新的途径。2020年85%的数据泄露涉及人的因素、61%的数据泄露牵涉登录凭证;Web应用攻击导致了39%的数据泄露事件。此外,网络钓鱼攻击比上一年猛增11%,勒索软件增长6%。勒索软件出现在10%的数据泄露事件中,比上一年增加了一倍。
任奎介绍,我国企业的数据安全保护水平仍处于初级阶段,呈现出两个特征。首先,多种数据安全防护技术快速发展,部分技术仍处于研发状态。比如,数字血缘追踪技术、数据字段打标签技术等目前尚不成熟,对业务运营的影响有待进一步研究,大规模落地应用尚需时日。
其次,相关领域的制度标准亟须制定,常态化监管机制有待完善。比如在数据加密、数据脱敏方面,对于数据脱敏的方法、流程以及效果等均尚未形成统一标准,各企业理解存在较大偏差,数据安全技术手段应用落地效果无法保障。
各行业数据泄露成本平均为386万美元
南开大学周恩来政府管理学院副教授、数字城市治理实验室主任孙轩表示,我们尚处于数字中国建设的早期阶段。伴随着对数据的挖掘和应用变得越来越频繁,也出现了一系列问题。“谁搜集、谁分发、谁利用,权利和义务是什么?企业到底是在提供服务还是打扰用户,甚至危害用户相应的权益,一度分不清楚。”
任奎介绍,近一两年,数据泄露事件愈加频繁,受影响用户不断扩大,少则数千万,多达数亿乃至十几亿。不论身处什么行业,大部分公司企业在日常经营中都难免会涉及一些敏感数据。
新京智库不完全统计,在2020年国内发生的20多起重大数据泄露事件中,涉及银行、医院、快递公司等行业。其中,数据泄露数量过亿的就有两起。
为何数据泄露事件频发呢?香港科技大学计算机科学与工程系教授、深圳致星科技有限公司创始人陈凯表示,这主要有两个原因:首先,一部法律从诞生到产生广泛的国民认知,需要一个过程。在这个认知完善的过程中,不免就会发生一些数据安全事件。何况我国《数据安全法》刚刚发布。
其次,是技术问题。这是目前最重要的一个原因,国家层面立法开始保护数据安全,但是该如何在保证企业正常生产经营的基础上,去保护数据安全,还是一个值得思考的问题。
任奎说,“这些数据一旦泄露,将影响无数用户利益并可能对企业造成不可估量的资金损失。”
图片来源:pixabay
IBM发布的《2020数据泄露成本报告》显示,如果将通知成本、调查、损失控制和修复的相关费用,以及监管部门罚款和诉讼考虑在内,数据泄露的平均成本为386万美元。最成熟的公司和行业的成本仍然较低,而那些在安全自动化和事件响应流程中落后一步的组织,其成本则要高出很多。
任奎介绍,越知名的企业其公信力越容易受数据泄露事件的影响。数据泄露导致的民众舆论很可能会进一步发酵成信用危机,导致企业事后要花费天价的成本进行弥补,而企业的公信力一旦崩塌就难以重建。
“由此可见,企业加强数据安全防范,不仅是对数据本身的保护,也是对企业未来发展未雨绸缪的规划”,任奎说,由于数据资源与传统资源不同,具有流动特性。在企业日常运营中就需要加强数据全生命周期各个环节的安全保护,针对各应用领域和业务场景下的不同特点,形成闭环安全管理模式,有效保护数据安全。
陈凯认为,隐私计算技术可以说是目前实现数据安全流通唯一可行的路径,但是查询隐私计算行业的发展路径可知,直到今年隐私计算才开始逐渐实现较大规模的商业落地。
企业、政府将投入更多资源到数据安全行业
尽管数据安全事件频发,但也日益受到社会及国家相关部门的重视。
5月1日,国家网信办发布《关于输入法等33款App违法违规收集使用个人信息情况的通报》。6月11日,国家网信办再次发布《关于Keep等129款App违法违规收集使用个人信息情况的通报》。这129款App存在非法获取、超范围收集、过度索权等侵害个人信息的现象,涉及运动健身、新闻资讯、网络直播、应用商店、女性健康等常见类型公众大量使用的App。
与此同时,我国第一部数据领域的安全法律《数据安全法》也于6月10日正式发布,并将于9月1日起实施。
“现在全球的大趋势是,各个国家对于数据安全越来越重视”,陈凯说。在我国《数据安全法》出台前,2018年,欧盟落地了《通用数据保护条例》,2019年,美国发布了《美国国家安全与个人数据保护法案》。
陈凯表示,《数据安全法》的颁布,正式明确了在数据安全中各个相关方应该承担的责任与义务,并进一步明确了相应的处罚机制与条例。企业只有在保护数据安全的前提下,才能去开展经营活动。同时,与新法案出台之前相比,进一步明确了相关部门的指导原则、职责以及监管范围,企业在履行数据安全责任时将更能有规可循。
任奎提醒,由于《数据安全法》对于数据保护设定了比较严格的高标准,必然会有很多数字经济企业一时满足不了要求,或一直不愿花大成本满足标准,所以罚款也必将蜂拥而至。名企财力雄厚,尽管被高额罚款,可能还承受得起。对于非名企,特别是一些中小企业来说,一次罚款或制裁,可能马上就会使其濒临破产。
不过,陈凯也认为,《数据安全法》的出台对于整个数据安全行业来说也是一个利好。在这消息推动下,企业、政府都将投入更多的人力、物力资源去推动数据安全行业的发展。在未来,随着数字经济的发展,肯定会有越来越多的数据安全公司出现,整个行业生态也将越来越繁荣。
任奎表示,近年来数据安全作为网络安全产业重要组成日益增强。2020年数据安全产业规模约356亿元,预计未来五年行业复合增长率在15%左右。
任奎认为,基于防护对象和防护思想的转变,云计算、大数据、物联网和移动终端等应用场景的普及,被动防御策略已无法适应当前的安全形势。这将为数据安全行业带来新的机遇和挑战。
以隐私计算行业为例,陈凯介绍,该行业当下就处于一个新风口,但同时这也意味面临着诸多挑战。这涉及监管、技术路线、技术突破、市场教育等一系列的问题。李冰还介绍,标准认证服务商、数据安全工具供应商、数据安全咨询服务也都将获得更多的发展机遇。
新京报记者 肖隆平 编辑 郑伟彬 张笑缘 校对 张彦君