程序員因?qū)静粷M����,利用權(quán)限便利將公司系統(tǒng)內(nèi)的財(cái)務(wù)數(shù)據(jù)及相關(guān)應(yīng)用程序刪除——
企業(yè)拿什么鎖住“9TB核心數(shù)據(jù)”的安全
本報(bào)記者 盧越
閱讀提示
北京市海淀區(qū)人民檢察院日前發(fā)布了《網(wǎng)絡(luò)安全保護(hù)檢察白皮書》及典型案例���。檢察院梳理近5年辦理的網(wǎng)絡(luò)科技犯罪案件發(fā)現(xiàn),涉企數(shù)據(jù)安全犯罪危害性有所增強(qiáng)����。案件背后,暴露出部分企業(yè)內(nèi)部安全管理制度不完善的問(wèn)題���。
房屋中介公司財(cái)務(wù)數(shù)據(jù)及相關(guān)應(yīng)用程序共9TB內(nèi)容神秘“消失”,導(dǎo)致公司財(cái)務(wù)系統(tǒng)全面癱瘓�;某科技公司用戶服務(wù)器遭“撞庫(kù)”攻擊,數(shù)小時(shí)內(nèi)被“撞”走用戶身份認(rèn)證信息177萬(wàn)余組�����;某金融機(jī)構(gòu)“數(shù)據(jù)防泄露系統(tǒng)”被提前植入惡意代碼���,致使該系統(tǒng)無(wú)法正常工作……
這些不是“燒腦”科技類電影片段��,而是在現(xiàn)實(shí)生活中出現(xiàn)的真實(shí)案件�����。日前��,北京市海淀區(qū)人民檢察院發(fā)布《網(wǎng)絡(luò)安全保護(hù)檢察白皮書》及典型案例���,指出涉企數(shù)據(jù)安全犯罪危害性增強(qiáng)�。專家表示�����,企業(yè)亟須構(gòu)建完善的數(shù)據(jù)安全管理機(jī)制��。
“黑手”伸向企業(yè)核心數(shù)據(jù)
北京市海淀區(qū)�����,眾多互聯(lián)網(wǎng)頭部企業(yè)�����、獨(dú)角獸企業(yè)�、中小微企業(yè)集聚于此�����,其提供的網(wǎng)絡(luò)服務(wù)輻射全國(guó)���。商業(yè)活動(dòng)中產(chǎn)生的行為數(shù)據(jù)、畫像數(shù)據(jù)���、財(cái)務(wù)數(shù)據(jù)等呈指數(shù)級(jí)增長(zhǎng)���,與此伴生的數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)日益凸顯。
“企業(yè)核心數(shù)據(jù)易滅失���、易刪改���、易泄露,是涉企數(shù)據(jù)安全犯罪的一大特點(diǎn)����。”海淀區(qū)人民檢察院檢察官助理?xiàng)畛谈嬖V記者���,該類犯罪中�,犯罪分子或是通過(guò)破壞計(jì)算機(jī)信息系統(tǒng)的方式獲取數(shù)據(jù),或是侵入計(jì)算機(jī)信息系統(tǒng)非法刪除����、修改數(shù)據(jù),嚴(yán)重侵害企業(yè)的生產(chǎn)經(jīng)營(yíng)活動(dòng)�。
在楊程承辦的一起案件中,張某從某信息技術(shù)有限公司離職后��,發(fā)現(xiàn)其內(nèi)網(wǎng)系統(tǒng)服務(wù)器賬號(hào)�����、密碼并未被注銷����,便以該賬號(hào)登錄公司服務(wù)器,將公司內(nèi)部數(shù)據(jù)庫(kù)的大量核心數(shù)據(jù)下載至其個(gè)人電腦內(nèi)���。所幸案發(fā)時(shí)這些數(shù)據(jù)并未流轉(zhuǎn)�。
值得關(guān)注的是��,數(shù)據(jù)安全漏洞往往帶來(lái)個(gè)人信息泄露隱患�����。海淀區(qū)人民檢察院發(fā)布的一組典型案例,披露了令人觸目驚心的細(xì)節(jié)���。
