数据安全有哪些案例?
“大数据时代,在充分挖掘和发挥大数据价值同时,解决好数据安全与个人信息保护等问题刻不容缓。”中国互联网协会副秘书长石现升在贵阳参会时指出。
员工监守自盗数亿条用户信息
今年初,公安部破获了一起特大窃取贩卖公民个人信息案。
被窃取的用户信息主要涉及交通、物流、医疗、社交和银行等领域数亿条,随后这些用户个人信息被通过各种方式在网络黑市进行贩卖。警方发现,幕后主要犯罪嫌疑人是发生信息泄漏的这家公司员工。
业内数据安全专家评价称,这起案件泄露数亿条公民个人信息,其中主要问题,就在于内部数据安全管理缺陷。
国外情况也不容乐观。2016年9月22日,全球互联网巨头雅虎证实,在2014年至少有5亿用户的账户信息被人窃取。窃取的内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登陆密码。
企业数据信息泄露后,很容易被不法分子用于网络黑灰产运作牟利,内中危害轻则窃财重则取命,去年8月,山东高考生徐玉玉被电信诈骗9900元学费致死案等数据安全事件,就可见一斑。
去年7月,微软Window10也因未遵守欧盟“安全港”法规,过度搜集用户数据而遭到法国数据保护监管机构CNIL的发函警告。
上海社会科学院互联网研究中心发布的《报告》指出,随着数据资源商业价值凸显,针对数据的攻击、窃取、滥用和劫持等活动持续泛滥,并呈现出产业化、高科技化和跨国化等特性,对国家和数据生态治理水平,以及组织的数据安全能力都提出了全新挑战。
当前,重要商业网站海量用户数据是企业核心资产,也是民间黑客甚至国家级攻击的重要对象,重点企业数据安全管理更是面临严峻压力。
企业、组织机构等如何提升自身数据安全能力?
企业机构亟待提升数据安全管理能力
“大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节,包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称,大数据安全事件风险成因复杂交织,既有外部攻击,也有内部泄密,既有技术漏洞,也有管理缺陷,既有新技术新模式触发的新风险,也有传统安全问题的持续触发。
5月27日,中国互联网协会副秘书长石现升称,互联网日益成为经济社会运行基础,网络数据安全意识、能力和保护手段正面临新挑战。
今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题,重点做了强调。法案要求各类组织应切实承担保障数据安全的责任,即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。
石现升介绍,实际早在2015年国务院就发布过《促进大数据发展行动纲要》,就明确要“健全大数据安全保障体系”、“强化安全支撑,提升基础设施关键设备安全可靠水平”。
“目前,很多企业和机构还并不知道该如何提升自己的数据安全管理能力,也不知道依据什么标准作为衡量。”一位业内人士分析称,问题的症结在于国内数据安全管理尚处起步阶段,很多企业机构都没有设立数据安全评估体系,或者没有完整的评估参考标准。
“大数据安全能力成熟度模型”已提国标申请
数博会期间,记者从“大数据安全产业实践高峰论坛”上了解到,为解决此问题,全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同,着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》,该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, DSMM)进行制订。
阿里巴巴集团安全部总监郑斌介绍DSMM。
作为此标准项目的牵头起草方,阿里巴巴集团安全部总监郑斌介绍说,该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿,旨在与同行业分享阿里经验,提升行业整体安全能力。
“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称,《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。
宁夏一新冠感染者信息外泄,本人及家人详细信息被曝光,这种行为有多恶劣?
宁夏新冠肺炎某感染者信息泄露,本人及家人详细信息被曝光。这种行为会导致患者和家属会被有恶意的人通过电话或短信进行言语攻击、也影响到患者的人身安全等困扰。遭受新冠肺炎的痛苦是非常不愉快的,而信息泄露更严重,直接影响到患者的治疗和休息,所以这种信息泄露行为非常恶劣。
在新冠肺炎疫情防控过程中,“流调”这个词频频进入公众视线。流调,即流行病学调查,是指疾病控制人员对病例暴露、活动轨迹和医疗情况的调查,为判断密切接触者、采取隔离措施和划定消毒范围提供依据。自去年以来,有一些地方发生了多起信息泄露事件,引发网民对流调信息安全和可靠性的担忧。
新闻报道:
在5月9日,宁夏银川。31岁的范某新冠肺炎检测呈阳性后,详细的流调报告在网上曝光,包括他的姓氏、身份证号码、地址和详细的旅行记录。对此,宁夏疾控中心对流调报告中的泄密事件进行了回应,称流调报告将同时发送到几个相关部门,目前还不清楚泄密事件发生在哪个环节,泄密来源正在追查,相关人员正在处理。
对此我们来看一般流调信息是怎么泄露的?
