近日,国内安全漏洞监测平台10月10日通过媒体发布报告,称如家、汉庭等大批酒店的开房记录被第三方存储,包括客户名、身份证号、开房日期、房间号、甚至两个人的会话等大量敏感、隐私信息都有泄露。
这个报料绝非孤案,不久前,众所周知的由斯诺登揭开的“棱镜门”,堪称案例中的经典。人民网曾做过一项网民调查,90%的被访网民表示曾遭遇个人信息泄露,89%的被调查者表示不堪个人信息泄露之扰。
早在九年前,笔者就曾经写过《九成电脑或遭间谍软件监视》一文,以上案例恰恰印证了我当初的判断。如今,人们对互联网应用早已从PC应用过渡到大数据时代。技术进步当然是好事,但是,随着公民的隐私客观上都变成了不同形式的数据进行存储,个人信息被泄露的潜在风险也越来越大。
个人隐私尚且不保,商业秘密又岂能金身不破?数据显示,仅去年较大的商业泄密事件就达30余起,其中,东软集团因商业秘密外泄,给公司造成4000余万元人民币的损失,此外,亚马逊、江苏银行、苹果、三星、1号店及上海市卫生局等泄密案,都让当事企业如芒在背。总结其中教训,除了一部分是人为泄密,一部分是因为本单位信息资源库遭受黑客入侵,用户信息被解密。
不管接受与否,我们都已经进入了大数据时代。现在,很多公司都将图纸、文档、财务报表、研发资料等,以电子文档形式保存在终端上,这是一件再平常不过的事。这些存储在计算机网络中的电子文件,相比于传统纸质文件,由于管理权限分配不当或者加密技术不到位,常在不经意间遭受“裸晒”。这次如家和汉庭的信息泄露,分析其原因,一说是系统运营商管理不善,一说是商家使用不慎,不管怎样,事情既已发生,当事个人和企业(用户)无疑都是其中的受害者。
面对技术进步和几何级数的信息增长,对商业秘密与个人隐私的保护显然已刻不容缓,有专家为此建议,一方面,立法部门需要使法律更加具体和细化,以更快更及时的反应机制,为监管部门提供及时有效的监管依据;另一方面,需要借鉴他国立法经验以及各国政府之间的合作,共同保护信息安全。
制度层面的解决办法是政府的事,作为企业而言,最关键、最紧要的还是做好自己的功课,善用运营商的服务。对自己来说,在大数据时代下,保护企业的商业秘密,首先要求企业切切实实做好防火墙配备、IDS启用、杀毒查马安装等传统“老三样”的防范工作,绝不能将企业信息和数据,放到国外的、或身世不明的分析应用平台,即使对方愿意免费提供相关服务。对国内运营商的选择,凡涉及公司重要数据的传输,比如登录公司网银,如果操作者对这个软件没有把握,就必须慎用。选择的标准,主要是看运营商的口碑以及信用度等,“用户不是专家,除了慎重选择,没有别的办法。”
信息安全行业有“三分技术,七分管理”的说法。一个完整有效的内控系统,除了借用技术手段,严密的管理制度也不可或缺。国外有调查表明,公司商业秘密的安全挑战80%来自内部;中国国家信息安全测评中心的调查结果也表明,我国企业目前的信息安全问题,主要来自泄密和内部人员犯罪,而非病毒和外来黑客引起。从这一点上说,当技术无法完全满足企业全方位的数据安全需求时,制度的建立健全,理当成为企业信息安全的焦点。
除了要求用户(企业),从技术和制度上自铸铜墙铁壁,大数据时代要想实现企业信息安全的长治久安,运营商(企业)也有必要对自己的商业模式进行反省。专家们认为,将来互联网厂商向外提供企业信息时,要根据需要进行产销逆转,也就是说,一些敏感文件、知识产权、科研数据等信息数据,需要完备的访问控制和身份认证管理,以避免未经授权的数据访问。