梁某某等人發(fā)現(xiàn)某電信運(yùn)營(yíng)商的服務(wù)器端口存在安全漏洞��,便對(duì)漏洞進(jìn)行非法使用��,制作成程序�、工具���,強(qiáng)制手機(jī)用戶跳轉(zhuǎn)訪問(wèn)運(yùn)營(yíng)商服務(wù)器端口并反饋公民個(gè)人信息����,抓取手機(jī)號(hào)碼等公民個(gè)人信息共計(jì)130余萬(wàn)條�����;汪某某使用自行編寫的“撞庫(kù)”軟件�����,對(duì)某科技公司用戶服務(wù)器實(shí)施“撞庫(kù)”攻擊��,僅在數(shù)小時(shí)內(nèi)就“碰撞”出用戶身份認(rèn)證信息177萬(wàn)余組�。
“企業(yè)數(shù)據(jù)安全出了問(wèn)題,對(duì)數(shù)字經(jīng)濟(jì)的影響是深遠(yuǎn)的���,對(duì)公民個(gè)人的影響也是長(zhǎng)久的����。”中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心測(cè)評(píng)實(shí)驗(yàn)室副主任何延哲說(shuō)����,“個(gè)人信息數(shù)據(jù)泄露,伴隨黑灰產(chǎn)業(yè)滋生���,長(zhǎng)此以往可能難以重啟大家對(duì)數(shù)據(jù)產(chǎn)業(yè)領(lǐng)域的信任�����。”
“內(nèi)鬼”作案現(xiàn)象突出
案件背后�����,暴露出部分企業(yè)內(nèi)部安全管理制度不完善的問(wèn)題�����。
楊程告訴記者���,有的企業(yè)在事前信息獲取階段��,就違反了數(shù)據(jù)收集的幾項(xiàng)原則性規(guī)定�;事中在數(shù)據(jù)存儲(chǔ)和傳輸方面也存在漏洞���;有的企業(yè)數(shù)據(jù)合規(guī)培訓(xùn)形式化�、使用審批流程虛設(shè)��、回收銷毀流程缺失�,這些都容易引發(fā)數(shù)據(jù)刪改、泄露等風(fēng)險(xiǎn)����。
這在一定程度上讓“內(nèi)鬼”作案有機(jī)可乘。海淀區(qū)人民檢察院通報(bào)的一組數(shù)據(jù)顯示�,在該院5年來(lái)辦理的數(shù)據(jù)安全犯罪案件中,企業(yè)內(nèi)部人員作案共計(jì)21件78人�,約占此類案件總數(shù)的44.7%。
2018年6月4日���,某房產(chǎn)中介公司突然發(fā)現(xiàn)�,財(cái)務(wù)系統(tǒng)服務(wù)器應(yīng)用程序及數(shù)據(jù)被刪除。共9TB數(shù)據(jù)的消失�,導(dǎo)致公司財(cái)務(wù)系統(tǒng)全面癱瘓,差點(diǎn)影響次日該公司全國(guó)房屋買賣傭金結(jié)算�。為了恢復(fù)數(shù)據(jù)及重新構(gòu)建該系統(tǒng)�,公司花費(fèi)18萬(wàn)元。
幕后黑手是誰(shuí)�����?經(jīng)該公司篩查�,可以登錄財(cái)務(wù)系統(tǒng)并執(zhí)行有關(guān)操作的員工共有5名。公司立即約談該5名員工��,其中4人均向公司提供了工作電腦的開(kāi)機(jī)賬號(hào)及密碼����,自愿接受公司檢查。唯有韓某拒絕提供開(kāi)機(jī)密碼����。公司報(bào)警后,韓某以隱私為由拒絕向公安機(jī)關(guān)提供開(kāi)機(jī)密碼�����。
