对个人隐私不敏感?越来越多的机构和企业说不

新华社北京8月27日电(记者王晓洁、王君璐、舒静)曾引起广泛关注的“隐私与效率”之争,正逐渐形成共识:越来越多的机构与企业对公民隐私保护更加重视。

8月21日至23日召开的2019北京互联网安全大会公布的一组数据显示,网络安全产业规模迅速扩大,企业级终端安全软件装机量破亿;过去一年间,网络安全人才的需求猛增3倍。

政企安全防护升级,人才需求一年增长3倍

与会的赛迪智库网络安全研究所所长刘权指出,近年来,各行各业更加重视网络安全和信息保护,网络安全产业得到前所未有的发展。

在政府层面,越来越多的政府使用了网络安全运营平台。大会发布的《2019大中型政企机构网络安全建设发展趋势研究报告》显示,48.5%的部委机关和56.3%的中央企业已经部署使用了安全运营中心。安全事件的平均响应时间从3年前的平均3天左右,降低到现在1小时以内。

在企业层面,普遍加强了安全防火墙建设。上述报告显示,企业级终端安全软件装机量快速增长。2019年上半年,装机量已达1.05亿台,远远高于2016年的6189万台。越来越多的企业引入源代码安全审计,这一工作可节约5%至20%的后期安全维护费用,减少10%至50%的系统安全漏洞,大大降低了隐私泄露风险。

网络威胁情报逐步成为企业安全防御标配。报告指出,超过80%的受访者认为威胁情报提升了安全能力。

在政府和企业的共同努力下,网络安全建设成效明显。系统安全漏洞修复平均周期已大幅缩短,从2016年的35天下降到现在的16天。

人才需求猛增,印证了网络安全产业发展之快。根据大会上智联招聘的网络安全人才大数据显示,2019年6月网络安全人才市场需求的规模达到2016年1月需求的24.6倍,相比2018年7月增长了3倍。

专家提醒警惕隐私数据泄露三大渠道

大会召开期间,5G发展与安全论坛、网络安全人才论坛、电子取证技术与发展论坛等多个分论坛,纷纷探讨了个人隐私相关问题。专家表示,如今公民个人隐私大量存在于政企平台,其保护面临着严峻挑战。

隐私数据是通过哪些渠道泄露的?与会的网络安全专家、中国工程院院士邬贺铨表示,一方面,一些互联网公司的App越权收集用户信息,侵犯了个人隐私权;另一方面,一些合法利用用户个人信息的公司,没有做好信息保护工作,导致个人信息大量泄露。

个人隐私泄露究竟有多猖獗?“新华视点”记者做了一个小测试。在搜索引擎键入“个人信息买卖”“私家侦探”等关键词,就能看到不少关于信息贩卖的内容。记者找到一家私家侦探公司,客服人员表示,只要记者给出手机号和身份证号,他就可以在5天内查到该号码的通话记录和2年内开房记录,开房记录查询价为4200元。

这只是公民信息泄露乱象的冰山一角。参加大会的奇安信行业安全研究中心主任裴智勇表示,除了部分网络公司越权收集用户数据,网络攻击、内鬼窃取、工作人员操作失误是个人信息泄露最主要的三大原因。

首先,网络漏洞被黑客攻击,隐私信息批量流出。去年6月,视频播放网站A站自曝遭遇黑客攻击,数据库近千万条用户数据泄露。

国家互联网应急中心近日公布的《2019年上半年我国互联网网络安全态势》显示,今年初,在我国境内大量使用的MongoDB、Elasticsearch数据库存在严重安全漏洞,访问者无需权限验证即可通过默认端口本地或远程访问数据库并进行任意增、删、改、查等操作,信息泄露风险严峻。

其次,在高额利益引诱下,部分机构内部人员非法获取公司数据贩卖。2017年,四川警方侦破一起新生婴儿信息倒卖案,发现是某社区卫生服务中心工作人员徐某利用职务之便,掌握该市妇幼信息管理系统市级权限账号密码,非法下载新生婴儿数据50余万条,贩卖数万条。

第三,由于企业工作人员缺乏安全和风险评估能力,导致无意识的错误操作引起信息泄露。

误发送邮件、权限设置错误和服务器配置不当等误操作都可能导致数据泄露。奇安信针对2018年全球重大数据泄露事件进行统计分析后发现,11.1%的事件是由于配置错误或操作不当导致的。奇安信就曾发现某健康App的服务器没有设置密码,任何人都能够查看登录者状况和发送的消息内容。

专家建议严厉打击数据黑产,夯实数据管理法律基础

公民隐私被严重侵犯以及多行业个人信息数据非法暴露在互联网中,反映了我国数据安全管理仍存在薄弱环节。业内人士表示,打击数据黑产,重在企业自身“强身健体”,同时还要健全法制保障,并建立各部门协同治理的机制。

政企机构应进一步加强网络安全防护能力。邬贺铨表示,仍有大量企业缺乏安全观念,内外网不隔离、员工私自登录高危网站、忽视漏洞检测与修复等,将机构暴露在黑客攻击目标之中。“黑客容易上手,很大程度上是由于企业安全意识不强导致的安全能力欠缺。”邬贺铨说。

其次,应加强源头端数据权限管理。针对学校、政府机关、快递公司、电商等信息泄露案例高发领域,应建立有效的数据管理机制,将系统权限和数据获取记录集中管理,并增加预警。

思科安全业务集团首席技术官布莱特·哈特曼表示,网络服务牵涉太多环节,包括云服务、应用、数据库等,必须建立有协同的架构体系才能提升网络安全,应对充满不确定性的威胁。

此外,尽快夯实数据管理的法律基础。与会的中国通信学会网络空间安全战略与法律委员会副主任敬云川表示,值得期待的是,个人信息保护法和数据安全法都已列入立法规划。他建议,未来法律对数据的属性、数据持有者的权利、义务应作出进一步详细规定,并平衡市场发展与个人信息保护的关系。