在大数据时代,人人都有可能“数字裸奔”。
前些日子,特斯拉传出数据安全问题的丑闻。一位特斯拉举报者向德国媒体提供了100GB的机密数据,泄密文件显示,特斯拉在自动驾驶技术方面存在的问题比想象中更为严重,涉及数千例客户投诉信息。
这些数据里还包含了10万名离职和在职员工的姓名,以及私人电子邮件地址、电话号码、员工工资、客户的银行信息、生产过程中的秘密信息等私密资料,甚至还有特斯拉CEO埃隆·马斯克的社保号码。
(相关资料图)
报道称,特斯拉内部数据泄露的行为违反了欧盟《通用数据保护条例》,有可能会被处以其年销售额4%的罚款,高达32.6亿欧元。为此,特斯拉律师回应,一名“心怀不满的前雇员”滥用了作为服务技术人员的权限,并表示,公司将对涉嫌泄密者采取法律行动。
特斯拉事件不过是冰山一角。数据已经成为这个时代最核心、最具价值的资产之一,正深刻地改变人类的生产和生活方式。但同时,全球每年都会出现大量有关数据泄露、非法交易、过度滥用等安全事件,牵动整个社会的神经。
近些年,随着数据安全相关政策的陆续出台,越来越多企业也把保护数据资产一事提上日程。但想要真正实现数据安全保障,需要做的事还有很多。
数据被“偷”,比想象中更容易
回到问题的最开始,数据是怎么泄露出去的?
锌财经为此接触到国内专注于数据安全的高科技企业卫达云计算CEO马浩宁,了解到,大规模的数据泄露可能是多种原因造成的。从内因来看,有可能是企业管理者对信息安全不够重视,比较集中出现的情况是,企业许多废旧设备不当处理,造成数据外泄。
以往许多企业处理废旧设备有“两板斧”,一是格式化,二是暴力拆卸,但这两种方式其实都做不到安全。马浩宁解释道,“很多人不知道,格式化是存在数据恢复可能性的,今年315晚会上还专门做了这个专题,证实了恢复出厂设置也不一定能彻底清除手机数据。”
至于物理方式处理废旧设备,无外乎就是消磁、打孔,或者用外力将其粉碎。但这样一来,一是会造成环境污染,二是如果销毁不彻底,同样可以恢复数据。“举个例子,如果一块硬盘碎成几块,那这个硬盘块就有可能通过科技的方式将其数据还原。”马浩宁说道。
同时,一些企业员工的保密意识不强,将企业核心数据通过邮件附件、在线聊天、USB存储设备等形式泄露出去。也存在内部员工恶意泄密的情况,这往往会和商业行为结合起来,有可能是同行找来的“内鬼”作祟。
从外部原因来讲,基本上就和黑客相关。不法人员通过技术手段入侵公司内网窃取信息数据。随着信息技术的快速迭代,违法获得数据的门槛也在相应降低,尤其是近几年“爬虫”技术的广泛应用,给了不法人员更多可趁之机。
事实上,目前的数据安全问题远比想象中严重,《2023年Q1数据资产泄露分析报告》数据显示,今年Q1发生近1000起数据泄露事件,涉及1204家企业、38个行业,包含物流、金融、电商、教育等。由于匿名社交软件Telegram在信息传输上有私密性和便利性的优势,也成为传播非法信息的主要平台。
就在今年2月,据媒体报道,Telegram各大频道突然大面积转发某隐私查询机器人链接,泄露了国内45亿条个人信息,包括真实姓名、电话与住址等,数据高达435GB。泄露来源直指国内多家知名电商、快递平台,有网友甚至声称,自己10年前的收货信息都被扒了出来。
数据信息大面积泄露,也带来了巨大的数据安全漏洞。
泛滥的数据,为犯罪提供“温床”
在这个科技颠覆和万物互联的年代,数据是石油,是钻石,是利益。当数据的价值上升到一定高度后,利用数据信息从事的违法犯罪活动,也迎来高峰时刻。
电信诈骗,很多时候就是从个人信息泄露开始的。犯罪分子在掌握一个人的姓名、性别、年龄、身份证号码、家庭住址等基本信息,甚至短信记录、聊天记录、个人视频、照片等隐私信息后,就能编造出迷惑性更高的诈骗场景,实施精准欺诈。
