程序員因對公司不滿�����,利用權限便利將公司系統內的財務數據及相關應用程序刪除——
企業拿什么鎖住“9TB核心數據”的安全
本報記者 盧越
閱讀提示
北京市海淀區人民檢察院日前發布了《網絡安全保護檢察白皮書》及典型案例��。檢察院梳理近5年辦理的網絡科技犯罪案件發現����,涉企數據安全犯罪危害性有所增強�。案件背后���,暴露出部分企業內部安全管理制度不完善的問題����。
房屋中介公司財務數據及相關應用程序共9TB內容神秘“消失”�,導致公司財務系統全面癱瘓����;某科技公司用戶服務器遭“撞庫”攻擊���,數小時內被“撞”走用戶身份認證信息177萬余組�;某金融機構“數據防泄露系統”被提前植入惡意代碼����,致使該系統無法正常工作……
這些不是“燒腦”科技類電影片段��,而是在現實生活中出現的真實案件�。日前����,北京市海淀區人民檢察院發布《網絡安全保護檢察白皮書》及典型案例����,指出涉企數據安全犯罪危害性增強�����。專家表示��,企業亟須構建完善的數據安全管理機制���。
“黑手”伸向企業核心數據
北京市海淀區�����,眾多互聯網頭部企業����、獨角獸企業�、中小微企業集聚于此��,其提供的網絡服務輻射全國���。商業活動中產生的行為數據�����、畫像數據�����、財務數據等呈指數級增長���,與此伴生的數據庫安全風險日益凸顯��。
“企業核心數據易滅失��、易刪改����、易泄露�,是涉企數據安全犯罪的一大特點�����。”海淀區人民檢察院檢察官助理楊程告訴記者����,該類犯罪中��,犯罪分子或是通過破壞計算機信息系統的方式獲取數據����,或是侵入計算機信息系統非法刪除����、修改數據�����,嚴重侵害企業的生產經營活動�����。
在楊程承辦的一起案件中���,張某從某信息技術有限公司離職后�,發現其內網系統服務器賬號���、密碼并未被注銷���,便以該賬號登錄公司服務器���,將公司內部數據庫的大量核心數據下載至其個人電腦內���。所幸案發時這些數據并未流轉�。
值得關注的是���,數據安全漏洞往往帶來個人信息泄露隱患�。海淀區人民檢察院發布的一組典型案例���,披露了令人觸目驚心的細節����。
梁某某等人發現某電信運營商的服務器端口存在安全漏洞���,便對漏洞進行非法使用���,制作成程序����、工具�����,強制手機用戶跳轉訪問運營商服務器端口并反饋公民個人信息��,抓取手機號碼等公民個人信息共計130余萬條��;汪某某使用自行編寫的“撞庫”軟件���,對某科技公司用戶服務器實施“撞庫”攻擊����,僅在數小時內就“碰撞”出用戶身份認證信息177萬余組����。
“企業數據安全出了問題����,對數字經濟的影響是深遠的�����,對公民個人的影響也是長久的��。”中國電子技術標準化研究院網絡安全研究中心測評實驗室副主任何延哲說��,“個人信息數據泄露��,伴隨黑灰產業滋生��,長此以往可能難以重啟大家對數據產業領域的信任��。”
“內鬼”作案現象突出
案件背后�,暴露出部分企業內部安全管理制度不完善的問題���。
楊程告訴記者�,有的企業在事前信息獲取階段�����,就違反了數據收集的幾項原則性規定��;事中在數據存儲和傳輸方面也存在漏洞�;有的企業數據合規培訓形式化�����、使用審批流程虛設����、回收銷毀流程缺失���,這些都容易引發數據刪改�����、泄露等風險�。
這在一定程度上讓“內鬼”作案有機可乘����。海淀區人民檢察院通報的一組數據顯示��,在該院5年來辦理的數據安全犯罪案件中��,企業內部人員作案共計21件78人���,約占此類案件總數的44.7%�。
2018年6月4日���,某房產中介公司突然發現���,財務系統服務器應用程序及數據被刪除���。共9TB數據的消失���,導致公司財務系統全面癱瘓���,差點影響次日該公司全國房屋買賣傭金結算�。為了恢復數據及重新構建該系統��,公司花費18萬元����。
幕后黑手是誰��?經該公司篩查�,可以登錄財務系統并執行有關操作的員工共有5名�。公司立即約談該5名員工���,其中4人均向公司提供了工作電腦的開機賬號及密碼��,自愿接受公司檢查���。唯有韓某拒絕提供開機密碼��。公司報警后�,韓某以隱私為由拒絕向公安機關提供開機密碼�。
經查明����,“刪庫”者正是韓某���。作為公司數據庫管理員��,韓某主要負責財務系統及數據庫維護�����。因日常工作摩擦�,他對公司心生不滿�,便利用其掌握該公司財務系統管理員權限的便利�����,登錄公司財務系統�,將系統內的財務數據及相關應用程序刪除��,致使該公司財務系統徹底無法訪問���。作案后�����,韓某又利用技術知識���,將相關數據痕跡刪除以對抗偵查����。2020年11月4日�����,韓某因犯破壞計算機信息系統罪�����,獲刑7年���。
企業應提升數據安全管理能力
海淀區人民檢察院通過梳理涉企數據安全犯罪案件發現��,部分企業在日常運營中向第三方購買技術解決方案�����、軟硬件設施�����,但一些第三方自身就存在安全管理制度缺失��、從業人員良莠不齊等問題�����,導致引發數據安全新風險�����。
牛某某破壞計算機信息系統案就是一例���。牛某某所在的第三方公司負責為某金融機構開發“數據防泄露系統”����,系統功能是防止內部人員將核心數據外傳�,牛某某提前在該系統植入惡意代碼�����,致使“數據防泄露系統”無法正常工作�����,給公司造成經濟損失��。
一些犯罪分子非法獲取企業數據后�����,除銷售獲利或自行使用等情形外����,還出于惡性競爭或勒索財物等目的��,以不繳納“封口費”就在互聯網公開相關數據等“撕票”方式索取財物����,對數據權利人造成二次傷害���。
“企業亟待提升數據安全管理能力���。”何延哲指出�����,“企業首先應該采取有效的技術措施主動防范�����。但技術解決不了所有問題��,還必須構建起完善的管理機制�����。”
何延哲進一步解釋:“比如‘內鬼’作案��,通過技術監測其行為是一方面�,但如果在管理上沒有相應的處理��、監督�、審計措施����,很難保證以后內部處理數據的規范性����。”
當前�����,網絡安全法�、數據安全法���、個人信息保護法相繼出臺實施�����,構建起我國網絡信息安全的立體法律體系���。
相關法律已經非常完善�,企業需要對照法律的頂層設計完善數據合規體系���,也可以參照相關國家標準具體落實�,“國家標準相當于官方參考書�����,能夠提供更直接的指引����。”何延哲說�����。
閩公網安備
35099902000052號