今天小編分享的互聯網經驗:大數據時代,距離“數字裸奔”還有多遠?,歡迎閱讀。
圖片來源 @視覺中國
文 | 鋅财經,作者 | 陳妍,編輯 | 大風
在大數據時代,人人都有可能 " 數字裸奔 "。
前些日子,特斯拉傳出數據安全問題的醜聞。一位特斯拉舉報者向德國媒體提供了 100GB 的機密數據,洩密檔案顯示,特斯拉在自動駕駛技術方面存在的問題比想象中更為嚴重,涉及數千例客戶投訴信息。
這些數據裡還包含了 10 萬名離職和在職員工的姓名,以及私人電子郵件地址、電話号碼、員工工資、客戶的銀行信息、生產過程中的秘密信息等私密資料,甚至還有特斯拉 CEO 埃隆 · 馬斯克的社保号碼。
報道稱,特斯拉内部數據洩露的行為違反了歐盟《通用數據保護條例》,有可能會被處以其年銷售額 4% 的罰款,高達 32.6 億歐元。為此,特斯拉律師回應,一名 " 心懷不滿的前雇員 " 濫用了作為服務技術人員的權限,并表示,公司将對涉嫌洩密者采取法律行動。
特斯拉事件不過是冰山一角。數據已經成為這個時代最核心、最具價值的資產之一,正深刻地改變人類的生產和生活方式。但同時,全球每年都會出現大量有關數據洩露、非法交易、過度濫用等安全事件,牽動整個社會的神經。
近些年,随着數據安全相關政策的陸續出台,越來越多企業也把保護數據資產一事提上日程。但想要真正實現數據安全保障,需要做的事還有很多。
數據被 " 偷 ",比想象中更容易
回到問題的最開始,數據是怎麼洩露出去的?
鋅财經為此接觸到國内專注于數據安全的高科技企業衛達雲計算 CEO 馬浩寧,了解到,大規模的數據洩露可能是多種原因造成的。從内因來看,有可能是企業管理者對信息安全不夠重視,比較集中出現的情況是,企業許多廢舊設備不當處理,造成數據外洩。
以往許多企業處理廢舊設備有 " 兩板斧 ",一是格式化,二是暴力拆卸,但這兩種方式其實都做不到安全。馬浩寧解釋道," 很多人不知道,格式化是存在數據恢復可能性的,今年 315 晚會上還專門做了這個專題,證實了恢復出廠設定也不一定能徹底清除手機數據。"
至于物理方式處理廢舊設備,無外乎就是消磁、打孔,或者用外力将其粉碎。但這樣一來,一是會造成環境污染,二是如果銷毀不徹底,同樣可以恢復數據。" 舉個例子,如果一塊硬碟碎成幾塊,那這個硬碟塊就有可能通過科技的方式将其數據還原。" 馬浩寧說道。
同時,一些企業員工的保密意識不強,将企業核心數據通過郵件附件、在線聊天、USB 存儲設備等形式洩露出去。也存在内部員工惡意洩密的情況,這往往會和商業行為結合起來,有可能是同行找來的 " 内鬼 " 作祟。
從外部原因來講,基本上就和黑客相關。不法人員通過技術手段入侵公司内網竊取信息數據。随着信息技術的快速迭代,違法獲得數據的門檻也在相應降低,尤其是近幾年 " 爬蟲 " 技術的廣泛應用,給了不法人員更多可趁之機。
事實上,目前的數據安全問題遠比想象中嚴重,《2023 年 Q1 數據資產洩露分析報告》數據顯示,今年 Q1 發生近 1000 起數據洩露事件,涉及 1204 家企業、38 個行業,包含物流、金融、電商、教育等。由于匿名社交軟體 Telegram 在信息傳輸上有私密性和便利性的優勢,也成為傳播非法信息的主要平台。
就在今年 2 月,據媒體報道,Telegram 各大頻道突然大面積轉發某隐私查詢機器人鏈接,洩露了國内 45 億條個人信息,包括真實姓名、電話與住址等,數據高達 435GB。洩露來源直指國内多家知名電商、快遞平台,有網友甚至聲稱,自己 10 年前的收貨信息都被扒了出來。
數據信息大面積洩露,也帶來了巨大的數據安全漏洞。
泛濫的數據,為犯罪提供 " 溫床 "
在這個科技颠覆和萬物互聯的年代,數據是石油,是鑽石,是利益。當數據的價值上升到一定高度後,利用數據信息從事的違法犯罪活動,也迎來高峰時刻。
電信詐騙,很多時候就是從個人信息洩露開始的。犯罪分子在掌握一個人的姓名、性别、年齡、身份證号碼、家庭住址等基本信息,甚至短信記錄、聊天記錄、個人視頻、照片等隐私信息後,就能編造出迷惑性更高的詐騙場景,實施精準欺詐。