1、流调信息频繁泄露,暴露出我国目前的数据保护管理存在诸多漏洞;
2、有网友心想“法律不怪大众”的心理,躲在屏幕后面当键盘手,一键转发,带着虚假猜测和添油加醋的描述,“看热闹不算太大”,频频“无底线”;
3、为了好奇和博取关注故意转发给多个微信群,导致传播速度过快;
4、流调很多信息泄露案件都有丢失嫌疑,至今很少公开处罚结果;
5.由于流调在重大疫情爆发期间时间紧、任务急、调查面广、工作量大,需要动员各种力量共同完成,法律意识不强的非专业人士和群体也会接触到相关信息;
6.由于及时方便,流调工作人员经常使用微信交流、核实和报告确认人员的基本信息,导致相关信息容易通过网络传播;
结语:
带有病例的个人和家庭信息被网上发布,导致个人隐私暴露,有的人被网络谣言困扰,名誉权被侵犯;有些人不断接到骚扰电话和侮辱短信,精神压力巨大。因此,这种行为是十分恶劣的。
最近几年数据库泄漏事件
泄露事故统计数字正在逐步下降,但数据仍然面临着由数据库、应用以及终端保护不当所引发的严重风险。
从多个角度来看,2013年的数据泄露趋势已经得到有效扼制,这对于安全行业来说当然是个好消息。不同于过去四到五年,今年的记录当中不再充斥着大型数据库泄露所导致的数以千万计个人身份信息的外流。根据隐私权信息交流中心的调查,本年度公开报道的泄露事故数量及记录在案的泄露事故数量双双呈下降趋势。去年同期,得到确切统计的记录泄露数量已经达到约278万条,漏洞报告则为637份。而在今年,目前为止记录在案的泄露事故约为107万条,漏洞报告则为483份。这充分证明整个安全行业在合规性与安全最佳实践方面所迎来的进步——然而这样的战绩与理想目标相比仍然相去甚远。
在对年初至今的数字进行比较时,我们发现记录在案的泄露事故数量大幅降低了61.7%,然而报告提及的泄露事故数量则仅降低了24.2%。这表明泄露事故仍然快速发生——只不过如今的犯罪活动及违规事件开始逐步扩散而非集中于一点。泄露事件影响范围更小,而且根据安全业内人士的说法,此类恶意活动的目标也更为广泛。现在犯罪分子开始更多地窃取IP或者其它数字资产,由此引发的损失可能比客户记录本身更为严重——同时这也更加难以量化,无法提供头条新闻所必需的统计结果。
通过对今年发生的泄露事故的深入钻研,我们发现安全行业明显仍有大量工作要做。2013年的追踪记录证明,有价值数据库仍然没有受到严格保护与加密、应用程序仍然存在大量安全漏洞、用户们则仍然能够从敏感数据库中下载大量信息并将其保存在缺乏保护的终端当中。为了帮助大家更好地理解当前安全形势,我们选取了几项最具代表意义的实例,希望各位能够从中吸取可资借鉴的教训。
当事企业: CorporateCarOnline.com
泄露统计: 850,000份记录被盗
事故细节:作为全美最具知名度的专业体育、娱乐外加五百强企业,CorporateCarOnline.com拥有大量用户个人资料、信用卡号码以及其它个人身份信息,然而由于其开发出的全球豪车租赁SaaS数据库解决方案将全部信息以纯文本形式储存,最终导致这一切成为犯罪分子的囊中之物。名单中涉及不少大牌,包括汤姆·汉克斯、汤姆·达施勒以及唐纳德·特朗普等。
经验教训:最重要的教训在于认清这样一个现实:面对极具价值的财务与社会工程信息,攻击者们会爆发出极为可怕的技术能量。根据KrebsOnSecurity.com网站的调查,目前遭遇过违规活动的美国运通卡当中有四分之一为高额度甚至无限额度卡片,而且企业间谍分子或者娱乐小报记者也希望通过这类个人信息挖掘到有价值结论。与此同时,该公司在管理收支账目时完全没有考虑过信息安全性,甚至从未尝试采取任何最基本的加密措施。
当事企业: Adobe
泄露统计: 约三百万个人身份信息、超过1.5亿用户名/密码组合以及来自Adobe Acrobat、ColdFusion、ColdFusion Builder外加其它未说明产品的源代码惨遭窃取。
事故细节: 自最初的违规事件发生之后,接踵而来的更多攻击活动持续了一个多月之久,并最终导致了此次重大事故的发生。目前情况已经明确,Adobe正在努力恢复其失窃的大量登录凭证信息——更令人惊讶的是,连其产品源代码也一并泄露。
经验教训: 通过Adobe遭遇的这一轮震惊世界的攻击活动,我们不仅切身感受到攻击者在企业网络中建立根据地并夺取了整套业务储备控制权后所能带来的损害,同时也应学会在考虑将供应商引入软件供应链之前、考察对方在安全领域营造出了怎样的企业生态。作为此次泄露事故的后续影响,其潜在后果恐怕在很长一段时间内都无法彻底消除。
当事企业: 美国能源部
泄露统计: 53000位前任及现任能源部员工的个人身份信息遭到窃取
事故细节: 攻击者将矛头指向了DOEInfo——该机构利用ColdFusion所打造的、已经弃之不用的CFO办公室公开访问系统。能源部官员表示,此次泄露事故只限于内部员工的个人身份信息。
经验教训: 我们从中应该吸取两大教训。首先,安装补丁过去是、现在是、未来也将一直是最为重要的安全任务。其次,各机构必须通过重新审视与敏感数据库相对接的系统最大程度减少攻击面,保证只向公众开放必要的网站。
当事企业: Advocate Medical Group
泄露统计: 四百万病人记录遭到窃取
事故细节: 仅仅由于犯罪分子从办公室里偷走了四台由该公司拥有的计算机,最终导致了这起四百万病人记录丢失的事故——公司官方将此称为自2009年卫生部强制要求通告安全事故以来、美国发生过的第二大医疗信息泄露案件。
经验教训: 医疗行业的数据泄露事故在2013年的违规披露名单当中一直占据主导,但这一次的案件造成的影响显然特别恶劣。仅仅由于一台物理计算设备失窃就最终导致从上世纪九十年代至今的病人记录泄露,这充分暴露了该公司在物理安全、终端安全、加密以及数据保护等各个方面的全线失误。需要强调的是,终端设备被盗与丢失在医疗行业中已经屡见不鲜。现在这些机构可能需要尽快思考终端设备到底能够下载并保存多少来自中央数据库的信息。
医疗的威胁分析?