前两年,有位网友自述了她在30分钟内被诈骗16万元的经历。当天,这位网友接到了一位自称是申通快递员的电话,对方表示“快递丢件要给予双倍赔偿”,并且在电话中准确报出了她在快递单上留下的化名和快递单号,核实确实有这样一件快递后,她就放松了警惕。
该网友在“客服”的诱导下在支付宝“备用金”申请180元的快递理赔,但对方声称由于她操作失误,与支付宝产生了借贷关系,需要在三年里每个月向支付宝自动转入一笔钱,总金额为72000元。
网友讲述被骗过程
为了解除借贷关系,博主又下载了一款名为“亿联会议”的App,听从“客服”指示,从名下多张银行卡陆续向指定账户转账共计16万元。随后她继续向朋友借钱,直到朋友提醒,她才意识到,被骗了。
事后,这位网友复盘时坦言,“这个诈骗其实并不高级,但我还是被牵着鼻子走,可能是她一开始说出了我的信息,也可能是她给我营造出的氛围感,也可能是我没那么‘聪明’。但不要小瞧这些骗子,特别是在这个信息泄露的时代。”
在马浩宁看来,电信诈骗在源头上其实就是信息贩卖。这种信息贩卖又基于什么?就是一些企业、平台对用户信息的过度收集留下的隐患,如果这些信息不慎泄露出去,就会给犯罪提供“温床”。
“我们接触过一些互联网客户,比如一家做App的公司,它可能收集大量注册用户信息。根据相关法律规定,企业在保存期限届满时,应该对用户信息做一个删除,不能留存数据,但以往许多企业都没有采用这种方式。”马浩宁补充道。
除去针对个人的电信诈骗,拥有丰富数据的大公司也容易被盯上,成为犯罪勒索的主要目标。
蔚来汽车在去年12月就收到了一份勒索邮件,发件人声称已经窃取到蔚来内部数据,并以泄露数据为要挟,勒索225万美元的等额比特币。经蔚来内部调查,承认被窃取的数据为2021年8月之前的部分用户基本信息和车辆销售信息。
蔚来汽车官网
这次勒索事件背后,是蔚来作为一家拥有海量数据的企业,对数据保护的重视没有达到相应的高度,导致数据中心防护能力不足,让犯罪分子有机可乘。
防范数据安全风险,需要全方位考量
“我生病了,你们给我提供药。”
马浩宁告诉锌财经,以往接触过的大部分客户,都给他这种感觉。这些企业多多少少都因为经验不足,遭遇了一些数据安全事件,比如员工电脑里的核心数据泄露等,事后才想办法解决问题。这种时候,马浩宁的团队会针对这些企业IT设备安全,出一份方案,帮助他们在一些场景下做数据擦除。
云擦官网截图
以互联网行业为例,这个行业的特点是员工流动的频率比较高,可能每个星期都会有新员工入职,也会伴随着一些老员工离职,这种时候就要对员工设备进行专业的数据擦除。另外就是在一些临时的项目上,设备也会产生一些内部数据,包含客户的敏感信息,那在项目结束后,也会对其进行数据擦除。
除此之外,有一些企业也会采取数据加密的方式,来保护公司商业机密的安全。比如,提前在员工电脑安装加密客户端软件,即便员工将加密文件发送出去,也会因为缺乏和管理端的联动,导致文件无法打开。也可以把员工电脑的泄密通道“堵死”,让电脑文件无法发送出去,从而杜绝数据泄露。
但技术端的监管只是一部分,很多时候人是更不可控因素,因此,加强对员工的数据安全培训,建立规范明细的企业数据安全管理制度和员工电脑使用行为规范,也是防范数据安全风险的重要一环。
这些规章制度尽管无法彻底防止数据泄露,但可以在事先起到威慑,预防部分员工试图泄露商业机密的行为。
随着有关数据安全的相关政策陆续出台,越来越多企业对数据安全的意识发生转变,合规也成为企业不可忽视的事情。马浩宁认为,“从数据的生产、存储、传输、交换或使用,到最后的销毁,每一个环节无论是在技术层面,还是在政策层面,企业都应该去平衡,做到数据安全合规。”
数字浪潮滚滚而来,对整个人类社会运行机制产生深刻影响,但数据保护的相对滞后,也让数据安全事件成为潜在风险。