企业缺乏重视 数据库未加密较为常见

日期:02-22
数据库数据泄露

来源:每日经济新闻

每经记者 张虹蕾 宗旭每经编辑 徐 斐

一石激起千层浪。深圳市深网视界科技有限公司(以下简称深网视界)被指数据泄露之后,数据安全再次成为业界关注的焦点。

而在刚刚过去的2018年,Facebook数据泄漏事件,引发了人们对数据隐私和人工智能技术信任机制的讨论热潮。3亿条快递物流数据被人在暗网兜售以及华住集团5亿条公民个人信息被泄露等事件也备受业界关注。

据外媒相关报道,此次深网视界数据库暴露的原因是深网视界未能用密码保护该数据库,而该数据库在线可供任何人查找。云和恩墨董事长盖国强对《每日经济新闻》记者表示,行业内数据库不设置密码的情况并不鲜见,但是后续需要企业的运维去加强管理,深网视界数据泄露原因之一可能是缺乏数据库管理维护。

数据库时常“裸奔”

数据安全话题永远不会过时,美国电信巨头Verizon在《2018年数据泄露调查报告》中表示,黑客、恶意软件和社交攻击(如网络钓鱼)等是过去一年中最多的安全违规事件。结合近年发生的数据泄露事件,阿里云安全专家易鑫曾发文指出企业在数据安全管理中的几个误区,其中不仅包括管理者对业务系统存在的漏洞和安全风险心存侥幸,还包括敏感数据字段未进行加密,一旦泄露就是明文数据。

《每日经济新闻》记者在与盖国强交流时得知,行业内数据库不设置密码的情况较为常见。

“数据库,尤其是一些开源数据库的早期版本,没有设置密码,这是非常常见的。比如,微信跟手机绑定之后,不需要密码,通过手机号就可以登陆,好多数据库都是这样。但是后续需要企业的运维去加强管理。”盖国强表示,“深网视界可能就是在这方面出了问题,既没有设置密码,也没有DBA(数据库管理员)去维护。”

盖国强认为,成熟的技术人员不应该把数据库直接暴露在公网上。“如果放在服务器的后端,别人扫描不到,也就登陆不了,相对安全。像Oracle这样成熟的商业数据库就不会轻易暴露,口令认证、身份认证也比较完整。”

事实上,因未设置数据库密码而造成数据泄露的案件并非孤例。不久前,国际网络安全咨询公司HackenProof的网络风险研究主管Bob Diachenko在推特上爆料,称在互联网上发现了一个未受保护的“MongoDB”数据库,里面泄露了超过2.02亿中国公民的个人信息,其中详细记录了大量的个人隐私内容。这座数据金库“裸奔”近一周时间,期间至少被十几个IP访问过。

企业对部分用户数据缺乏重视

随着互联网以及相关技术的发展,大数据的影响力已经渗透到日常生活中的各个方面,公众对于数据安全问题的焦虑也日渐增加。实际上,数据一旦被存储,就会有泄露的可能性,企业也无法绝对避免此类事情的发生。但有不少数据泄露事件,是企业不够重视、操作不规范造成的。

就拿开源数据库来说,由于本身免费,很多企业并没有用它来承载关键的核心数据。“比如人脸识别方面的数据,对用户来说,隐私非常重要,但是对公司来说,这些数据可能并不重要。”盖国强说道。

事实上,盖国强提到的“数据重要性”是与企业的业务场景以及可能对用户造成的损失相互关联的。银行数据丢失或者被篡改将会直接影响用户资产,但人脸识别数据被泄露后,很难衡量其对用户造成的直接损失。在未与直接经济损失挂钩的情况下,企业通常不会重视这部分数据的保护。

数据泄露不仅给人们带来安全担忧,也给涉事公司的业绩带来不利影响。天风证券2019年初评价称,Facebook隐私风波不断使管理层信用遭遇巨大考验,丑闻频出,从“用户隐私折价”衍生到的“管理层信用折价”令人失望,业绩增速在近两季度从原有40%以上降至接近30%。

2018年7月份,由IBM发起、Ponemon独立调查的《2018年度数据泄露成本分析报告》显示,数据泄露的平均成本从2017年的362万美元上升到386万美元,平均每条失窃记录的成本从2017年的141美元上升到148美元,而未来两年发生重大数据泄露的可能性也略有上升。此外,事件应急响应团队能够挽回的成本约为平均每条记录14美元。

西南政法大学副教授蔡斐此前在媒体上发表评论称,在个人与企业的“结构性不平等”中,企业不能以简单的个人信息协议作为用户信息保护合法合规的基础,而是应当深切认识到随着经营能力扩张,法律责任或是社会责任都将随之出现扩张。

个人敏感数据保护意识提升

对于数据保护和网络安全,业界有过不少研究。中国信通院发布的《互联网法律白皮书(2018年)》显示,全球范围内,当前网络安全形势日益严峻,勒索、网络盗窃、银行诈骗、网络间谍和破坏互联网服务等网络安全事件数量激增。各国对网络的高度依赖与网络安全的极度脆弱两者间的矛盾十分突出。

“所以,最终要靠什么?最终的解决方案要靠政策性法规的强制规定。”作为安全行业多年的从业人员,盖国强感受颇深,他认为,未来数据安全性的提升,很大层面上要基于国家的立法。

《每日经济新闻》记者发现,过去一年,我国不断完善个人信息相关规范。2018年8月27日,民法典各分编草案提请十三届全国人大常委会第五次会议审议,草案进一步强化对隐私权和个人信息的保护。2018年9月10日,个人信息保护法被列入十三届全国人大常委会立法规划。2018年11月30日,公安部发布《互联网个人信息安全保护指引(征求意见稿)》。

不过,上述白皮书提到,目前,大多数国家并未制定统一的网络安全基本法。在这一领域,亚洲国家进展相对较快,日本和新加坡推进和完善网络安全基本立法进程。

另一方面,欧美国家的相关法规也有一定借鉴意义。欧盟制定的《通用数据保护条例》(即GDPR,General Data Protection Regulations)规定,任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。

在GDPR生效后,欧洲监管机构发起的最引人注目的调查与Facebook有关。2018年9月,Facebook宣布遭遇有史以来最大的一次黑客攻击,但是直到两个月后,Facebook才向其欧洲监管机构报告了数百万用户照片被泄露的信息。由于用户数据被泄露以及多项违规行为,根据GDPR相关规定,Facebook可能面临最高16亿美元的罚款。

信达证券相关研报显示,由于用户信息泄露事件的频繁发生,用户对于个人敏感数据的保护也愈加重视,对企业而言,获取用户数据将变得更为困难,因此有价值数据的垄断程度也将有所提升。

此外,上述研报提道,数据泄露事件或在短期内对大数据产业产生一定基于对数据滥用的担忧,但长期来看,将促进大数据使用规划化、制度化,促进国内关键领域数据采集和使用的自主可控,从而利好国内大数据产业的长期发展。

联想第三财季同比扭亏 股价飙升12%至三年来最高 杨永信网戒中心关停 法律上还需有个说法
相关阅读: