數(shù)據(jù)安全正在將越來(lái)越多的企業(yè)推向風(fēng)口浪尖�����。
10月19日����,烏云網(wǎng)發(fā)布消息稱(chēng),網(wǎng)易的用戶數(shù)據(jù)庫(kù)疑似泄露�����,引發(fā)了與后者的口水戰(zhàn)���。而網(wǎng)易并不是第一個(gè)被“烏云”盯上的企業(yè)���,此前����,騰訊�、攜程、支付寶都曾登上過(guò)烏云網(wǎng)的“黑名單”���。
在業(yè)內(nèi)人士看來(lái)���,這些已然暴露出來(lái)的問(wèn)題還只是冰山一角,更多企業(yè)的數(shù)據(jù)泄露還處于秘而不宣的狀態(tài)����;實(shí)際上的數(shù)據(jù)安全威脅無(wú)孔不入,甚至連專(zhuān)業(yè)的安保機(jī)構(gòu)都表示“損失已經(jīng)難以彌補(bǔ)”�����。
“這些泄露的數(shù)據(jù)大量流入數(shù)據(jù)黑市����,造成了用戶安全、企業(yè)安全甚至國(guó)家安全方面的連鎖反應(yīng)����,但是國(guó)內(nèi)企業(yè)在經(jīng)營(yíng)狀況���、預(yù)算���、意識(shí)等方面的問(wèn)題�����,在數(shù)據(jù)安全這方面的投入還遠(yuǎn)遠(yuǎn)不夠�����?!眮喰虐踩珮I(yè)務(wù)發(fā)展總監(jiān)童寧對(duì)《中國(guó)經(jīng)營(yíng)報(bào)》記者表示���。
而對(duì)于很多企業(yè)而言��,數(shù)據(jù)安全保護(hù)是基于一個(gè)投入產(chǎn)出比的商業(yè)考量�。但無(wú)疑��,未來(lái)日益趨嚴(yán)的法律環(huán)境以及可能帶來(lái)的巨額賠償會(huì)讓他們重新思考這個(gè)天平兩端的籌碼���。
潛滋暗長(zhǎng)的數(shù)據(jù)“黑市”
數(shù)據(jù)安全事件正在接連爆發(fā)���。網(wǎng)易郵箱所引發(fā)的爭(zhēng)執(zhí)尚沒(méi)有平息�,互聯(lián)網(wǎng)巨頭百度又步其后塵����。
10月28日,烏云網(wǎng)曝出百度全系的安卓APP存在安全漏洞���,只要安卓設(shè)備連接網(wǎng)絡(luò)��,黑客就能對(duì)設(shè)備實(shí)現(xiàn)遠(yuǎn)程操控�����,安裝指定應(yīng)用���。隨后,百度官方回應(yīng)稱(chēng):已經(jīng)發(fā)現(xiàn)并確認(rèn)了該漏洞����,目前產(chǎn)品團(tuán)隊(duì)已經(jīng)緊急修復(fù)了該漏洞。
盡管事后補(bǔ)救是必要之舉����,卻無(wú)法彌補(bǔ)損失��。就像潘多拉的盒子一樣�,系統(tǒng)漏洞一旦產(chǎn)生���,災(zāi)難就已經(jīng)無(wú)可遏制地廣泛散播了。正如綠盟科技深圳互聯(lián)網(wǎng)金融安全研究負(fù)責(zé)人賴(lài)東方所說(shuō)的�����,在漏洞和數(shù)據(jù)被披露之前�,影響就可能早已擴(kuò)散出去了。
2011年���,知名網(wǎng)站CSDN證實(shí)600余萬(wàn)用戶資料被泄露��,卷入其中的還有人人網(wǎng)�����、多玩網(wǎng)等���,涉及數(shù)百萬(wàn)用戶數(shù)據(jù)資料�����。而經(jīng)過(guò)調(diào)查發(fā)現(xiàn)���,此次泄露的數(shù)據(jù)信息源于2009年的黑客攻擊,也就是說(shuō)���,這些數(shù)據(jù)“應(yīng)用”早已暗中發(fā)酵了2年多的時(shí)間�����,而當(dāng)事人卻一無(wú)所知��。
