一石激起千層浪。深圳市深網視界科技有限公司(以下簡稱深網視界)被指數據泄露之后,數據安全再次成為業界關注的焦點。 而在剛剛過去的2018年,Facebook數據泄漏事件,引發了人們對數據隱私和人工智能技術信任機制的討論熱潮。3億條快遞物流數據被人在暗網
一石激起千層浪。深圳市深網視界科技有限公司(以下簡稱深網視界)被指數據泄露之后,數據安全再次成為業界關注的焦點。
而在剛剛過去的2018年,Facebook數據泄漏事件,引發了人們對數據隱私和人工智能技術信任機制的討論熱潮。3億條快遞物流數據被人在暗網兜售以及華住集團5億條公民個人信息被泄露等事件也備受業界關注。
據外媒相關報道,此次深網視界數據庫暴露的原因是深網視界未能用密碼保護該數據庫,而該數據庫在線可供任何人查找。云和恩墨董事長蓋國強表示,行業內數據庫不設置密碼的情況并不鮮見,但是后續需要企業的運維去加強管理,深網視界數據泄露原因之一可能是缺乏數據庫管理維護。
數據庫時常“裸奔”
數據安全話題永遠不會過時,美國電信巨頭Verizon在《2018年數據泄露調查報告》中表示,黑客、惡意軟件和社交攻擊(如網絡釣魚)等是過去一年中*多的安全違規事件。結合近年發生的數據泄露事件,阿里云安全專家易鑫曾發文指出企業在數據安全管理中的幾個誤區,其中不僅包括管理者對業務系統存在的漏洞和安全風險心存僥幸,還包括敏感數據字段未進行加密,一旦泄露就是明文數據。
在與蓋國強交流時得知,行業內數據庫不設置密碼的情況較為常見。
“數據庫,尤其是一些開源數據庫的早期版本,沒有設置密碼,這是非常常見的。比如,微信跟手機綁定之后,不需要密碼,通過手機號就可以登陸,好多數據庫都是這樣。但是后續需要企業的運維去加強管理。”蓋國強表示,“深網視界可能就是在這方面出了問題,既沒有設置密碼,也沒有DBA(數據庫管理員)去維護。”
蓋國強認為,成熟的技術人員不應該把數據庫直接暴露在公網上。“如果放在服務器的后端,別人掃描不到,也就登陸不了,相對安全。像Oracle這樣成熟的商業數據庫就不會輕易暴露,口令認證、身份認證也比較完整。”
事實上,因未設置數據庫密碼而造成數據泄露的案件并非孤例。不久前,國際網絡安全咨詢公司HackenProof的網絡風險研究主管Bob Diachenko在推特上爆料,稱在互聯網上發現了一個未受保護的“MongoDB”數據庫,里面泄露了超過2.02億中國公民的個人信息,其中詳細記錄了大量的個人隱私內容。這座數據金庫“裸奔”近一周時間,期間至少被十幾個IP訪問過。
企業對部分用戶數據缺乏重視
隨著互聯網以及相關技術的發展,大數據的影響力已經滲透到日常生活中的各個方面,公眾對于數據安全問題的焦慮也日漸增加。實際上,數據一旦被存儲,就會有泄露的可能性,企業也無法**避免此類事情的發生。但有不少數據泄露事件,是企業不夠重視、操作不規范造成的。
就拿開源數據庫來說,由于本身免費,很多企業并沒有用它來承載關鍵的核心數據。“比如人臉識別方面的數據,對用戶來說,隱私非常重要,但是對公司來說,這些數據可能并不重要。”蓋國強說道。
事實上,蓋國強提到的“數據重要性”是與企業的業務場景以及可能對用戶造成的損失相互關聯的。銀行數據丟失或者被篡改將會直接影響用戶資產,但人臉識別數據被泄露后,很難衡量其對用戶造成的直接損失。在未與直接經濟損失掛鉤的情況下,企業通常不會重視這部分數據的保護。
數據泄露不僅給人們帶來安全擔憂,也給涉事公司的業績帶來不利影響。天風證券2019年初評價稱,Facebook隱私風波不斷使管理層信用遭遇巨大考驗,丑聞頻出,從“用戶隱私折價”衍生到的“管理層信用折價”令人失望,業績增速在近兩季度從原有40%以上降至接近30%。
2018年7月份,由IBM發起、Ponemon獨立調查的《2018年度數據泄露成本分析報告》顯示,數據泄露的平均成本從2017年的362萬美元上升到386萬美元,平均每條失竊記錄的成本從2017年的141美元上升到148美元,而未來兩年發生重大數據泄露的可能性也略有上升。此外,事件應急響應團隊能夠挽回的成本約為平均每條記錄14美元。
西南政法大學副教授蔡斐此前在媒體上發表評論稱,在個人與企業的“結構性不平等”中,企業不能以簡單的個人信息協議作為用戶信息保護合法合規的基礎,而是應當深切認識到隨著經營能力擴張,法律責任或是社會責任都將隨之出現擴張。
個人敏感數據保護意識提升
對于數據保護和網絡安全,業界有過不少研究。中國信通院發布的《互聯網法律白皮書(2018年)》顯示,全球范圍內,當前網絡安全形勢日益嚴峻,勒索、網絡盜竊、銀行詐騙、網絡間諜和破壞互聯網服務等網絡安全事件數量激增。各國對網絡的高度依賴與網絡安全的極度脆弱兩者間的矛盾十分突出。
“所以,*終要靠什么?*終的解決方案要靠政策性法規的強制規定。”作為安全行業多年的從業人員,蓋國強感受頗深,他認為,未來數據安全性的提升,很大層面上要基于**的立法。
記者發現,過去一年,我國不斷完善個人信息相關規范。2018年8月27日,民法典各分編草案提請十三屆**人大常委會第五次會議審議,草案進一步強化對隱私權和個人信息的保護。2018年9月10日,個人信息保護法被列入十三屆**人大常委會立法規劃。2018年11月30日,公安部發布《互聯網個人信息安全保護指引(征求意見稿)》。
不過,上述白皮書提到,目前,大多數**并未制定統一的網絡安全基本法。在這一領域,亞洲**進展相對較快,日本和新加坡推進和完善網絡安全基本立法進程。
另一方面,歐美**的相關法規也有一定借鑒意義。歐盟制定的《通用數據保護條例》(即GDPR,General Data Protection Regulations)規定,任何收集、傳輸、保留或處理涉及到歐盟所有成員國內的個人信息的機構組織均受該條例的約束。
在GDPR生效后,歐洲監管機構發起的*引人注目的調查與Facebook有關。
石家莊網站建設消息2018年9月,Facebook宣布遭遇有史以來**的一次黑客攻擊,但是直到兩個月后,Facebook才向其歐洲監管機構報告了數百萬用戶照片被泄露的信息。由于用戶數據被泄露以及多項違規行為,根據GDPR相關規定,Facebook可能面臨**16億美元的罰款。
信達證券相關研報顯示,由于用戶信息泄露事件的頻繁發生,用戶對于個人敏感數據的保護也愈加重視,對企業而言,獲取用戶數據將變得更為困難,因此有價值數據的壟斷程度也將有所提升。
此外,上述研報提道,數據泄露事件或在短期內對大數據產業產生一定基于對數據濫用的擔憂,但長期來看,將促進大數據使用規劃化、制度化,促進國內關鍵領域數據采集和使用的自主可控,從而利好國內大數據產業的長期發展。
| 
