陳根：資料洩露——外賊易擋，家賊難防

文/陳根

在數字經濟時代，資料是最核心的生產要素。事實上，生產要素的轉換也是社會更迭的重要標誌。

當前，圍繞資料的蒐集、加工、分析、挖掘過程中釋放出的資料生產力，正在成為驅動經濟發展的強大動能

。

對於企業來說，當前市場競爭很大一部分正關乎資料權屬的競爭，資料收集規模較大的公司通常擁有覆蓋各領域的大量移動應用程式。比如，騰訊公司開發了516個移動應用程式，使其能夠在安全、社交、新聞、音樂、遊戲等多領域的資料收集中佔優勢地位。可以說，資料的防護關乎到整個公司的存亡。

然而，外賊易擋，家賊難防

。企業資料洩密事件通常是由組織內部的員工或領導者引起的，如何應對這種“內鬼式”的資料洩露已經成為擺在企業網路安全面前的一道難題。

外賊易擋，家賊難防

事實上，個人資訊資料安全早已成為老生常談的問題。資料安全是數字經濟發展的一大基礎，包括電子商務、打車出行、刷臉支付等在內的各類線上服務都與使用者個人資訊深度捆綁。

資料安全的城牆一旦被攻破，公民資訊將失去保護，各類違法侵權事件也將隨之而來。

近年來，國家陸續出臺了一系列保護公民資訊保安的法律法規，業內公司持續完善使用者資料安全的“護城牆”，相關部門和個人對相關違法違規行為的監督檢舉力度也在不斷加強。

但這依舊沒有攔住堡壘從內部被攻破。

近年來，關於內部人員竊取資料非法銷售的事情可以說是層出不窮

。比如，特斯拉前員工馬丁·特里普（Martin Tripp）盜取的“數十份有關特斯拉的生產製造系統的機密照片和影片”；蘋果公司前員工張曉浪在參與無人駕駛汽車專案時，憑藉職務關係，透過“廣泛的內部安全和機密資料庫訪問權”非法獲取大量資訊；臺積電任職10年的技術副總，將16nm、10nm等機密檔案非法保持，準備離職。

內部人員盜取資料並非偶然，從希拉里·克林頓、斯諾登、“閨蜜門”，到SWIFT、泰國的ATM機，大都是“自己人”在搗亂

。據調研機構波洛蒙研究所的調查，組織的內部員工的無意行為是最常見的內部威脅形式，佔資料洩露事件的64%，而外部攻擊行為只佔資料洩露事件的23%。

“內鬼”導致的資料的洩露幾乎跨越了所有的生產生活行業

。在教育培訓行業，更是有很多家長都有曾被教育培訓機構的推銷電話騷擾過的經歷。這些教育培訓公司，為了拓展業務，接到生源，鋌而走險，非法獲取家長個人資訊的案例屢見不鮮。

在家裝、房產中介、地產開發業以及酒店業，無錫倒賣公民資訊案令人們印象深刻：

2020年3月19日一家裝潢公司營銷人員李某在網路聊天群內，買賣無錫多個小區業主的個人資訊，倒賣公民資訊超500萬條，涉及樓盤名稱、業主姓名、身份證號、電話號碼、樓棟號、房產面積等敏感隱私資訊。

但最嚴重的還是銀行保險等金融行業。銀行是人們最依賴的機構之一，但同樣也是滋生各種型別“內鬼”的土壤，

洩露在“暗網”的個人資訊60%以上都來自金融行業。

幾日前，《經濟參考報》記者獲得某證券機構資金50萬以上優質股民資訊頁面截圖。頁面顯示，25969條資料，標價168美元，擁有姓名、開戶證件號、性別、年齡、籍貫、手機號、浮動盈虧等9個數據維度。

發帖者表示：“姓名、身份證號碼、手機號碼等資訊可自行驗證，資料不多，貴在真實。”該資料自2021年1月17日釋出，顯示已成交3單。

國家計算機資訊保安測評中心資料顯示，重要資料被駭客竊取和被內部員工不當洩露提供的比例為1：99。

消金社曾諮詢了數位查詢流水的黑產從業者，有人表示“資料來源是從銀行後臺出的，你可以打印出來。”

一位曾在某商業銀行任職一線櫃員的員工也表示，其所在銀行的櫃員只需進入後臺系統，就可隨意檢視客戶一段時間內的交易流水，無需授權。河南工業大學曾對鄭州商業銀行300位客戶經理進行問卷調查，結果顯示：

60%以上的客戶經理所在銀行沒有建立客戶資訊保密制度，不瞭解客戶資訊的範圍；70%的客戶經理認為所在銀行的客戶資訊保密制度過於原則，沒有覆蓋客戶資訊收集、整理、提升和使用的各個環節；