烏云網(wǎng)創(chuàng)始人方小頓(劍心)曾公開(kāi)指出���,互聯(lián)網(wǎng)模式下企業(yè)內(nèi)部IT系統(tǒng)一打開(kāi),外面就是一群狼��。事實(shí)也確實(shí)如此����,童寧就指出,那些黑客以每天不間斷的方式長(zhǎng)期�,甚至貼身對(duì)企業(yè)進(jìn)行系統(tǒng)攻擊��,這種情況在國(guó)際大型金融公司已司空見(jiàn)慣���。
“具有商業(yè)價(jià)值,尤其是掌握大量用戶信息的���,比如一些互聯(lián)網(wǎng)巨頭和使用率極高的在線公眾平臺(tái)���,更加容易遭遇黑客攻擊”�,賴(lài)東方說(shuō),互聯(lián)網(wǎng)金融企業(yè)面臨的問(wèn)題尤為嚴(yán)重����,因?yàn)樗麄兡壳暗陌踩奖茹y行低很多,又涉及金融類(lèi)的敏感信息和敏感操作��,“只要是我們檢測(cè)過(guò)的平臺(tái)����,都發(fā)現(xiàn)有各種漏洞?�!?/p>
根據(jù)《2014年互聯(lián)網(wǎng)金融行業(yè)安全漏洞分析報(bào)告》不完全統(tǒng)計(jì)�����,截至2014年底,已有近165家P2P平臺(tái)由于黑客攻擊造成系統(tǒng)癱瘓����、數(shù)據(jù)被惡意篡改、資金被洗劫一空��。2015年4月�����,烏云網(wǎng)也發(fā)布警示稱(chēng)��,芝麻金融P2P網(wǎng)站遭遇數(shù)據(jù)庫(kù)泄露����,造成逾8000名用戶資料泄露,涉及金額高達(dá)3000萬(wàn)元有余���。
除了這些顯而易見(jiàn)的損失外�����,大量的敏感信息流入到業(yè)內(nèi)人士所稱(chēng)的“數(shù)據(jù)黑市”里��。據(jù)賴(lài)東方了解���,在這個(gè)灰色產(chǎn)業(yè)鏈條中�����,負(fù)責(zé)網(wǎng)絡(luò)入侵����、數(shù)據(jù)竊取���、網(wǎng)絡(luò)釣魚(yú)�、網(wǎng)絡(luò)敲詐等各個(gè)虛擬單元以松散的形式結(jié)合�,他們大多不使用實(shí)名��,而以網(wǎng)絡(luò)代號(hào)相稱(chēng)���。
這些數(shù)據(jù)“黑手”就像是在暗中靜候時(shí)機(jī)撲向獵物��,攻其不備����。比如一些黑客即便竊取到用戶的賬戶數(shù)據(jù),但并不會(huì)馬上盜取�,而要守株待兔以獲取更大的數(shù)目;而一些企業(yè)則會(huì)在上市備戰(zhàn)之際收到黑客的“敲詐電話”��,后者以此前竊取到的公司機(jī)密為要挾����,而在這種命中要害的“節(jié)骨眼”上,企業(yè)多半會(huì)選擇“破財(cái)消災(zāi)”���。
不僅如此����,據(jù)童寧透露���,許多數(shù)據(jù)會(huì)經(jīng)由“地下黑市”輾轉(zhuǎn)售賣(mài)至其他國(guó)家��,這也就意味著����,企業(yè)和用戶的數(shù)據(jù)風(fēng)險(xiǎn)暴露在全球的犯罪“平臺(tái)”上���,甚至一些非常敏感的信息會(huì)進(jìn)一步引發(fā)國(guó)家安全問(wèn)題�。
“根據(jù)中國(guó)現(xiàn)行的法律,任何個(gè)人信息的買(mǎi)賣(mài)都是違法的���?����!鄙虾7貉舐蓭熓聞?wù)所高級(jí)合伙人劉春泉說(shuō)���,但是在現(xiàn)實(shí)的執(zhí)法中卻面臨種種困境,因?yàn)閿?shù)據(jù)的溯源��,問(wèn)責(zé)都很難取證�����,而在大數(shù)據(jù)時(shí)代面臨的問(wèn)題就更為復(fù)雜����。
