奥运没看成购票信息反被泄露,农行数据安全不合规被罚420万……数字经济时代,如何为“数据资产”保驾护航?

发布时间:2021-08-30 来源:每日经济新闻 原文链接:点击获取

来源:每日经济新闻

7月21日,一位日本政府官员向媒体透露,东京奥运会、残奥会门票购买者和志愿者登录官方网站时所使用的账号及密码泄露,黑客可由此访问购买者个人的姓名、地址、银行账户等信息。有媒体援引日本共同社的报道称,东京奥组委正在对此进行调查。

一位名为“pancak3”的推特用户也表示,可以在暗网市场上找到被泄露的购票者及志愿者账户信息,并分析称该事件与奥运会的系统漏洞无关,是攻击者使用恶意软件和其他信息窃取程序进行攻击的结果。

由于疫情影响,东京奥运会看台空空一片。很多购买门票的观众无奈只能退票,最终在家中看现场直播。然而,更糟心的是,自己的信息还被泄露了。

数字经济时代,该如何追究信息泄露主体的责任,又应该如何保护数据资产呢?

最新通过的两部法律将为数据资产安全“上把锁”。6月10日,十三届全国人大常委会第二十九次会议审议通过《数据安全法》,将于9月1日起正式施行。8月20日,十三届全国人大常委会第三十次会议审议通过《个人信息保护法》,将于11月1日起正式施行。

奥运没看成购票信息反被泄露,农行数据安全不合规被罚420万……数字经济时代,如何为“数据资产”保驾护航?

农业银行数据安全不合规被罚420万

数据安全治理箭在弦上

2021年1月,银保监会就针对数据安全开出今年第1号罚单。据了解,因发生重要信息系统突发事件未报告;制卡数据违规明文留存;生产网络、分行无线互联网络保护不当;数据安全管理较粗放,存在数据泄露风险;网络信息系统存在较多漏洞;互联网门户网站泄露敏感信息等六项问题,农业银行被罚420万元。

中国电子技术标准化研究院、网络安全研究中心数据安全部主任胡影表示:“《数据安全法》标志着一部独立新型数据安全法的诞生。其统筹考虑数据安全与发展,提出了数据安全管理制度,明确了数据安全监督架构,规定了数据处理者保护义务,强调数据安全与开放,形成了一个覆盖国家、行业、地方、处理者等全方位的数据安全治理框架。”

究竟什么是数据安全治理?如何实现数据安全治理?

根据《电信和互联网行业数据安全治理白皮书》,数据安全治理关注对数据的安全保护,以数据业务属性为始,数据的分级分类为核心,从数据存放位置为核心,建立以数据为中心的安全架构体系。数据安全治理框架包括了政策协调、权责分明、分类分级、治理评估。

图片来源:安恒信息

图片来源:安恒信息

数据安全治理的起点是政策协调,数据安全治理需要立足国情,遵循国家现行相关法律法规、政策标准,跟进并接轨正在立法阶段的法律法规;基于行业,注重与国内政策的体系化综合运用;放眼国际对动态复杂的全球数据治理态势和规则进行研判、分析。

数据安全治理的主线是权责分明,依托于顶层的战略决策、合理的权责安排及严密的问责机制,从国际层面、行业监管层面、企业层面结合合理分明的权责安排和问责机制,对企业进行监管。从农行事件中可以看到,对类似农行这样的拥有大量敏感数据的企业,必须要明确自上而下的权责安全、问责机制,以明晰的权利和责任去约束和规范企业,预防数据安全事件的发生。

数据安全治理的基础是数据分类分级,分类分级首先能够满足合规性需求,由农业银行存在的数据安全不合规的问题,可见加强数据合规管理已经成为我国合规管理体系的重点领域。

安恒信息网络安全专家表示,分类分级能够满足企业自身运营要求,是提升自身信息化水平和运营能力的利器,基于业务的分类可以更好地将数据资产化,同时数据分级可以从安全角度保护企业数据安全。以农行的数据安全管理举例,包括哪些数据可以使用、哪些不可以使用、哪些能对外开放、哪些不能开放、不同等级的数据在不同场景使用哪种安全策略,一目了然。

数据安全治理的落地支撑是治理评估。在对企业、组织监管过程中,从组织建设、制度流程、技术工具、人员能力四个方面去评估数据安全治理,能够帮助企业、组织发现数据安全能力差距并进行持续优化,帮助企业更好地建设数据安全防护体系,因此评估数据安全治理能力的评估是发现能力差距、评价数据安全治理程度和效果的关键方法。

个人隐私数据竟被“共享”?

