日前绍兴警方破获了一起公民个人信息非法窃取案件,犯罪团伙非法从运营商流量池中获取用户数据达到30亿条,这只是全国打击公民个人信息窃取贩卖众多案件中冰山一角。近两年来全国爆发了大量贩卖公民个人信息的案件,被贩卖的个人信息规模之大,触目惊心。在国家实施大数据战略、发展数字经济、加快建设数字中国的大背景下,对大规模个人信息数据窃取和贩卖行为,必须加强治理。
目前我国非法数据交易的现状
一是非法数据交易现象日益猖獗。近三年来,随着我国大数据产业发展,社会对重要数据资源的需求量越来越大,非法数据交易现象日益猖獗,爆发了大量的重大公民个人信息盗窃案件。从破获的案件看,主要呈现出三个特点。一是非法数据交易和使用事件发生频率呈上升趋势,并从之前的小规模、多频次向大规模、多频次转变,从线下交易的上万条记录级别向网上交易的上亿条记录级别转变。二是非法交易数据逐渐从低价值向高价值转变,从之前联系电话、邮箱等通信方式信息逐步向个人网上购物、购房购车、教育医疗、卫生保健、金融资产等个人重要信息拓展,这些信息一旦落入诈骗分子或国外情报分子手中,将对整个社会构成巨大危害。三是非法数据交易呈现出产业链作案特征,其分工明确、网络协作、隐蔽性较强,形成了一条从数据窃取、数据贩卖到数据挖掘使用的黑色产业链,作案呈现团伙化趋势。
二是互联网已成为非法数据交易的重要渠道。非法数据交易渠道主要有线上和线下两个渠道,从目前破获的案件来看,线上交易是主流。线上非法数据营销渠道主要有论坛、QQ群、微信群、微信公众号、微博、博客、电子商务平台、暗网、网盘、邮箱等。其中,论坛、QQ群和微信群是非法数据交易的重灾区。从查获的案件来看,非法数据交易基本都是通过QQ、微信、邮箱、暗网等直接传送,或是通过收费网盘支付费用后下载。非法数据交易信息在网上泛滥,不仅为非法数据交易行为拓展了市场空间,也加大了打击防控的难度。
非法数据交易猖獗的原因
一是缺乏正常的数据交易渠道。目前,掌握数据资源的部门向社会开放的步伐推进缓慢,各政务部门和金融、物流、航空、铁路、旅游、能源等重点行业的数据资源都封闭在部门和单位内部,形成了一个个封闭的信息孤岛,社会企业缺乏正常的获取渠道。同时,电子商务、网络社交、搜索引擎、地理信息、网约车等领域的互联网企业,大都是通过建设数据开放平台、以收费信息服务等模式推进部分数据的开放,但这种开放模式的开发利用深度非常有限。重要数据资源正常获取渠道缺失,致使不少机构千方百计通过地下渠道获取所需要的数据资源。
二是数据资源缺乏全生命周期管理。目前各部门、各行业都在大力推进信息化建设,建设信息系统和平台是其中不可或缺的环节,而不少非IT部门由于自身没有信息系统开发和运维能力,大都采用外包开发和运维模式,外包服务模式给部门加强数据全生命周期管理带来了巨大挑战。在运维过程中,许多系统外包服务商有意无意都备份留存了数据,对这些备份留存数据的事后管理不善,也成为数据泄露的重要原因之一。以物流、房产、住宿、旅游等行业为例,近年来,这些行业发生的数据泄露事件中,由外包服务端引发的占绝大多数。
三是重要漏洞未能及时发现和修补。网络防御技术支撑能力不足是引发数据泄露的重要原因。目前我国各领域信息化建设采用的数据库系统绝大部分都是国外商业数据库或开源数据库,是否存在漏洞甚至后门,我国企业还无法全面掌握。这些数据库的重大漏洞一旦爆发,我国企业只能处于事后的被动修复状态,而且不同类型企业事后修复时间存在较大差异。大型IT企业都会及时修补,大部分传统企业则是在漏洞曝光后搁置较长时间才知晓并修复,有些没有技术能力支撑的企业甚至长年累月不知晓漏洞修复,黑客入侵窃取数据的大门始终敞开着。