正因如此���,這些數(shù)據(jù)長(zhǎng)期以來(lái)被肆無(wú)忌憚地竊取����、流傳甚至利用?���!澳壳皣?guó)內(nèi)企業(yè)的網(wǎng)絡(luò)安全防護(hù)還處于剛剛起步階段,安全防護(hù)的意識(shí)還比較淡薄�。國(guó)內(nèi)企業(yè)的安全防護(hù)驅(qū)動(dòng)主要來(lái)自兩個(gè)方面,一方面是行業(yè)監(jiān)管要求�����,另一個(gè)方面則是事件驅(qū)動(dòng)��,即感受到切膚之痛后才強(qiáng)化安全防護(hù)�。”賴(lài)東方指出���。
經(jīng)濟(jì)考量下的兩難
事實(shí)上�����,中國(guó)企業(yè)不僅沒(méi)有在數(shù)據(jù)泄露方面體會(huì)到真正的“痛點(diǎn)”�,卻往往由于忌諱數(shù)據(jù)安保方面的巨大投入而裹足不前����。
童寧給出的一組數(shù)字顯示���,國(guó)外的企業(yè)在數(shù)據(jù)安保方面的投入會(huì)占到IT預(yù)算的5%~10%,國(guó)內(nèi)企業(yè)一般都在5%以下����。
相比于傳統(tǒng)企業(yè),互聯(lián)網(wǎng)公司在某些層面對(duì)用戶信息更加疏于保護(hù)��。童寧指出����,對(duì)于前者來(lái)說(shuō),客戶信息成為競(jìng)爭(zhēng)的核心要素�;而對(duì)于互聯(lián)網(wǎng)企業(yè)來(lái)說(shuō),是利用大數(shù)據(jù)而建立地群體畫(huà)像�����,所以缺乏動(dòng)力去進(jìn)行個(gè)體用戶的信息保護(hù)����。
投入產(chǎn)出比確實(shí)在很大程度上左右了企業(yè)對(duì)數(shù)據(jù)安全的重視程度,滴滴出行技術(shù)副總裁�、商業(yè)變現(xiàn)事業(yè)部總經(jīng)理朱磊表示,“如果涉及到核心數(shù)據(jù)��,一般的企業(yè)都會(huì)嚴(yán)密保護(hù)���。但在數(shù)據(jù)安全方面卻有很大的不同���,因?yàn)閿?shù)據(jù)的商業(yè)價(jià)值還都沒(méi)有挖掘出來(lái),在沒(méi)有產(chǎn)出的情況下��,很多企業(yè)也就不愿意在這方面做太多的投入�����?�!?/p>
尤其是對(duì)剛剛起步的互聯(lián)網(wǎng)金融企業(yè)來(lái)說(shuō)更是如此����,有利網(wǎng)原CEO、美利金融CEO劉雁南就指出了現(xiàn)實(shí)的兩難����,互聯(lián)網(wǎng)金融企業(yè)處于開(kāi)放式的網(wǎng)絡(luò)通信系統(tǒng)中,很容易遭受計(jì)算機(jī)病毒以及網(wǎng)絡(luò)黑客的攻擊����。必須對(duì)自身的交易系統(tǒng)�、數(shù)據(jù)系統(tǒng)等進(jìn)行持續(xù)的高投入�����,而這無(wú)疑會(huì)加大企業(yè)的運(yùn)營(yíng)成本�。
而且,IT系統(tǒng)的建設(shè)并不能解決所有的問(wèn)題�����。在朱磊看來(lái)����,對(duì)企業(yè)來(lái)說(shuō)技術(shù)上的投入不是一個(gè)關(guān)鍵問(wèn)題,更重要的在于內(nèi)部管理���。
“對(duì)于一般的企業(yè)來(lái)說(shuō)����,抵御外部攻擊的基礎(chǔ)性防火墻都會(huì)設(shè)立�,所以外部攻擊還不是一個(gè)大問(wèn)題?���!敝炖谥赋?����,更大的風(fēng)險(xiǎn)來(lái)自于企業(yè)內(nèi)部,很多企業(yè)數(shù)據(jù)的審批�����、授權(quán)等流程管理并不嚴(yán)格�,這部分更容易導(dǎo)致數(shù)據(jù)泄露問(wèn)題。
這個(gè)觀點(diǎn)得到德勤企業(yè)風(fēng)險(xiǎn)管理合伙人馮曄的認(rèn)同�,他表示,很多企業(yè)覺(jué)得數(shù)據(jù)保護(hù)是一個(gè)IT技術(shù)的問(wèn)題�,但實(shí)際上這是一個(gè)全員管理的問(wèn)題。