违反《个人信息保护法》!

“暑假以来,每天都有培训机构打我电话,怀疑信息被泄露了”,7月上旬,盐城警方陆续接到家长举报。经过深入调查,有4家教育培训机构非法获取学生及家长个人信息20余万条。警方抓获李某等3名犯罪嫌疑人。

据李某交代,这些信息来自与李某等人交好的企业单位,这些企业单位将年龄符合培训机构要求的学生信息低价出售。而为了招揽生源,这些不同的培训机构从业者又进行信息交换,美其名曰“共享”。

由此可见,上述低价出售学生信息的企业并未意识到数据的重要性,以及泄露数据的严重程度。

根据《个人信息保护法》第六十六条的有关规定:

违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

随着经济数字化、政府数字化、企业数字化的建设,数据已经成为我国政府和企业最核心的资产。合资企业、跨境贸易、多厂商全球合作的模式变迁,数据开始在企业与企业之间、政府与企业之间以及国与国之间流转、融合、使用直至泄露。

根据公开报道,2020年全球数据泄露的平均损失成本为1145万美元,2019年数据泄露事件达到7098起,涉及151亿条数据记录,比2018年增幅284%。数据泄漏事件影响大、损失重。

有业内观点认为,对数据掌控、利用以及保护能力,已成为衡量国家竞争力的核心要素之一。

数据:政企核心资产

安恒信息(688023,SH)董事长范渊认为:“《数据安全法》的发布,很重要的一点是数据既要保护又要利用。它非常清晰地提出,从保护个人隐私、保护单店数据,到进一步放大数据的价值。早在2007年、2008年,我们就提出数据是企业和政府的核心资产。”

浙江省委网信办网络安全和技术处处长吕勇刚也提到:“网络安全、数据安全已成为国际大国之间竞争的重要战略,所以数据安全非常重要。”此前,安恒信息副总裁、首席经济学家刘博就曾在首届数字安全大会上表示:“数据已经成为我国最核心资产,数据安全建设已成为政企的首要任务和实现数据价值的第一推手。”

不仅仅是企业,各地政府也高度重视数字化转型,并将数字技术广泛应用于政府管理服务,推动政府治理流程再造和模式优化,不断提高决策科学性和服务效率。

“如果说数据是新石油,那么中国就是AI时代的沙特阿拉伯。”德国《世界报》曾如此描述。在工业时代,石油的地位至关重要,其被称为“工业的血液”。而进入数字经济时代,数据对于数字经济的重要性,甚至还要远远高于石油对于工业的重要性。

2019年中央全面深化改革委员会第十一次会议审议通过了《关于构建更加完善的要素市场化配置体制机制的意见》(以下简称《意见》)。《意见》将数据与土地、劳动力、资本、技术并列为生产要素。

要知道,经济学一般从土地、劳动力、资本、技术这四个维度分析,这四大生产要素是影响生产力增长的关键。将数据与上述四大要素并列为生产要素,可见数据的重要性。

但现在,很多企业、机构错误地理解了数据资源,将其作为自身财产严密地保护起来,既不进行分析处理,也不开放数据给其他专业机构、企业分析利用。刘博表示:“数据作为企业的核心资产,企业肯定想把数据更好地保护起来。但保护好并不是不利用,而是要在保证数据能够被利用的基础上,这样才是更好地‘保护’。”

显然,数据只有开放、共享,才能被更加高效地利用。

数据安全:打开“数据宝库的钥匙”

