首页 > 资讯列表 > 科技资讯 >> 互联网

财富还是陷阱? 数据安全“黑洞”频出

互联网 2015-03-08 14:09:06 转载来源: 网络整理/侵权必删

一方面是大数据时代的“数据挖掘”对企业商业模式的重构,数据处理能力逐渐成为企业的核心竞争力,另一方面是伴随数据获取与积累所引发的大量数据被泄露的风险。根据《中国经营报》记者对大量TMT产业的采访,组建大数据部门,利用大数据,更好地服务客户、发现新商业机会、扩大新市场以及提升效率正成为这些企业重要的战略决策,甚至有人认为,数据经济以后将会成为每个企业的DNA,“人们将会依据一家公司是否有效地运用数据,来定义这家公司是否成功

一方面是大数据时代的“数据挖掘”对企业商业模式的重构,数据处理能力逐渐成为企业的核心竞争力,另一方面是伴随数据获取与积累所引发的大量数据被泄露的风险。

根据《中国经营报》记者对大量TMT产业的采访,组建大数据部门,利用大数据,更好地服务客户、发现新商业机会、扩大新市场以及提升效率正成为这些企业重要的战略决策,甚至有人认为,数据经济以后将会成为每个企业的DNA,“人们将会依据一家公司是否有效地运用数据,来定义这家公司是否成功。”

全国政协委员、苏宁云商董事长张近东就告诉本报记者:“苏宁目前组建了有5000名研发人员组成的大数据部门,数据挖掘未来将成为苏宁的核心竞争力。”

不仅如此,全国人大代表,腾讯董事会主席兼首席执行官马化腾也表示:“移动互联可以用来更好地改善民生,不管是数据开放、云平台、提供连接,都希望把很多信息孤岛能够接入到各自的生态体系,让各自的生态体系里的用户很方便地使用。”马化腾同时还提出了大数据在公共交通以及医疗领域的有效运用的前景。

不过,也恰恰是由于对海量数据进行挖掘整合背后存在巨大的商业价值,这也让用户的个人数据安全开始出现巨大的隐忧,数据安全“黑洞”由此曝出,其引发的风险也正日益增加。

就在此前不久,北京朝阳法院审结了一起借助“静默插件”潜入手机来非法获取计算机信息系统数据、非法控制计算机信息系统的案件。根据披露的鉴定资料显示,“静默插件”能获取用户手机位置,读写用户存储卡等信息,偷偷上传手机收发短信、通话信息、通讯录等个人信息。案发时,警方从公司查获非法获取的手机通讯录达近2000万条。

事实上,不只是“静默插件”,大量数据信息泄露敞口的存在,都在威胁着用户的个人安全隐私。以至于全国人大代表、中国电信湖南公司总经理廖仁斌在2015年的两会上呼吁,大数据时代的个人信息安全已经是一个战略问题。他建议加快建设大数据时代个人信息安全保护体系。

新技术带来新风险:信息泄露风险日益增大

显然,“静默插件”是伴随智能手机的普及而开发出来的一种幕后获得用户数据的软件。

根据案件披露出来的信息显示,“静默插件”主要是利用用户购买水货手机需要刷机重新安装操作系统时在机主并不知情的情况下安装的,获取手机位置、手机网络状态、用户手机运行的应用软件列表。

之所以称作“静默插件”,是因为“装了它,手机就会与我们的服务器自动联系,自动下载并安装服务器所推广的软件及广告信息,整个过程手机用户是不知情的,用户也不知道插件安装在手机中。”

根据案件当事人的供述,“静默插件”也经历一个升级换代的过程,其操作方是希望通过推广软件和广告来获得推广费,但后来通过升级,插件拥有了向服务器上传手机机主个人信息的功能。

北京通达首城司法鉴定所鉴定确认,“静默插件”能更改用户网络状态,删除用户手机内安装的应用软件,安装其他应用软件,访问互联网,强制关闭正在运行的应用软件,唤醒用户手机,读写用户存储卡等信息,上传手机收发短信、通话信息、通讯录以及GPS定位信息。

更可怕的是,使用这一静默插件进行推广或者获取用户数据的公司包括了大部分知名的互联网公司。根据案件当事人的供述,“公司推广软件,与合作商都签有协议,有些并不知道我们用静默插件做推广,有些知道,而有些则明确提出了这种要求。”