經(jīng)查明,“刪庫(kù)”者正是韓某����。作為公司數(shù)據(jù)庫(kù)管理員,韓某主要負(fù)責(zé)財(cái)務(wù)系統(tǒng)及數(shù)據(jù)庫(kù)維護(hù)�����。因日常工作摩擦�����,他對(duì)公司心生不滿����,便利用其掌握該公司財(cái)務(wù)系統(tǒng)管理員權(quán)限的便利,登錄公司財(cái)務(wù)系統(tǒng)�,將系統(tǒng)內(nèi)的財(cái)務(wù)數(shù)據(jù)及相關(guān)應(yīng)用程序刪除,致使該公司財(cái)務(wù)系統(tǒng)徹底無(wú)法訪問(wèn)�����。作案后����,韓某又利用技術(shù)知識(shí)�,將相關(guān)數(shù)據(jù)痕跡刪除以對(duì)抗偵查�����。2020年11月4日�����,韓某因犯破壞計(jì)算機(jī)信息系統(tǒng)罪���,獲刑7年。
企業(yè)應(yīng)提升數(shù)據(jù)安全管理能力
海淀區(qū)人民檢察院通過(guò)梳理涉企數(shù)據(jù)安全犯罪案件發(fā)現(xiàn)��,部分企業(yè)在日常運(yùn)營(yíng)中向第三方購(gòu)買技術(shù)解決方案���、軟硬件設(shè)施�,但一些第三方自身就存在安全管理制度缺失����、從業(yè)人員良莠不齊等問(wèn)題,導(dǎo)致引發(fā)數(shù)據(jù)安全新風(fēng)險(xiǎn)�。
牛某某破壞計(jì)算機(jī)信息系統(tǒng)案就是一例。牛某某所在的第三方公司負(fù)責(zé)為某金融機(jī)構(gòu)開(kāi)發(fā)“數(shù)據(jù)防泄露系統(tǒng)”�����,系統(tǒng)功能是防止內(nèi)部人員將核心數(shù)據(jù)外傳,牛某某提前在該系統(tǒng)植入惡意代碼���,致使“數(shù)據(jù)防泄露系統(tǒng)”無(wú)法正常工作��,給公司造成經(jīng)濟(jì)損失��。
一些犯罪分子非法獲取企業(yè)數(shù)據(jù)后�,除銷售獲利或自行使用等情形外����,還出于惡性競(jìng)爭(zhēng)或勒索財(cái)物等目的,以不繳納“封口費(fèi)”就在互聯(lián)網(wǎng)公開(kāi)相關(guān)數(shù)據(jù)等“撕票”方式索取財(cái)物����,對(duì)數(shù)據(jù)權(quán)利人造成二次傷害。
“企業(yè)亟待提升數(shù)據(jù)安全管理能力�����。”何延哲指出��,“企業(yè)首先應(yīng)該采取有效的技術(shù)措施主動(dòng)防范。但技術(shù)解決不了所有問(wèn)題���,還必須構(gòu)建起完善的管理機(jī)制�����。”
何延哲進(jìn)一步解釋:“比如‘內(nèi)鬼’作案��,通過(guò)技術(shù)監(jiān)測(cè)其行為是一方面��,但如果在管理上沒(méi)有相應(yīng)的處理�����、監(jiān)督、審計(jì)措施�����,很難保證以后內(nèi)部處理數(shù)據(jù)的規(guī)范性�����。”
當(dāng)前����,網(wǎng)絡(luò)安全法���、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法相繼出臺(tái)實(shí)施�,構(gòu)建起我國(guó)網(wǎng)絡(luò)信息安全的立體法律體系。
相關(guān)法律已經(jīng)非常完善�����,企業(yè)需要對(duì)照法律的頂層設(shè)計(jì)完善數(shù)據(jù)合規(guī)體系��,也可以參照相關(guān)國(guó)家標(biāo)準(zhǔn)具體落實(shí)����,“國(guó)家標(biāo)準(zhǔn)相當(dāng)于官方參考書,能夠提供更直接的指引��。”何延哲說(shuō)�����。
閩公網(wǎng)安備
35099902000052號(hào)