由于缺乏共享渠道以及相关法律法规保护,数据的开放、共享一直存在挑战。比如,数据处理者由于缺乏商业回报及面临泄露风险,不愿开放、共享;同时数据开放的安全性、保密性、可持续性也难以保证。此外,很多政府、企业也不清楚哪些数据可以跨部门共享和向公众开放,数据信息的共享开放有一定的风险,泄露了公民隐私和保密信息,责任很难界定。

《数据安全法》的颁布,对于数据开放、共享意义重大。其确定了国家、地区和各部门对数据及数据安全的管理权责。也对数据处理活动中的法定义务做了原则性规定,比如风险监测义务、风险评估义务、合法收集义务、身份审核义务、保存记录义务等。

2021年9月1日,《数据安全法》将正式施行。在数据安全“有法可依”的背景下,政企又应该如何进一步推进数字化转型呢?

首先需要明确的,是数据安全与网络安全的区别。刘博对《每日经济新闻》记者表示:“传统的网络安全主要是防御外部攻击,比如勒索攻击、DDoS攻击等等。而数据安全,也需要防御勒索病毒、防数据窃取等等。但数据安全还有一方面非常关键,就是隐私保护。即使没有攻击者偷数据,我也不愿意把(所拥有的)数据公开出去。”

“数据安全所利用的技术、面临的风险场景部分有交叉,站在大的方向上,利用的技术不一样,解决的问题也不一样。具体技术包括数据分类分级、数据脱敏、数据溯源、数据加密、行为分析等等。”刘博就具体技术补充表示。

那么,应该如何做好数据安全呢?刘博认为:“数据安全涉及公民的安全、国家的安全。在业务层面,数据安全应当考虑建设包括预防、发现、消除泄密隐患为主的数据安全体系。”

更进一步,一方面需要保护数据,另一方面又应该如何利用好数据的价值呢?“数据安全岛”就是一种利用数据的新模式。

一般而言,企业通过物理资产质押,从而获得银行、金融机构的贷款,完成融资活动,而数据也是重要的资产。“数据安全岛”便可以通过“数据质押”,利用企业的数据资产。

以大数据交易中心为例,企业将自身数据资产质押贷款,其数据加密质押在安全岛上,安全岛计算数据哈希并记录在担保公司的区块链中,作为凭证。当企业无偿还能力时,银行将企业数据变现,减少损失;当企业还款结束,安全岛重新计算数据的哈希值,由担保公司对比最初区块链上的记录,如相符,则证明数据保存无误,数据将被及时销毁,企业拿回数据所有权。

图片来源:安恒信息

图片来源:安恒信息

刘博形容道:“普通的汽车质押贷款,质权人通常会将出质人出质的汽车停放于第三方停车场,待质押结束交还出质人。‘数据安全岛’也可以叫做‘数据停车场’,而且我们出于保护隐私的设计,我们是看不到数据的,质权人也看不到数据。”

行业数据概览

据统计,7月境内计算机恶意程序传播次数达2.2亿次,较6月2.6亿次减少18.45%,而且从第一周传播次数达8543.8万,到第四周传播次数达2925.5万,呈现快速下降状态,可见在7月,境内计算机恶意程序传播被有效防控。恶意程序会损坏文件、造成系统异常、窃取数据等,对计算机伤害很大,一定要高度重视。

从境内被篡改网站总数来看,第三周经历高峰,达到3381个之多,总计9882个。其中政府类受感染较少,较6月下降35.6%,可以看出政府类防护做得很好。

从仿冒网站、漏洞数量等看出,7月处于平稳态势。其中仿冒网站从月初352个到月末142个,整体体量直线下降,仿冒网站下降也归功于全国反诈工作较为成功。而漏洞数量从月初500余个到月末400余个,也有明显下降。针对安全漏洞问题,一定要在正规途径下载应用,并及时更新。

7月Android部分勒索病毒监测显示,大部分勒索病毒为工具类APP,包括游戏外挂类、红包点赞类等,安装一些工具类APP时,一定要在正规渠道下载。

安全漏洞、恶意程序对A股上市公司影响分析:

