招行信息泄露事件、蠕虫病毒全球爆发、通讯信息诈骗频抬头……多个关键行业信息安全事件频发,因涉及的个人信息“含金量”高造成了不可估量的影响。揭开信息泄漏的神秘面纱,除了网站漏洞之外,行业“内鬼”等人为泄露因素,以及背后贩卖信息黑色产业链更是不容忽视。《网络安全法》6月起正式实施,法律“防火墙”正在加紧筑牢,但强化事后监管的同时,事前防控更要跟上。
关键行业信息安全事件频发
随着互联网的愈发便捷,信息安全正成为日益严峻的命题。2016年,全国公安机关共侦破网络侵犯公民个人信息案件数量是2100多起,查获公民个人信息500多亿条,抓获的犯罪嫌疑人5000多人。
而关键行业信息安全事件频发,因涉及的个人信息“含金量”高更是造成了巨大影响。
今年5月,全球互联网爆发了一场大规模病毒感染事件,一款勒索比特币的文件加私密钥病毒软件迅速在全球蔓延,24小时内便席卷了全球99个国家,累计波及150多个国家的数十万台电脑。据360威胁情报中心监测,我国至少有29372个机构IP遭到攻击,多个关键信息基础设施领域的企事业单位“中招”,遍布能源、交通、医疗、教育科研等各大领域。
金融业成为信息泄露的“重灾区”。今年端午节前夕,招商银行被曝网银出现严重漏洞:有网友登录招商银行专业版网银进入修改联系信息页面时,弹出了“系统LU层异常”对话框,页面则显示了他人的所有详细信息,包括“性别、电子邮箱、常住地址、单位名称、单位地址、单位邮编、单位电话,和部分打了码的银行预留手机号”。实际上,招商银行遭客户质疑信息泄露早有“前科”,这类事件在金融界也不鲜见。据江苏省消协4月发布的江苏省银行消费服务问题报告显示,33.66%的客户在办理借记卡相关业务时遇到了个人注册信息泄露问题,部分客户办完卡后一两天内就接到推销理财产品等骚扰电话。
教育系统也是信息泄漏的高发领域。又到一年一度高考季,犹记去年此时,山东“徐玉玉案”等一系列准大学生遭遇通讯信息诈骗事件举国关注,学费被卷走、花季生命凋零的背后,是个人隐私泄漏酿的祸。
“内鬼”难防、集体在战斗
本是极为私密的信息怎么就被捅破了天窗?
漏洞成为网络空间最大的安全隐患之一。此次勒索病毒攻击,就是其利用泄露了的网络武器库中“永恒之蓝”这个漏洞发起的。这也是美国国家安全局网络武器库泄露后,首个利用漏洞进行网络攻击的全球性事件。
“最坚固的堡垒都是从内部攻破的”。行业“内鬼”依靠职业便利,把贩卖个人信息做成了生意,让人防不胜防。据统计,2016年,全国公安机关共抓获银行、教育、工商、电信、快递、证券、电商网站等行业“内鬼”391人、黑客98人。
任何一起信息泄露的发生都不是“一个人战斗”。当前我国贩卖信息黑色产业链已成规模,不仅人数众多,而且分工明确,涵盖开发制作、批发零售、诈骗实施和分赃销赃等不同环节,“黑色年产值”巨大。
频发的信息安全事件给所有公共服务部门敲响了警钟,筑牢法律“防火墙”迫在眉睫。
于6月1日起正式实施的《网络安全法》作为我国第一部网络安全的专门性综合性立法,提出了应对网络安全挑战这一全球性问题的中国方案,不仅将关键信息基础设施安全保护上升至前所未有的高度,还明确了网络运营者和个人对于信息泄露的责任。诚然,加强事后监管的惩治力度无疑将有助于遏制犯罪势头,但如何实现精准打击,还有赖于法律细则的出台、有效执行、跨部门合作机制等方面的进一步疏通。
而5月初发布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,则体现了对“内鬼”侵犯公民个人信息犯罪从重处罚的精神。但具体到执法中,查处行业“内鬼”的难度与阻力仍不可小视,如何确定源头泄露者、牵涉到公共部门的“内鬼”查处能否突破阻力,仍需考量。
事后监管与事前防控缺一不可
对于整治信息泄漏,进一步完善相关法律法规、强化侦查打击、持续保持高压震慑态势,“追源头、摧平台、断链条”,已成共识。不过,“魔高一尺,道高一丈”,要把好信息保护这道关,光有事后监管远远不够。有专家认为,相关机构当前网络安全的防护重点应该从传统的“消极防御”转向实时动态监测和快速响应,变被动为主动智能安全运营,实现“事前防范、主动应对、智能运营”,把危险御于“大门之外”。
事前防控当如何着手?一方面,“以子之矛,攻子之盾”,要善用大数据,以精准锁定犯罪分子、犯罪嫌疑人。同时,进一步完善信息技术制度建设,建立信息技术常态化培训机制,精细化信息技术管理,确保关键领域信息系统安全稳定运行。
另一方面,加强企业安全意识和公民信息安全意识。企业应通过制度强化内鬼所在单位的管理责任,杜绝监守自盗。对于群众,要强化宣传引导,通过剖析典型案例、宣传法律法规,警示其提高自我防范意识。
此外,相关部门要畅通发现犯罪分子的渠道,比如消费者到消协、工商部门、网信办的投诉,都是事先洞察犯罪的有效通道,在此基础上建立起与其他相关部门互相衔接的信息网络。
本文转自d1net(转载)