程序员因对公司不满,利用权限便利将公司系统内的财务数据及相关应用程序删除——
企业拿什么锁住“9TB核心数据”的安全
本报记者 卢越
阅读提示
北京市海淀区人民检察院日前发布了《网络安全保护检察白皮书》及典型案例。检察院梳理近5年办理的网络科技犯罪案件发现,涉企数据安全犯罪危害性有所增强。案件背后,暴露出部分企业内部安全管理制度不完善的问题。
房屋中介公司财务数据及相关应用程序共9TB内容神秘“消失”,导致公司财务系统全面瘫痪;某科技公司用户服务器遭“撞库”攻击,数小时内被“撞”走用户身份认证信息177万余组;某金融机构“数据防泄露系统”被提前植入恶意代码,致使该系统无法正常工作……
这些不是“烧脑”科技类电影片段,而是在现实生活中出现的真实案件。日前,北京市海淀区人民检察院发布《网络安全保护检察白皮书》及典型案例,指出涉企数据安全犯罪危害性增强。专家表示,企业亟须构建完善的数据安全管理机制。
“黑手”伸向企业核心数据
北京市海淀区,众多互联网头部企业、独角兽企业、中小微企业集聚于此,其提供的网络服务辐射全国。商业活动中产生的行为数据、画像数据、财务数据等呈指数级增长,与此伴生的数据库安全风险日益凸显。
“企业核心数据易灭失、易删改、易泄露,是涉企数据安全犯罪的一大特点。”海淀区人民检察院检察官助理杨程告诉记者,该类犯罪中,犯罪分子或是通过破坏计算机信息系统的方式获取数据,或是侵入计算机信息系统非法删除、修改数据,严重侵害企业的生产经营活动。
在杨程承办的一起案件中,张某从某信息技术有限公司离职后,发现其内网系统服务器账号、密码并未被注销,便以该账号登录公司服务器,将公司内部数据库的大量核心数据下载至其个人电脑内。所幸案发时这些数据并未流转。
值得关注的是,数据安全漏洞往往带来个人信息泄露隐患。海淀区人民检察院发布的一组典型案例,披露了令人触目惊心的细节。
梁某某等人发现某电信运营商的服务器端口存在安全漏洞,便对漏洞进行非法使用,制作成程序、工具,强制手机用户跳转访问运营商服务器端口并反馈公民个人信息,抓取手机号码等公民个人信息共计130余万条;汪某某使用自行编写的“撞库”软件,对某科技公司用户服务器实施“撞库”攻击,仅在数小时内就“碰撞”出用户身份认证信息177万余组。
“企业数据安全出了问题,对数字经济的影响是深远的,对公民个人的影响也是长久的。”中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲说,“个人信息数据泄露,伴随黑灰产业滋生,长此以往可能难以重启大家对数据产业领域的信任。”
“内鬼”作案现象突出
案件背后,暴露出部分企业内部安全管理制度不完善的问题。
杨程告诉记者,有的企业在事前信息获取阶段,就违反了数据收集的几项原则性规定;事中在数据存储和传输方面也存在漏洞;有的企业数据合规培训形式化、使用审批流程虚设、回收销毁流程缺失,这些都容易引发数据删改、泄露等风险。
这在一定程度上让“内鬼”作案有机可乘。海淀区人民检察院通报的一组数据显示,在该院5年来办理的数据安全犯罪案件中,企业内部人员作案共计21件78人,约占此类案件总数的44.7%。
2018年6月4日,某房产中介公司突然发现,财务系统服务器应用程序及数据被删除。共9TB数据的消失,导致公司财务系统全面瘫痪,差点影响次日该公司全国房屋买卖佣金结算。为了恢复数据及重新构建该系统,公司花费18万元。
幕后黑手是谁?经该公司筛查,可以登录财务系统并执行有关操作的员工共有5名。公司立即约谈该5名员工,其中4人均向公司提供了工作电脑的开机账号及密码,自愿接受公司检查。唯有韩某拒绝提供开机密码。公司报警后,韩某以隐私为由拒绝向公安机关提供开机密码。
经查明,“删库”者正是韩某。作为公司数据库管理员,韩某主要负责财务系统及数据库维护。因日常工作摩擦,他对公司心生不满,便利用其掌握该公司财务系统管理员权限的便利,登录公司财务系统,将系统内的财务数据及相关应用程序删除,致使该公司财务系统彻底无法访问。作案后,韩某又利用技术知识,将相关数据痕迹删除以对抗侦查。2020年11月4日,韩某因犯破坏计算机信息系统罪,获刑7年。
企业应提升数据安全管理能力
海淀区人民检察院通过梳理涉企数据安全犯罪案件发现,部分企业在日常运营中向第三方购买技术解决方案、软硬件设施,但一些第三方自身就存在安全管理制度缺失、从业人员良莠不齐等问题,导致引发数据安全新风险。
牛某某破坏计算机信息系统案就是一例。牛某某所在的第三方公司负责为某金融机构开发“数据防泄露系统”,系统功能是防止内部人员将核心数据外传,牛某某提前在该系统植入恶意代码,致使“数据防泄露系统”无法正常工作,给公司造成经济损失。
一些犯罪分子非法获取企业数据后,除销售获利或自行使用等情形外,还出于恶性竞争或勒索财物等目的,以不缴纳“封口费”就在互联网公开相关数据等“撕票”方式索取财物,对数据权利人造成二次伤害。
“企业亟待提升数据安全管理能力。”何延哲指出,“企业首先应该采取有效的技术措施主动防范。但技术解决不了所有问题,还必须构建起完善的管理机制。”
何延哲进一步解释:“比如‘内鬼’作案,通过技术监测其行为是一方面,但如果在管理上没有相应的处理、监督、审计措施,很难保证以后内部处理数据的规范性。”
当前,网络安全法、数据安全法、个人信息保护法相继出台实施,构建起我国网络信息安全的立体法律体系。
相关法律已经非常完善,企业需要对照法律的顶层设计完善数据合规体系,也可以参照相关国家标准具体落实,“国家标准相当于官方参考书,能够提供更直接的指引。”何延哲说。 【编辑:叶攀】