對(duì)數(shù)據(jù)管理堪稱(chēng)“偏執(zhí)”的美國(guó)運(yùn)通內(nèi)部人士就指出�����,公司對(duì)數(shù)據(jù)控制極為嚴(yán)格��,經(jīng)常有一些不近人情的規(guī)定��,比如在員工的內(nèi)部郵件中�,如果涉及到15位或者17位的連續(xù)數(shù)字�����,并且其中有37的組合����,那么就會(huì)被系統(tǒng)認(rèn)定為疑似卡號(hào)的問(wèn)題郵件�����,從而提交到全球預(yù)警中心�����,最后只能在當(dāng)事人及其部門(mén)老板都要提交相關(guān)的證據(jù)后才可以消除警告���。
“很多類(lèi)似的情況����,比如內(nèi)部電腦不能使用任何外接設(shè)備�����,非授權(quán)的部門(mén)不能接觸到任何會(huì)員信息?����!鄙鲜鋈耸恐赋?���,所以涉及到數(shù)據(jù)安全問(wèn)題,一件在外界看來(lái)舉手之勞的事情�,在系統(tǒng)內(nèi)輾轉(zhuǎn)下來(lái)要耗費(fèi)幾個(gè)小時(shí)的時(shí)間��,這些都成為技術(shù)投入之外�,企業(yè)在數(shù)據(jù)保護(hù)方面所要付出的隱性成本。
也正因如此��,很多企業(yè)將數(shù)據(jù)保護(hù)作為“一種成本而非收益”�,造成了“數(shù)據(jù)泄露之后再設(shè)法補(bǔ)救,而非預(yù)先防護(hù)”的被動(dòng)局面����。
日益逼近的“冰山”
一方面缺乏利益刺激,另一方面則對(duì)可能造成的損失缺乏考慮���,這兩方面的權(quán)衡對(duì)企業(yè)來(lái)說(shuō)是一道很簡(jiǎn)單的算術(shù)題����,正如童寧所言,“做好了數(shù)據(jù)安保���,企業(yè)沒(méi)有直接的回報(bào)��,做不好���,即便發(fā)生了一些事情,也沒(méi)有成本�����?�!?/p>
實(shí)際上�����,國(guó)內(nèi)的現(xiàn)行法律對(duì)企業(yè)提出了個(gè)人信息保護(hù)的要求����,《消費(fèi)者權(quán)益保護(hù)法》中規(guī)定工商局可以對(duì)此做出最高50萬(wàn)元的罰款,但對(duì)民事賠償卻沒(méi)有一個(gè)明確的說(shuō)法��,如何賠,賠多少都沒(méi)有規(guī)定���,而且由于“難以進(jìn)行用戶損失的舉證�����,所以向企業(yè)的索賠很難成立��?��!眲⒋喝J(rèn)為,這也是當(dāng)前所面臨的法律困境�����。
2014年7月����,劉春泉由于頻繁收到“95588”發(fā)送的商業(yè)短信而退訂無(wú)果后�����,對(duì)工行上海分行提起訴訟�,要求后者停止發(fā)送商業(yè)信息、賠禮道歉,并作出賠償����。而后盡管一審判決支持了他的訴求,但最終被上海市第一中級(jí)人民法院改判�����。理由則是“法院說(shuō)垃圾短信雖然不妥但類(lèi)似情況很多�����,所以不違法�。”
“這種很明顯的信息侵權(quán)問(wèn)題尚無(wú)法得到法律層面的肯定��,那么在大數(shù)據(jù)錯(cuò)綜復(fù)雜的環(huán)境下���,向企業(yè)索賠就更加難上加難���。”劉春泉說(shuō)�。而從企業(yè)層面來(lái)看,如果沒(méi)有現(xiàn)實(shí)的風(fēng)險(xiǎn)刺激���,數(shù)據(jù)安全更加難以提上日程��,“很多企業(yè)的相關(guān)部門(mén)都會(huì)面臨領(lǐng)導(dǎo)的質(zhì)疑:你做這個(gè)有什么意義����,真正的風(fēng)險(xiǎn)是什么?”
