一石激起千層浪。深圳市深網視界科技有限公司(以下簡稱深網視界)被指數據洩露之後,數據安全再次成為業界關注的焦點。
而在剛剛過去的2018年,Facebook數據洩漏事件,引發了人們對數據隱私和人工智慧技術信任機制的討論熱潮。3億條快遞物流數據被人在暗網兜售以及華住集團5億條公民個人信息被洩露等事件也備受業界關注。
據外媒相關報導,此次深網視界資料庫暴露的原因是深網視界未能用密碼保護該資料庫,而該資料庫在線可供任何人查找。雲和恩墨董事長蓋國強對《每日經濟新聞》記者表示,行業內資料庫不設置密碼的情況並不鮮見,但是後續需要企業的運維去加強管理,深網視界數據洩露原因之一可能是缺乏資料庫管理維護。
資料庫時常「裸奔」
數據安全話題永遠不會過時,美國電信巨頭Verizon在《2018年數據洩露調查報告》中表示,黑客、惡意軟體和社交攻擊(如網絡釣魚)等是過去一年中最多的安全違規事件。結合近年發生的數據洩露事件,阿里雲安全專家易鑫曾發文指出企業在數據安全管理中的幾個誤區,其中不僅包括管理者對業務系統存在的漏洞和安全風險心存僥倖,還包括敏感數據欄位未進行加密,一旦洩露就是明文數據。
《每日經濟新聞》記者在與蓋國強交流時得知,行業內資料庫不設置密碼的情況較為常見。
「資料庫,尤其是一些開源資料庫的早期版本,沒有設置密碼,這是非常常見的。比如,微信跟手機綁定之後,不需要密碼,通過手機號就可以登陸,好多資料庫都是這樣。但是後續需要企業的運維去加強管理。」蓋國強表示,「深網視界可能就是在這方面出了問題,既沒有設置密碼,也沒有DBA(資料庫管理員)去維護。」
蓋國強認為,成熟的技術人員不應該把資料庫直接暴露在公網上。「如果放在伺服器的後端,別人掃描不到,也就登陸不了,相對安全。像Oracle這樣成熟的商業資料庫就不會輕易暴露,口令認證、身份認證也比較完整。」
事實上,因未設置資料庫密碼而造成數據洩露的案件並非孤例。不久前,國際網絡安全諮詢公司HackenProof的網絡風險研究主管Bob Diachenko在推特上爆料,稱在網際網路上發現了一個未受保護的「MongoDB」資料庫,裡面洩露了超過2.02億中國公民的個人信息,其中詳細記錄了大量的個人隱私內容。這座數據金庫「裸奔」近一周時間,期間至少被十幾個IP訪問過。
企業對部分用戶數據缺乏重視
隨著網際網路以及相關技術的發展,大數據的影響力已經滲透到日常生活中的各個方面,公眾對於數據安全問題的焦慮也日漸增加。實際上,數據一旦被存儲,就會有洩露的可能性,企業也無法絕對避免此類事情的發生。但有不少數據洩露事件,是企業不夠重視、操作不規範造成的。
就拿開源資料庫來說,由於本身免費,很多企業並沒有用它來承載關鍵的核心數據。「比如人臉識別方面的數據,對用戶來說,隱私非常重要,但是對公司來說,這些數據可能並不重要。」蓋國強說道。
事實上,蓋國強提到的「數據重要性」是與企業的業務場景以及可能對用戶造成的損失相互關聯的。銀行數據丟失或者被篡改將會直接影響用戶資產,但人臉識別數據被洩露後,很難衡量其對用戶造成的直接損失。在未與直接經濟損失掛鈎的情況下,企業通常不會重視這部分數據的保護。
數據洩露不僅給人們帶來安全擔憂,也給涉事公司的業績帶來不利影響。天風證券2019年初評價稱,Facebook隱私風波不斷使管理層信用遭遇巨大考驗,醜聞頻出,從「用戶隱私折價」衍生到的「管理層信用折價」令人失望,業績增速在近兩季度從原有40%以上降至接近30%。
2018年7月份,由IBM發起、Ponemon獨立調查的《2018年度數據洩露成本分析報告》顯示,數據洩露的平均成本從2017年的362萬美元上升到386萬美元,平均每條失竊記錄的成本從2017年的141美元上升到148美元,而未來兩年發生重大數據洩露的可能性也略有上升。此外,事件應急響應團隊能夠挽回的成本約為平均每條記錄14美元。
西南政法大學副教授蔡斐此前在媒體上發表評論稱,在個人與企業的「結構性不平等」中,企業不能以簡單的個人信息協議作為用戶信息保護合法合規的基礎,而是應當深切認識到隨著經營能力擴張,法律責任或是社會責任都將隨之出現擴張。
個人敏感數據保護意識提升
對於數據保護和網絡安全,業界有過不少研究。中國信通院發布的《網際網路法律白皮書(2018年)》顯示,全球範圍內,當前網絡安全形勢日益嚴峻,勒索、網絡盜竊、銀行詐騙、網絡間諜和破壞網際網路服務等網絡安全事件數量激增。各國對網絡的高度依賴與網絡安全的極度脆弱兩者間的矛盾十分突出。
「所以,最終要靠什麼?最終的解決方案要靠政策性法規的強制規定。」作為安全行業多年的從業人員,蓋國強感受頗深,他認為,未來數據安全性的提升,很大層面上要基於國家的立法。
《每日經濟新聞》記者發現,過去一年,我國不斷完善個人信息相關規範。2018年8月27日,民法典各分編草案提請十三屆全國人大常委會第五次會議審議,草案進一步強化對隱私權和個人信息的保護。2018年9月10日,個人信息保護法被列入十三屆全國人大常委會立法規劃。2018年11月30日,公安部發布《網際網路個人信息安全保護指引(徵求意見稿)》。
不過,上述白皮書提到,目前,大多數國家並未制定統一的網絡安全基本法。在這一領域,亞洲國家進展相對較快,日本和新加坡推進和完善網絡安全基本立法進程。
另一方面,歐美國家的相關法規也有一定借鑑意義。歐盟制定的《通用數據保護條例》(即GDPR,General Data Protection Regulations)規定,任何收集、傳輸、保留或處理涉及到歐盟所有成員國內的個人信息的機構組織均受該條例的約束。
在GDPR生效後,歐洲監管機構發起的最引人注目的調查與Facebook有關。2018年9月,Facebook宣布遭遇有史以來最大的一次黑客攻擊,但是直到兩個月後,Facebook才向其歐洲監管機構報告了數百萬用戶照片被洩露的信息。由於用戶數據被洩露以及多項違規行為,根據GDPR相關規定,Facebook可能面臨最高16億美元的罰款。
信達證券相關研報顯示,由於用戶信息洩露事件的頻繁發生,用戶對於個人敏感數據的保護也愈加重視,對企業而言,獲取用戶數據將變得更為困難,因此有價值數據的壟斷程度也將有所提升。
此外,上述研報提道,數據洩露事件或在短期內對大數據產業產生一定基於對數據濫用的擔憂,但長期來看,將促進大數據使用規劃化、制度化,促進國內關鍵領域數據採集和使用的自主可控,從而利好國內大數據產業的長期發展。