事实上,不只是“静默插件”,早在2013年央视就曝光站长搜索等通过邮箱cookie收集用户隐私的案例。

cookie,被比喻为用户的网络身份证。是用户登录某一网站时,网站会将用户的浏览记录、IP地址、网卡号、用户名、密码等信息,存放到用户电脑一个叫cookie的数据包中,当用户下次登入该网站时,网站便可以利用cookie文件自动识别用户,是一种方便用户上网的技术。

但是,这种技术却被第三方公司用来对用户进行跟踪分析,甚至包括用户非常隐私的邮件内容。当时接受采访的企业负责人就表示:“就像一个蜘蛛网一样,不管你出现在什么地方,我都可以抓到你。我们目前能捕捉到互联网上5.7亿的cookie。”

值得注意的是,跟踪用户上网行为不仅仅发生在国内,美国谷歌公司就因此被美国联邦贸易委员会判罚2250万美元,同时被要求彻底停止追踪用户上网习惯的侵权行为。但在国内,虽然“静默插件”以及网络cookie的存在已经非常普遍,被警方查获的还仅仅是冰山一角。

2013年,网上曝出一款名为查查开房网的软件,该软件集成了2000万份开房记录,人们可以在网上免费查看,当时这款软件的新闻角度被做成了“查查开房网是帮你了解对方是否出轨的利器”等等,但是更重要的问题也就是用户个人隐私的问题并没有被抛出来,而这,恰恰是数据安全黑洞的一个重要表现。

除了有意为之的情况之外,掌握大数据的行业或部门同时还面临着信息在无意中被泄露的风险,比如最近网络传出的海康威视(Hikvision)的安全门事件,令数万监控设备存在风险。

2014年11月19日,海康威视监控设备被曝严重漏洞,导致攻击者可以通过弱口令进入后台对设备进行查看或者配置。而众所周知,监控设备的后台往往包含大量的个人或企业隐私数据,数据泄露的风险可想而知。

目前,设备漏洞,以及网络安全漏洞的存在正成为个人信息安全的一个重威胁。根据补天漏洞响应平台上收录的数据显示,目前该平台已知漏洞就可导致23.6亿条隐私信息泄漏,包括个人隐私信息、账号密码、银行卡信息、商业机密信息等。导致大量数据泄露的最主要来源是:互联网网站、游戏以及录入了大量身份信息的政府系统。公开信息显示,2011年至今,已有11.27亿用户隐私信息被泄漏。

互联网安全公司奇虎360公布的另外一组数据更加值得警惕。据测算,目前超过37%的国内网站存在漏洞,利用网站漏洞的攻击以近5倍速增长,网站信息泄漏的风险越来越大。

2014年前11个月,360网站安全检测平台共扫描各类网站164.2万个,较2013年的91.2万个增加了80.0%。其中,存在安全漏洞的网站为61.7万个,占扫描网站总数的37.6%。其中,存在高危安全漏洞的网站共有27.9万个,占扫描网站总数的17.0%。2014年全年,360网站卫士共拦截各类网站漏洞攻击7.0亿次,较2013年1.21亿次,增长了约4.8倍。

著名电商专家,北京泛洋律师事务所主任合伙人刘春泉也表示,“不仅是网络安全设备本身的漏洞问题,企业在整个数据应用和管理的过程中都应该保持合理的注意义务,这包括企业的管理制度,以及如何防范个别员工对信息的泄露。”

毫无疑问,数据安全问题应该成为个人、企业以及全社会关注的重要问题。全球最大的风险代理机构达信在2015年世界经济论坛上发布的《2015年全球风险报告》中曾表示,“从合成生物技术到人工智能,新兴技术创新步伐的加快,也会带来深远的社会、经济与道德影响。建立能充分适应新技术发展的监管环境,确保技术能快速发展并惠及民众,避免技术滥用可导致的意外后果,这些都是领导者面临的重要挑战。”

达信(Marsh)专业咨询全球总裁John Drzik更是指出:“我们必须预测由新兴技术产生的问题,建立防御和治理体系,避免那些可被避免的灾难。”

大数据时代的信息安全:立法箭在弦上

在很多人看来,大数据像一把双刃剑,在给人们生活带来便利的同时,也带来对个人隐私的威胁。

在互联网非常发达同时对个人隐私亦非常关注的美国,这一对矛盾早就暴露出来。专栏作家涂子沛在其《大数据:正在到来的数据革命》一书中就提到:1977年,美国隐私研究委员会研究指出,“我们有很多小的、独立的信息记录系统。这些系统,就单个而言,它们可能无关痛痒,甚至是很有用的、完全合理的。但一旦把它们通过自动化的技术整合连接起来,它们就会渐渐蚕食我们的个人自由。这才是真正的危险。”