有被攻击企业间接损失达数千万

本次安恒信息对4115家A股上市公司进行了CVE安全漏洞影响分析,其中670家A股上市公司受到共190个CVE安全漏洞影响,面临着网络安全风险,占比18.02%。

截至2021年7月8月的统计结果显示,A股上市公司累计受到CVE安全漏洞影响的行业分布中,占比最高的5个行业分别是工业(21.71%)、信息技术(21.25%)、可选消费(18.63%)、材料(14.58%)、医疗保健(10.59%)。

据2021年7月~8月统计,如下20个CVE安全漏洞对企业影响最大,其中15个漏洞为2018年到2019年提交的,表明相关上市公司安全意识与对漏洞的重视有待提高。

据2021年7月~8月统计,受CVE影响的681家上市公司,分布集中在华东、华北、华南及大部分省域中心城市,可见CVE的分布与我国的信息化发展水平联系较为紧密。其中CVE影响数量最多的5个省份(自治区、直辖市)为北京、浙江、广东、上海、四川,这也是数字化转型较为典型的地区。

CVE影响数排名前20的公司中,有20家企业受到超100个CVE安全漏洞影响,其中有8家属于材料行业,占比30%。由此可以说明,企业信息化程度越高,其面临的攻击面也越广。

除了以漏洞为攻击手段的网络安全事件外,2021年上半年安恒信息安全服务团队处理的应急响应事件中,还有恶意程序和钓鱼邮件发起攻击的网络安全事件,这三者占比分别是恶意程序57.2%、漏洞占比25.3%、钓鱼邮件17.5%。

攻击者的主要目的在于敲诈勒索、数据资产窃取、黑产活动等。其中,出于勒索病毒原因的占比42%,不法分子通过对企业终端和服务器等进行病毒感染实施敲诈勒索,安恒信息应急的相关企业预估间接经济损失累计高达4620万元;因黑产活动攻击占比24%,不法分子以钓鱼链接、挖矿及暗链等方式达到获取暴利的目的;此外,企业内部的违规操作也是影响企业网络安全的重要原因之一。随着数字化转型不断加深,对内部员工安全意识的培训也需要引起管理者重视。

今年7月底,安恒信息安全服务团队接到某企业应急响应的需求。团队抵达现场后,分析加密文件及勒索病毒界面的诊断,确定本起攻击为挖矿病毒,通过对恶意文件的深度分析,发现脚本是杀掉服务器上CPU占用大于20%的进程,远程下载病毒程序并执行实现对勒索木马病毒感染。

安恒信息安全服务专家建议,企业针对信息资产的管理过程中,对企业员工应加强安全意识引导,PC需要安装高级威胁防护能力和主动防御功能的软件,重要文件做好备份,减少弱口令的使用,避免不法分子的破解。针对被感染机器,需要进行安全扫描和病毒查杀;及时进行系统补丁更新,封堵病毒传播途径;制定严格的口令策略;结合备份的网站日志对网站应用进行全面代码审计,找出攻击者利用的漏洞;对入口进行封堵。

从今年安恒信息安全服务专家处置的应急响应事件来看,弱口令和勒索病毒是企业被入侵的主要原因。企业需要实战化的攻防演练才能减少被攻陷的风险,做到发现内部网络安全隐患等。同时,建设常态化的安全运营目标,以用户业务最终安全为目标,通过统筹运用多种技术和管理手段,将安全能力持续贯穿全生命周期,实现发现问题、验证问题、分析问题、响应处置和解决问题,不断迭代优化安全问题的处置能力,持续将安全风险降低至企业可接受的范围。

在此背景下,每日经济新闻联合网络信息安全领域上市公司安恒信息(688023,SH),采用国家互联网应急中心权威数据,结合最新的安全形势,收集剖析国内外网络安全信息数据,每月发布网络信息安全月报。这是业内第一份涵盖所有A股上市公司的网络信息安全报告,旨在借助专业解析,让企业、民众进一步认识网络攻击行为,更好地保护自身隐私和数据资产。