四是网络化的监管治理模式尚未建立。目前大部分非法数据交易都是基于互联网展开,与线下案件不同,基于互联网的案件具有高技术、跨地区、跨时空、数量大等特性,要求执法部门具有强大的技术平台保障案件侦查。近年来,这种利用个人信息泄露开展精准电信诈骗的案件时有发生,但由于大部分案件涉案金额较少,跨地区执法成本较大,主管部门多处于无暇应对状态,只能针对一些大案要案进行查处。另外,传统的线下进场执法手段除了成本高外,也存在着技术能力不足和无暇应对状态,这就对监管部门网络化、平台化和在线化监管手段提出了更高要求。
五是法律对非法数据交易的震慑作用不够。在《网络安全法》《电信和互联网用户个人信息保护规定》等相关法律法规、部门规章中,对包括个人信息在内的各种数据保护有较多规定,但相关要求过于宏观,且相关条款的司法解释缺失,导致企业执行过程缺乏具体、详细和标准化的参考依据。另外,法律法规对非法数据交易的震慑作用不够,大部分案件都难以做到违法必究,即使有些案件被查处,处罚力度也过轻,难以起到有效震慑作用。
加强数据治理的对策建议
一是鼓励发展大数据交易服务。面向社会重点应用需求,加快推进政务信息资源和公共信息资源的开放与共享,完善网络服务基础设施,提供平台化、网络化和在线化开放和共享服务。推进大数据交易平台建设,同时支持各地大数据交易所和交易中心建设,鼓励政务信息资源、公共信息资源和其他企事业单位信息资源进交易所交易,强化数据脱敏等工作,确保国家信息安全,保障商业秘密和个人隐私安全。鼓励互联网企业大力建设企业数据开放平台,提供深度数据挖掘服务,为外部企业开展业态创新提供有效支撑。
二是强化数据全链条安全管理。规范信息系统和网络平台开发、建设和运维全过程的数据资源管理,出台相关实施指南、技术标准、合同规范和管理制度等,建立贯穿于开发、建设、运维等全过程的数据内控机制,确保整个过程数据管理的可管、可控。对存储重要信息的信息系统和网络平台开发、建设和运维等全环节要进行报备管理,强化企业终身责任意识,确保数据泄露后的可查可溯。继续开展对重要信息系统和网络平台数据安全保障的日常执法检查,提高执法技术保障支撑能力。
三是加强数据保护关键技术研究。加快推进数据采集、存储、传输、开放、共享、流通、交易、使用等过程的全生命周期标准化安全管理,出台相关技术标准和实施指南,以安全管理标准化降低数据泄露风险。加强数据库相关技术研究,大力发展国产数据库和大数据分析工具,强化数据溯源技术攻关研究。
四是提高监管执法在线化水平。整合网信、公安、工信、商务等部门相关职能和执法力量,建设国家级数据安全保护执法监管平台,提高执法监管的网络化、平台化、在线化水平,强化对网络和大数据技术的运用,建立常态化、在线化的数据安全保护执法机制。充分整合互联网企业、金融机构、电信运营商等部门资源,构建信息共享和执法互助机制,提高网络监管平台技术和资源保障。
五是增强法律法规的可操作性。出台对《网络安全法》相关条款的司法解释、实施细则、操作指南和技术标准,明确可进入市场流通交易的数据类型及要求,提高法律的引导性和可操作性。制定数据托管存储、开放共享、流通交易、挖掘利用等环节合同范本,明确相关数据安全技术保障、责任机制、使用边界、销毁处理等内容要求,确保数据全生命周期可管可控。加强法律法规宣传,提高用户保护个人数据安全的意识,确保用户数据不被非法交易者通过不正当途径采集和窃取。
在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。
根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。
获取安全动态