数据安全正在将越来越多的企业推向风口浪尖。
10月19日,乌云网发布消息称,网易的用户数据库疑似泄露,引发了与后者的口水战。而网易并不是第一个被“乌云”盯上的企业,此前,腾讯、携程、支付宝都曾登上过乌云网的“黑名单”。
在业内人士看来,这些已然暴露出来的问题还只是冰山一角,更多企业的数据泄露还处于秘而不宣的状态;实际上的数据安全威胁无孔不入,甚至连专业的安保机构都表示“损失已经难以弥补”。
“这些泄露的数据大量流入数据黑市,造成了用户安全、企业安全甚至国家安全方面的连锁反应,但是国内企业在经营状况、预算、意识等方面的问题,在数据安全这方面的投入还远远不够。”亚信安全业务发展总监童宁对《中国经营报》记者表示。
而对于很多企业而言,数据安全保护是基于一个投入产出比的商业考量。但无疑,未来日益趋严的法律环境以及可能带来的巨额赔偿会让他们重新思考这个天平两端的筹码。
潜滋暗长的数据“黑市”
数据安全事件正在接连爆发。网易邮箱所引发的争执尚没有平息,互联网巨头百度又步其后尘。
10月28日,乌云网曝出百度全系的安卓APP存在安全漏洞,只要安卓设备连接网络,黑客就能对设备实现远程操控,安装指定应用。随后,百度官方回应称:已经发现并确认了该漏洞,目前产品团队已经紧急修复了该漏洞。
尽管事后补救是必要之举,却无法弥补损失。就像潘多拉的盒子一样,系统漏洞一旦产生,灾难就已经无可遏制地广泛散播了。正如绿盟科技深圳互联网金融安全研究负责人赖东方所说的,在漏洞和数据被披露之前,影响就可能早已扩散出去了。
2011年,知名网站CSDN证实600余万用户资料被泄露,卷入其中的还有人人网、多玩网等,涉及数百万用户数据资料。而经过调查发现,此次泄露的数据信息源于2009年的黑客攻击,也就是说,这些数据“应用”早已暗中发酵了2年多的时间,而当事人却一无所知。
乌云网创始人方小顿(剑心)曾公开指出,互联网模式下企业内部IT系统一打开,外面就是一群狼。事实也确实如此,童宁就指出,那些黑客以每天不间断的方式长期,甚至贴身对企业进行系统攻击,这种情况在国际大型金融公司已司空见惯。
“具有商业价值,尤其是掌握大量用户信息的,比如一些互联网巨头和使用率极高的在线公众平台,更加容易遭遇黑客攻击”,赖东方说,互联网金融企业面临的问题尤为严重,因为他们目前的安全水平比银行低很多,又涉及金融类的敏感信息和敏感操作,“只要是我们检测过的平台,都发现有各种漏洞。”
根据《2014年互联网金融行业安全漏洞分析报告》不完全统计,截至2014年底,已有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空。2015年4月,乌云网也发布警示称,芝麻金融P2P网站遭遇数据库泄露,造成逾8000名用户资料泄露,涉及金额高达3000万元有余。
除了这些显而易见的损失外,大量的敏感信息流入到业内人士所称的“数据黑市”里。据赖东方了解,在这个灰色产业链条中,负责网络入侵、数据窃取、网络钓鱼、网络敲诈等各个虚拟单元以松散的形式结合,他们大多不使用实名,而以网络代号相称。
这些数据“黑手”就像是在暗中静候时机扑向猎物,攻其不备。比如一些黑客即便窃取到用户的账户数据,但并不会马上盗取,而要守株待兔以获取更大的数目;而一些企业则会在上市备战之际收到黑客的“敲诈电话”,后者以此前窃取到的公司机密为要挟,而在这种命中要害的“节骨眼”上,企业多半会选择“破财消灾”。
不仅如此,据童宁透露,许多数据会经由“地下黑市”辗转售卖至其他国家,这也就意味着,企业和用户的数据风险暴露在全球的犯罪“平台”上,甚至一些非常敏感的信息会进一步引发国家安全问题。
“根据中国现行的法律,任何个人信息的买卖都是违法的。”上海泛洋律师事务所高级合伙人刘春泉说,但是在现实的执法中却面临种种困境,因为数据的溯源,问责都很难取证,而在大数据时代面临的问题就更为复杂。
正因如此,这些数据长期以来被肆无忌惮地窃取、流传甚至利用。“目前国内企业的网络安全防护还处于刚刚起步阶段,安全防护的意识还比较淡薄。国内企业的安全防护驱动主要来自两个方面,一方面是行业监管要求,另一个方面则是事件驱动,即感受到切肤之痛后才强化安全防护。”赖东方指出。
经济考量下的两难
事实上,中国企业不仅没有在数据泄露方面体会到真正的“痛点”,却往往由于忌讳数据安保方面的巨大投入而裹足不前。
童宁给出的一组数字显示,国外的企业在数据安保方面的投入会占到IT预算的5%~10%,国内企业一般都在5%以下。
相比于传统企业,互联网公司在某些层面对用户信息更加疏于保护。童宁指出,对于前者来说,客户信息成为竞争的核心要素;而对于互联网企业来说,是利用大数据而建立地群体画像,所以缺乏动力去进行个体用户的信息保护。