一些美国教授也表示:“个人信息在不同时段分散零碎地在互联网上的出现对一个人的隐私并不会形成怎样的威胁,但是一旦把这些信息整合起来进行分析,这个人的一切就完全无法遁形。” 这也恰恰是美国中央数据银行系统一直迟迟难以推进的一个重要原因。

但在中国,由于长期以来对个人隐私的淡漠,很多问题虽然早就暴露出来,但并没有被提上隐私安全的高度。

刘春泉就告诉记者,“在目前企业信息保护方面,除了从商业秘密角度进行的保护之外,基本上处于立法空白。但是,伴随互联网时代企业对大数据的日益重视,海量数据被积累并被挖掘,企业信息的保护立法有待提上日程。因为这些企业信息里面集成了大量的个人用户的信息,企业信息与个人信息的边界已经日渐模糊,并存在大量交叉。”

事实上,刘春泉所说的立法空白,很重要的一个表现就是对企业服务器设置的要求,目前我国对企业服务器的放置地点并没有什么特别的要求,而在俄罗斯以及其他一些国家,都会要求企业必须将服务器放在本国,因为这与数据安全密切相关。前面提到的“静默插件”的案件,其服务器就是放置在了国外。

不过,刘春泉也表示,这与社会大环境有关,“在过去,人们觉得数据或者信息并不值钱,但现在,至少有一拨专家与我有一样的见解,那就是数据就是财产,就是资产。”

显然,这个社会大环境正在发生变化,一些领先者开始意识到数据安全与个人隐私的问题。

2014年,全国人大财经委启动了《电子商务法》的立法工作,随后将立法的调研课题分派给了国家工信部和地方上的上海市人大财经委,上海市人大财经委目前已经进行过一波讨论,并出具了一份课题报告,而这份报告的主要执笔者就是刘春泉。

在这份报告中,刘春泉提出了“企业对信息安全应该有合理的注意义务”。

的确,“在信息时代,计算机内的每一个数据、每一片字节,都是构成一个人隐私的血肉。信息加总和数据整合,对隐私的穿透力不仅仅是‘1+1=2’的,很多时候,是大于2的。”一旦企业通过数据挖掘获得用户个人的大量信息,这些信息的安全性就显得极为重要。

刘春泉表示:“最新的《消费者权益保护法》引入了对消费者的安全保障义务,而信息安全应该也是安全保障义务的应有之一。因此,消费者的信息安全一方面可以通过专门的立法进行规定,另一方面也可以对司法解释或相关判例对其进行明示。”

同时,刘春泉也告诉记者,“网上商业信息的保护不能仅仅依靠技术,一些企业认为通过购买一些安全软件来实现信息安全,这并不完整,企业还需要引入相关专业的法律人员进行制度上的建构,比如进行信息的安全授权等等。”

不仅如此,责任过低也是数据安全存在黑洞的重要原因,基于此,刘春泉等在有关电商立法的课题报告中提出了“递进式惩罚赔偿”的原则,“我们的立法理念一直比较限制惩罚性赔偿,但对于侵犯隐私权的问题来说,却可以出现屡禁不止的问题,因此递进式惩罚赔偿有助于制止这种屡犯的行为。”

无独有偶,廖仁斌在两会期间也提出了加快建设大数据时代个人信息安全保护体系的建议,廖仁斌特别指出,“对海量的信息进行分析利用后,往往有大量的碎片化个人信息数据被随意丢弃,从而造成安全隐患,如被其他企业甚至不法分子进行广泛收集和合成分析后变成其所用的高价值数据。”

在廖仁斌看来,造成对个人信息随意泄露的一个重要原因,就是缺乏权威和体系化的法律规制、缺少统一监管和行业自律以及薄弱的大数据安全技术体系。

由此,廖仁斌建议:加快国家对大数据时代个人信息安全的统一立法工作,规范政府、企业、个人等大数据产业链参与者的行为准则;在国家层面建立统一的监管体系。而来自两会的信息也显示,网络安全法已经列入相关立法计划。

标签: 财富 还是 陷阱 数据 安全 黑洞 频出


声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!

站长搜索

http://www.adminso.com

Copyright @ 2007~2024 All Rights Reserved.

Powered By 站长搜索

打开手机扫描上面的二维码打开手机版


使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

站长搜索目录系统技术支持