而同樣的針對(duì)“垃圾短信”提起的訴訟�����,國(guó)外卻有“8年間獲賠超過(guò)100萬(wàn)美元”的案例——這也是其他國(guó)家在數(shù)據(jù)安全保護(hù)方面的一個(gè)縮影���,一些國(guó)外知名企業(yè)都曾為此類(lèi)法律利劍所傷�。
美國(guó)零售巨頭塔吉特的遭遇就是一個(gè)很典型的例子�。2014年,塔吉特對(duì)外界宣布���,由于遭遇黑客攻擊,預(yù)計(jì)多達(dá)1.1億名用戶信息被盜���。此次危機(jī)對(duì)塔吉特帶來(lái)了幾乎“災(zāi)難性”的打擊:客戶大量撤逃�,多起集體訴訟接連而至���,股價(jià)應(yīng)聲下跌��,最后連“業(yè)績(jī)出色”��、在塔吉特服務(wù)35年之久的CEO也不得不黯然下臺(tái)��,為數(shù)據(jù)泄密買(mǎi)單��。
最近的消息表明����,塔吉特同意支付1000萬(wàn)美元,與集體訴訟達(dá)成和解�����。而值得注意的是�����,塔吉特也曾爭(zhēng)辯消費(fèi)者缺乏起訴資格���,未能證實(shí)泄漏事件對(duì)其造成任何傷害�����,但該意見(jiàn)卻遭到一名法官的拒絕��。
“因此�����,國(guó)外企業(yè)對(duì)這方面的風(fēng)險(xiǎn)非常重視��,要改變國(guó)內(nèi)的現(xiàn)狀���,我認(rèn)為應(yīng)該通過(guò)政策和法律對(duì)企業(yè)施壓�,使后者能夠加強(qiáng)這方面的投入力度��?��!蓖瘜幈硎?����。而在劉春泉來(lái)看,國(guó)內(nèi)對(duì)個(gè)人信息安全和數(shù)據(jù)侵權(quán)的法律環(huán)境會(huì)不斷趨嚴(yán)�����,而這將對(duì)疏于防范的企業(yè)構(gòu)成一個(gè)巨大的威脅。
“全國(guó)人大常委會(huì)‘關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定’沒(méi)有對(duì)違法行為規(guī)定具體數(shù)額��,換言之也就是說(shuō)沒(méi)有賠償上限��,與其說(shuō)是一個(gè)漏洞�����,不如說(shuō)是留給執(zhí)法部門(mén)進(jìn)退自如的一個(gè)手段��,在這樣的前提下���,對(duì)那些在個(gè)人數(shù)據(jù)收集和使用上違法的行為處以天價(jià)罰款是完全合法的��?���!眲⒋喝赋?。
一個(gè)可咨對(duì)比的案例就是,企業(yè)在2012年之前都把《反壟斷法》視為“沒(méi)有牙齒的老虎”��,但經(jīng)歷過(guò)幾次市場(chǎng)整頓��、一些大企業(yè)接連遭遇高額反壟斷罰單之后,如今以劉春泉的說(shuō)法是���,“反壟斷的律師是沒(méi)有預(yù)算的����,基本上是要多少給多少�����?���!?/p>
“之前政府以掃黃為抓手來(lái)治理互聯(lián)網(wǎng)企業(yè),我認(rèn)為未來(lái)很有可能將個(gè)人信息和數(shù)據(jù)安全作為抓手�����?����!痹趧⒋喝磥?lái)���,如此將對(duì)某些企業(yè)造成致命打擊���。
