图片来源
视觉中国文
晨山资本,作者
吴文超
以下为本文观点:
越来越多的攻击者或内部员工已看到数据变现的直接与间接价值,致使数据泄露成为所有安全事件中最常见的安全威胁;
数据安全不仅仅要围绕数据静态资产的保护,更重要的是针对整个数据流动过程的各个处理环节提供一整套安全解决方案,不但要做好外部防护,更要做好内部数据安全访问控制;
数据安全法,尤其是个人隐私保护相关法规的逐步完善,将进一步带来数据安全产品的创新机会。创业者应当提前做好技术储备,迎接一个全新的数据安全时代。
数据泄露的源头
近年来,移动互联网和万物互联的兴起,带来了数据的爆炸式增长。
据IDC介绍,全球数据容量从年的33ZB到年将超过ZB(相当于若以25Mb/s的速度下载这些数据,你需要下载18亿年)。这其中既包含用户个人隐私数据,也包含具有重大商业价值的企业数据和涉及到国家政府安全的机密数据。
数据作为新时代的重要生产资料,在带来围绕数据处理、加工、分析等整个生产工具上的大变革的同时,其背后蕴藏着的巨大经济价值也引起了大量不法分子的觊觎。
通过梳理近年来发生的造成实质性安全损失的重大安全事件可以看出,越来越多的攻击者或内部员工已经看到数据变现的直接与间接价值,这使得数据泄露成为所有安全事件中最常见的安全威胁。
▲数据来源:安全牛、安全客、FreeBuf,晨山资本整理
而年疫情带来线上化办公和娱乐的加速,也使得个人隐私保护问题变得越来越严峻。开年以来,数据安全和隐私泄露事件也层出不穷:
案例1:微盟“删库事件”
2月23日,微盟公司被一名员工恶意删库,在线服务出现故障,主营业务商家小程序全线崩溃,受此牵连万家商户生意基本停摆。之后微盟联合服务商恢复数据,历经七天七夜才找回删库数据。
不过由于负面影响太大,受此牵连微盟累计市值蒸发超30亿港元。而对于给众多商家造成的影响,微盟表示准备了1.5亿元人民币赔付金对用户进行赔偿。
案例2:银行数据泄露事件
4月,原建设银行余姚城建支行行长沈某某因犯侵犯公民个人信息罪,被判处有期徒刑3年,缓刑3年,并处罚金人民币元。法院认定,年3月至4月,沈某某曾将非法获取的余姚市东城名苑业主财产信息条和其所在行贷款客户财产信息条非法提供给他人用于招揽业务。
案例3:Zoom视频泄露事件
4月,据《华盛顿邮报》报道,Jackson通过“一个简单的在线搜索”,就找到了个完全公开的Zoom会议视频。“很多视频都被保存在单独的、没有密码的线上存储空间里”,他说,因为Zoom对视频的命名非常单一,所以他很容易地找到了大量视频,而且任何人都能下载观看。
案例4:池子银行账户信息泄露
5月6日,脱口秀演员池子(本名王越池)发布微博称,在其与上海笑果文化传媒有限公司的经纪合约纠纷案中,中信银行上海虹口支行未获本人授权,将其个人账户流水提供给笑果文化,属于侵犯公民个人信息的违法行为。
依据数据的所有人,数据大致可分为个人隐私和企业/组织的数据。随着越来越多智能化的设备与网络的连接,企业和消费者发现云服务越来越有吸引力,大家通过云可以快速、无所不在地访问他们的数据。消费者终端设备上的存储容量也逐渐减少转而借助于云端(企业端)存储。
据IDC报告称,到年,我们存储在企业云中的数据将逐步超过消费者设备中的数据。这也可以解释为何现在个人隐私的数据泄露事件往往都是从企业端开始。
因此未来个人隐私保护的产品也将重点面向拥有这些数据的企业,个人隐私保护的责任也将逐步转嫁到拥有这些数据的企业之上。
▲数据来源:IDC,数据存储位置趋势变化
数据处理过程的潜在风险和应对逻辑
数据是信息时代最重要的生产资料。企业针对不同类型的数据往往有多个处理和加工环节,大体分类包括:数据采集、分析加工、存储、内部消费和外部共享等五步。企业采集的隐私数据在任何一个环节都面临着合规遵循的需求,以及内外部原因带来的数据泄露的安全威胁。
例如,在数据采集过程中没有得到用户授权的非法数据采集,采集后没有按照特定的标准进行脱敏、加密的处理,没有严格按照数据的分类分级标准进行分类和存储,用户对自身数据进行请求和操作时企业无法给出相应的数据反馈。
在加工、存储和使用过程中,内部员工恶意篡改和访问数据、数据资产管理混乱导致数据被脱库或者遗失。
因为应用访问授权不当让黑客有机可乘,对合作伙伴授权不当导致核心数据被窃取,因为利益原因和第三方商业机构共享用户的个人隐私数据等等。
▲晨山资本整理
企业针对隐私数据处理的不同阶段面临的风险,总结下来同样可以分为几类防护手段:
在采集过程中,根据不同的法规约束,主动弹窗询问用户的使用授权,明确双方数据授权使用的协议。在分析加工过程中,根据不同行业的数据分类分级标准,如金融行业《个人金融信息保护技术规范》,进行数据的分级分类处理,对一些敏感数据进行脱敏和加密处理。经过合理授权,防止重要核心数据被恶意操作和误操作。在数据存储过程中,已经有一系列产品可以针对数据资产本身做不错的防护,这其中包括文件DLP(Dataleakageprevention,数据泄密防护)和数据库安全类的产品,如数据库防火墙、审计、脱敏加密、容灾备份等。由于应用的多样化和数据库本身从最早的Oracle、MySQL逐步演进到新一代的大数据平台、NoSQL(非关系型数据库)和分布式数据库所带来的新的数据存储安全问题同样值得