医疗行业所面临的“人的风险”
众所周知,医疗数据单体价值过大是导致医疗行业内部威胁高达60%的基本因素。下面来看一下医疗行业数据泄露内部威胁的主要敞口:
(1)系统管理员和DBA
几乎在所有行业中,系统管理员和DBA(数据库管理员)都是内部数据的主要威胁,在医疗行业中也不例外。从Verizon报告中可以看出,在全行业调查中,高达26%的内部威胁是由于系统管理员和DBA造成的。而在国内医疗界,信息科也一直是漩涡之地,每次医疗数据泄露事件发生时,信息科总是会成为第一个怀疑对象。
(2)医生或者护士
从Verizon数据泄露调查报告来看,来自医生及护士的威胁可能远超于系统管理员。由于医疗数据的个体价值巨大,医生或者护士只需简单地获得权限之内的数据就可以获得巨大收益。但目前由于病案数据的交叉特征,几乎没有医院的业务系统可以实现基于患者授权查询病案数据的机制,因此医生及护士可以遍历所有患者数据。
(3)软件开发商和维护人员
在医疗行业,软件开发商的力量过于强大,甚至会让院方觉得医院数据不是自己的,而是归软件开发商所有。即使是一些顶级医院,医疗系统和数据的命脉都掌控在开发商手中。
(4)驻场服务人员
驻场服务人员的权限等同于DBA和系统管理员,同时因其不受医院管理和约束,更易受到外部诱惑而铤而走险。
(5)集体的无意识
相对来说,当前医院对于患者隐私保护的意识相对淡漠,这从核心隐私机密的纸质病案和处方可以被任意重新利用这个环节就可以看出。换句话说,有心人只要不断地在医院收集各种纸质垃圾,就可以获得想要的医疗数据。
防范人的安全风险,本质上是保护好我们的员工和伙伴,降低他们接受诱惑的可能性,以避免其犯错。防范人的安全风险需要从两个方面加以努力:机制保证和技术保证。
(1)机制保证
机制保证的核心在于降低受到诱惑的机会,降低可能产生的侥幸心理。机制保证主要体现在两点:一是隔离诱惑,可以在很大程度上避免被动犯错,也可以大幅度提高主动犯错的难度。隔离诱惑的主要措施在于实现两点:最小权限和三权分立。特别是当涉及到高敏感数据和高风险操作访问时,建议建立工作流多级审批机制。
二是责任到人,模糊和共享会导致责任不清,从而助长侥幸心理。当机制可以确保任何行为都可以追溯到个人的时候,事件审计就可以产生巨大的威慑力,降低侥幸心理。
(2)技术保证
大部分机构都具有清晰的安全生产制度,但是能够在实践中落地的并不多。安全制度的落地不能依赖于培训和人的自觉性,需要在日常操作中进行技术规范。
· 确认人是真实的人,不是被盗用、伪造、共享的身份。只要可以确认访问数据的人是真实的,就为数据安全奠定了最为坚实的基础。为了确认人是真实的人,需要映射计算机身份和真实身份,并确保这种映射是不可假冒的。双因素或者多因素是确认人是真实的人的基本技术措施。
· 确认所做的事情是真实意愿的表达,不是被胁迫的。真实意愿的表达检测需要依赖于当事人日常行为特征的检测。
· 确认所作的事情是合乎规范的、已被授权的而非越权、合乎流程和控制。合乎规范可以从两个层面加以约束:被允许的操作以及正确的上下文环境。
· 确认风险操作或者所有操作是可审计和可追踪的,风险操作或者所有操作留痕是技术保证的一个基本措施,是增强威慑力和降低侥幸心理的基本技术保障。
0条大神的评论