投入产出比确实在很大程度上左右了企业对数据安全的重视程度,滴滴出行技术副总裁、商业变现事业部总经理朱磊表示,“如果涉及到核心数据,一般的企业都会严密保护。但在数据安全方面却有很大的不同,因为数据的商业价值还都没有挖掘出来,在没有产出的情况下,很多企业也就不愿意在这方面做太多的投入。”
尤其是对刚刚起步的互联网金融企业来说更是如此,有利网原CEO、美利金融CEO刘雁南就指出了现实的两难,互联网金融企业处于开放式的网络通信系统中,很容易遭受计算机病毒以及网络黑客的攻击。必须对自身的交易系统、数据系统等进行持续的高投入,而这无疑会加大企业的运营成本。
而且,IT系统的建设并不能解决所有的问题。在朱磊看来,对企业来说技术上的投入不是一个关键问题,更重要的在于内部管理。
“对于一般的企业来说,抵御外部攻击的基础性防火墙都会设立,所以外部攻击还不是一个大问题。”朱磊指出,更大的风险来自于企业内部,很多企业数据的审批、授权等流程管理并不严格,这部分更容易导致数据泄露问题。
这个观点得到德勤企业风险管理合伙人冯晔的认同,他表示,很多企业觉得数据保护是一个IT技术的问题,但实际上这是一个全员管理的问题。
对数据管理堪称“偏执”的美国运通内部人士就指出,公司对数据控制极为严格,经常有一些不近人情的规定,比如在员工的内部邮件中,如果涉及到15位或者17位的连续数字,并且其中有37的组合,那么就会被系统认定为疑似卡号的问题邮件,从而提交到全球预警中心,最后只能在当事人及其部门老板都要提交相关的证据后才可以消除警告。
“很多类似的情况,比如内部电脑不能使用任何外接设备,非授权的部门不能接触到任何会员信息。”上述人士指出,所以涉及到数据安全问题,一件在外界看来举手之劳的事情,在系统内辗转下来要耗费几个小时的时间,这些都成为技术投入之外,企业在数据保护方面所要付出的隐性成本。
也正因如此,很多企业将数据保护作为“一种成本而非收益”,造成了“数据泄露之后再设法补救,而非预先防护”的被动局面。
日益逼近的“冰山”
一方面缺乏利益刺激,另一方面则对可能造成的损失缺乏考虑,这两方面的权衡对企业来说是一道很简单的算术题,正如童宁所言,“做好了数据安保,企业没有直接的回报,做不好,即便发生了一些事情,也没有成本。”
实际上,国内的现行法律对企业提出了个人信息保护的要求,《消费者权益保护法》中规定工商局可以对此做出最高50万元的罚款,但对民事赔偿却没有一个明确的说法,如何赔,赔多少都没有规定,而且由于“难以进行用户损失的举证,所以向企业的索赔很难成立。”刘春泉认为,这也是当前所面临的法律困境。
2014年7月,刘春泉由于频繁收到“95588”发送的商业短信而退订无果后,对工行上海分行提起诉讼,要求后者停止发送商业信息、赔礼道歉,并作出赔偿。而后尽管一审判决支持了他的诉求,但最终被上海市第一中级人民法院改判。理由则是“法院说垃圾短信虽然不妥但类似情况很多,所以不违法。”
“这种很明显的信息侵权问题尚无法得到法律层面的肯定,那么在大数据错综复杂的环境下,向企业索赔就更加难上加难。”刘春泉说。而从企业层面来看,如果没有现实的风险刺激,数据安全更加难以提上日程,“很多企业的相关部门都会面临领导的质疑:你做这个有什么意义,真正的风险是什么?”
而同样的针对“垃圾短信”提起的诉讼,国外却有“8年间获赔超过100万美元”的案例——这也是其他国家在数据安全保护方面的一个缩影,一些国外知名企业都曾为此类法律利剑所伤。
美国零售巨头塔吉特的遭遇就是一个很典型的例子。2014年,塔吉特对外界宣布,由于遭遇黑客攻击,预计多达1.1亿名用户信息被盗。此次危机对塔吉特带来了几乎“灾难性”的打击:客户大量撤逃,多起集体诉讼接连而至,股价应声下跌,最后连“业绩出色”、在塔吉特服务35年之久的CEO也不得不黯然下台,为数据泄密买单。
最近的消息表明,塔吉特同意支付1000万美元,与集体诉讼达成和解。而值得注意的是,塔吉特也曾争辩消费者缺乏起诉资格,未能证实泄漏事件对其造成任何伤害,但该意见却遭到一名法官的拒绝。
“因此,国外企业对这方面的风险非常重视,要改变国内的现状,我认为应该通过政策和法律对企业施压,使后者能够加强这方面的投入力度。”童宁表示。而在刘春泉来看,国内对个人信息安全和数据侵权的法律环境会不断趋严,而这将对疏于防范的企业构成一个巨大的威胁。
“全国人大常委会‘关于加强网络信息保护的决定’没有对违法行为规定具体数额,换言之也就是说没有赔偿上限,与其说是一个漏洞,不如说是留给执法部门进退自如的一个手段,在这样的前提下,对那些在个人数据收集和使用上违法的行为处以天价罚款是完全合法的。”刘春泉指出。
一个可咨对比的案例就是,企业在2012年之前都把《反垄断法》视为“没有牙齿的老虎”,但经历过几次市场整顿、一些大企业接连遭遇高额反垄断罚单之后,如今以刘春泉的说法是,“反垄断的律师是没有预算的,基本上是要多少给多少。”
“之前政府以扫黄为抓手来治理互联网企业,我认为未来很有可能将个人信息和数据安全作为抓手。”在刘春泉看来,如此将对某些企业造成致命打击。