90%的客戶經理認為客戶資訊主要掌握在客戶經理手裡，所在銀行沒有規定統一保護措施，工作調動可以隨意帶走客戶資訊，不存在任何制約措施

。

可以說，任何行業，資訊保安的把關不嚴，都為“內鬼”鑽漏洞洩露個人資訊提供了天然的土壤。如何應對這種“內鬼式”的資料洩露已經成為擺在企業網路安全面前的一道難題。

拒絕“內鬼自盜”

據不完全統計，國內個人資訊洩露數達55。3億條左右。平均算下來，每個人就有4條相關的個人資訊被洩露，車輛、房產、地址、職業、年齡、電話號碼、身份證資訊等在黑市上頻繁流動。

國內知名資訊保安團隊“雨襲團”去年10月釋出報告稱，在一年半的時間內，高達8。6億條個人資訊資料被明碼標價售賣，個人資料基本處於裸奔狀態。

大量的資料被竊取，這給使用者的個人資訊保安帶來了極大的風險與隱患

。

近年來，國家陸續出臺了一系列保護公民資訊保安的法律法規，業內公司持續完善使用者資料安全的“護城牆”，相關部門和個人對相關違法違規行為的監督檢舉力度也在不斷加強。

即便如此，個人資訊洩露的事件仍時有發生

。可見，守護好個人資訊資料的安全，不僅需要法律法規的保障、技術力量的支撐，需要有關企業提高安全意識、責任意識，還需要行業從業人員具備基本的職業素養和道德操守，也需要社會輿論拓展監督視角。

一方面，要確認企業對客戶資料洩露事件的擔責

。即公司“內鬼”、駭客外部攻擊等導致資料洩露的情況出現後，企業要承擔責任，因為其對資料具有安全保障責任。儘管從目前的實踐看，資料洩露事件發生後，查詢與之對應的責任人可能存在一定難度，

但作為資料管理者的企業卻很容易找到，使用者可以要求資料管理者承擔責任

。

也就是說，雖然企業可能也是資料洩露的受害者，但如果其未盡到企業網路安全保護義務的話，仍要承擔包括行政處罰責任在內的法律責任

。

法律責任的確認將幫助企業更在意內部資料安全管控，防止資料從內部被竊取。懲罰機制的存在，讓企業感受到危機，它們才會真正重視資料的洩漏，正本清源地清除“內鬼”。比如，在國外，企業洩露使用者資訊後，將面臨天價罰款。2019年，因為使用者資訊被洩露，Facebook就被罰款50億美元。

另一方面，大資料時代，要想從根本上解決資訊洩露問題，還是要依靠先進的技術

，建立可信身份認證體系、安全態勢感知以及高階威脅終端監測及響應等。

從可信身份認證體系來看，身份認證與業務場景密切相關，不同場景對身份認證的強弱度要求不同，這包括身份管理、訪問管理、高階認證、身份威脅分析、特權賬號管理、堡壘機、網際網路接入認證、網站統一認證等方方面面。

防範“內鬼”最常用的方法非“4A”莫屬，它透過對IT系統的賬號（Account）、認證（Authentication）、授權（Authorization）和審計（Audit）進行統一集中管理，解決了“When”、“Where”、“What”、“Who”、 “How”這樣的問題。

安全態勢感知則透過使用人物畫像、上下文感知、威脅情報、專業運營等技術與服務實現內部威脅發現的高命中率，並智慧協同安全防護裝置進行實時控制，自學習的人物安全基線驅動彈性授權，實現自動化、智慧化的事後、事中、事前管控。

高階威脅終端監測及響應則像是終端行為記錄的高畫質攝像頭，能夠將核心態和使用者態的詳細記錄彙總到伺服器進行關聯分析和高階查詢。

此外，在可能出現個人隱私和資訊洩露環節，要用技術將資訊匿名化，這些匿名資訊只有系統能識別，而行為人不能識別、獲取。

比如，資料脫敏（DM）就是一種主動預防技術，旨在透過向用戶提供高度模擬的資料，而不是真實和敏感的資料，同時保持其執行業務流程的能力，從而防止濫用敏感資料。

最後，對從業人員來講，利用職務便利侵害使用者權益，傷害的不只是自己賴以生存的行業企業，更會傷害自身。無論是為企業長遠發展，還是為個人進步成長，從業人員均應始終堅持以使用者資訊保安為先決要義。

顯然，數字經濟的長治久安和行穩致遠，除了有賴於不斷完善的法律法規、持續進步的科學技術、嚴細深實的市場監管，還需要每一個企業和組織根據自己的情況來設計出合適的培訓方案、安全應急響應方案以及取證分析方案，而不是因為其中潛在的安全問題陷入困境，也拒絕“內鬼”在這塊溫床中肆意妄為。