近期,Telegram各大频道突然大面积转发某隐私查询机器人链接,网传消息称该机器人泄露了国内45亿条个人信息,疑似电商或快递物流行业数据。随着舆论的发酵,快递股出现闪崩,多家快递公司股价下降。
事件发生后,随即引起网友和安全行业的热议。对此,我们采访多位行业安全专家、物流电商等领域的安全工作者,基于不同的立场和视角,针对“谁该为数据泄露负责?”“企业是否该加大预算投入安全建设”等争议性话题展开讨论,以期给行业同仁带来不同的思路。
精彩提要:
Q: 快递企业应该为数据泄露负责吗?
- 不一定是快递企业的锅,可能是聚合平台或者其它渠道。溯源事件原因本身很难。
- 没有买卖就没有伤害,除了泄露源头,数据非法使用与传播也有一定责任。
Q: 泄露事件的主要原因是“人为”吗?
- 不排除“内鬼”的可能,但也跟企业的数据安全建设有很大原因。
- 可能是快递或电商企业的供应链上下游的安全隐患导致的。
Q: 这个事件会对行业产生什么影响?
- 关注度这么高,相关行业的单位肯定会引以为戒,加大安全建设投入。
- 可能过一阵就忘了,还是需要从政策监管层面、企业意识层面来驱动安全投入。
以下是精华观点整理:
快递企业应该为数据泄露负责吗?
A:作为用户来说,我们填写的快递信息都在物流企业那里,出了问题他们应该要承担一定的责任。
B:感觉经手快递信息的人还是比较多的,如果没法通过技术采证或什么手段找出确切的泄露方,也不应该完全让快递公司背锅。
C:没有买卖就没有伤害,除了泄露方,建议把数据购买方也一起追责。所以不该只声讨和惩罚快递企业,应该真正打击整个黑产的利益链条。
D:庞大的数据量不一定由一家泄露,有可能涉及到某个数据汇总接口,或是关键数据API。综合来看,很难精准定位到某一方,也很难追踪最初泄露的人。
E:这次的数据泄露事件不一定是某一次行动的成果,可能是多份历史数据的汇总,也可能不是单一来源,而是多个终端来源,所以单纯让快递企业负责还是比较难的。
泄露原因主要是“人为”吗?
A:主要肯定是人为,比如企业内部可能有“内鬼”,员工也是能直接经手用户个人信息的关键一环。
B:有可能是“用户”的无意被有心之人利用了。比如部分用户的保护意识也不太够,生活中看到很多人可能直接就扔掉面单了,都没有做涂黑处理,信息就很容易被转手。不过这里也延伸到另一个问题,企业是不是在面单这块的技术处理上能做得更好。
C:不一定。目前快递供应链上下游的信息安全隐患还是比较大。比如一些软硬件供应商,本身存在比较大的风险(比如漏洞),会被攻击者利用,在企业不知情的情况下深入到企业内网。然后,快递企业将数据给第三方下游企业处理时,也存在泄露的可能。
企业应该花重金投入减少数据泄露吗?
A:应该,但企业毕竟是以盈利为目的的商业组织,加大投入容易,但是计算收益难。比如,是不是加大了成本投入就一定能提升安全水位?投入产出比如何计算?
B:企业内部做安全建设的投入产出比要怎么去量化、衡量,值得整个行业去探讨。如果没有一个比较好的量化评估的模型,就会影响企业对安全的投入。
C:可以加大投入,但在此之前,企业首先需要梳理清楚数据资产,明确安全投入的重点,减少无用功。比如限制性的去对外提供服务,这个企业也是自己能够去甄别的。
D:除了加大投入,企业也可以多关注目前国内的一些监管层面搞的活动。比如说定期性的行业、国家性质的大规模网络安全攻防演练,可以帮助企业提前发现问题,提前感受目前的全球攻防态势。
E:不太现实,像之前工信部就提出未来三年电信等重点行业网络安全投入占信息化投入比例达10%,但实际落实下来仍然很难。
为什么监管日趋严格还是会出现这类问题?
A:对于上层监管来说,安全管理的逻辑是谁运营谁负责,当源头难以梳理清楚时,责任也就难以落实。建议监管部门还是需要对出台的法律法规配套相关的指导,或是补充解释的材料,来真正实现执行落地。
B:这让我想到了欧洲那边的法律。欧盟会要求涉及处理大量个人隐私数据的单位设立专门的数据安全岗位,也就是DPO。这个角色会对企业内部的数据保护工作进行监管,同时作为沟通渠道同欧洲GDPR监管部门保持联系,负责数据外泄的紧急汇报,做好事故的处置工作。但是在国内,一旦发生数据泄露问题,究竟企业是自证清白,还是监管来溯源取证,边界比较模糊。
对企业和行业有哪些启发?今后会不会有什么改变?
A:这次的数据泄露事件实际上是需要行业引以为戒的,大家应该在事前做安全建设,而不是事后弥补。
B:企业应该形成动态意识。安全是一个动态的、将来时的过程,我们虽然很难做到天衣无缝,只能不断增强这种动态对抗的意识,并且不断总结方法论。
C:企业可以对数据做加密、脱敏以及匿名化等多种处理,加强数据安全技术能力的建设。比如基于当下的互联网架构,服务端、云端这种底座端,还有内网的Office OA端,物联网的接入,以及快递小哥的device,从业务层、终端层、应用层来考虑。
D:从管理的角度来说,对体系化建设能力、人员安全意识的宣传、钓鱼邮件的演练培训跟准入考核的标准,应该植入企业文化。
E:估计没什么启发,可能过些时候就没人记得这件事了,只能靠行业的巨轮在滚动的时候,不断自我纠偏了。
看完了嘉宾们的讨论,大家认为谁才应该为数据泄露负责呢?对于此次数据泄露事件,以及快递行业的信息保护又有什么看法?不妨加入我们的讨论,在评论区/后台留下宝贵的见解。
「安全相对论」
一个基于安全行业的热点事件、热点议题的讨论类栏目,诚邀不同领域的安全专家和从业人员加入,从不同立场和视角出发,共话安全。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。