前兩年,有位網友自述了她在 30 分鍾内被詐騙 16 萬元的經歷。當天,這位網友接到了一位自稱是申通快遞員的電話,對方表示 " 快遞丢件要給予雙倍賠償 ",并且在電話中準确報出了她在快遞單上留下的化名和快遞單号,核實确實有這樣一件快遞後,她就放松了警惕。
該網友在 " 客服 " 的誘導下在支付寶 " 備用金 " 申請 180 元的快遞理賠,但對方聲稱由于她操作失誤,與支付寶產生了借貸關系,需要在三年裡每個月向支付寶自動轉入一筆錢,總金額為 72000 元。
網友講述被騙過程
為了解除借貸關系,博主又下載了一款名為 " 億聯會議 " 的 App,聽從 " 客服 " 指示,從名下多張銀行卡陸續向指定賬戶轉賬共計 16 萬元。随後她繼續向朋友借錢,直到朋友提醒,她才意識到,被騙了。
事後,這位網友復盤時坦言," 這個詐騙其實并不高級,但我還是被牽着鼻子走,可能是她一開始說出了我的信息,也可能是她給我營造出的氛圍感,也可能是我沒那麼‘聰明’。但不要小瞧這些騙子,特别是在這個信息洩露的時代。"
在馬浩寧看來,電信詐騙在源頭上其實就是信息販賣。這種信息販賣又基于什麼?就是一些企業、平台對用戶信息的過度收集留下的隐患,如果這些信息不慎洩露出去,就會給犯罪提供 " 溫床 "。
" 我們接觸過一些互聯網客戶,比如一家做 App 的公司,它可能收集大量注冊用戶信息。根據相關法律規定,企業在保存期限屆滿時,應該對用戶信息做一個删除,不能留存數據,但以往許多企業都沒有采用這種方式。" 馬浩寧補充道。
除去針對個人的電信詐騙,擁有豐富數據的大公司也容易被盯上,成為犯罪勒索的主要目标。
蔚來汽車在去年 12 月就收到了一份勒索郵件,發件人聲稱已經竊取到蔚來内部數據,并以洩露數據為要挾,勒索 225 萬美元的等額比特币。經蔚來内部調查,承認被竊取的數據為 2021 年 8 月之前的部分用戶基本信息和車輛銷售信息。
蔚來汽車官網
這次勒索事件背後,是蔚來作為一家擁有海量數據的企業,對數據保護的重視沒有達到相應的高度,導致數據中心防護能力不足,讓犯罪分子有機可乘。
防範數據安全風險,需要全方位考量
" 我生病了,你們給我提供藥。"
馬浩寧告訴鋅财經,以往接觸過的大部分客戶,都給他這種感覺。這些企業多多少少都因為經驗不足,遭遇了一些數據安全事件,比如員工電腦裡的核心數據洩露等,事後才想辦法解決問題。這種時候,馬浩寧的團隊會針對這些企業 IT 設備安全,出一份方案,幫助他們在一些場景下做數據擦除。
雲擦官網截圖
以互聯網行業為例,這個行業的特點是員工流動的頻率比較高,可能每個星期都會有新員工入職,也會伴随着一些老員工離職,這種時候就要對員工設備進行專業的數據擦除。另外就是在一些臨時的項目上,設備也會產生一些内部數據,包含客戶的敏感信息,那在項目結束後,也會對其進行數據擦除。
除此之外,有一些企業也會采取數據加密的方式,來保護公司商業機密的安全。比如,提前在員工電腦安裝加密客戶端軟體,即便員工将加密檔案發送出去,也會因為缺乏和管理端的聯動,導致檔案無法打開。也可以把員工電腦的洩密通道 " 堵死 ",讓電腦檔案無法發送出去,從而杜絕數據洩露。
但技術端的監管只是一部分,很多時候人是更不可控因素,因此,加強對員工的數據安全培訓,建立規範明細的企業數據安全管理制度和員工電腦使用行為規範,也是防範數據安全風險的重要一環。
這些規章制度盡管無法徹底防止數據洩露,但可以在事先起到威懾,預防部分員工試圖洩露商業機密的行為。
随着有關數據安全的相關政策陸續出台,越來越多企業對數據安全的意識發生轉變,合規也成為企業不可忽視的事情。馬浩寧認為," 從數據的生產、存儲、傳輸、交換或使用,到最後的銷毀,每一個環節無論是在技術層面,還是在政策層面,企業都應該去平衡,做到數據安全合規。"
數字浪潮滾滾而來,對整個人類社會運行機制產生深刻影響,但數據保護的相對滞後,也讓數據安全事件成為潛在風險。
更多精彩内容,關注钛媒體微信号(ID:taimeiti),或者下載钛媒體 App
