互联网金融成数据安全重灾区
10月19日,乌云网发布消息称,网易的用户数据库疑似泄露,引发了与后者的口水战。而网易并不是第一个被“乌云”盯上的企业,此前,腾讯、携程、支付宝都曾登上过乌云网的“黑名单”。
10月28日,乌云网曝出百度全系的安卓APP存在安全漏洞,只要安卓设备连接网络,黑客就能远程操控,安装指定应用。随后,百度官方回应称:已经发现并确认了该漏洞,目前产品团队已经紧急修复了该漏洞。
但正如绿盟科技深圳互联网金融安全研究负责人赖东方所说的,在漏洞和数据被披露之前,影响就可能早已扩散出去了。
2011年,知名网站CSDN证实600余万用户资料被泄露,卷入其中的还有人人网、多玩网等,涉及数百万用户数据资料。而经过调查发现,此次泄露的数据信息源于2009年的黑客攻击,也就是说,这些数据“应用”早已暗中发酵了2年多的时间,而当事人却一无所知。
赖东方表示,互联网金融企业面临的问题尤为严重,因为他们目前的安全水平比银行低很多,又涉及金融类的敏感信息和敏感操作,“只要是我们检测过的平台,都发现有各种漏洞。”
根据《2014年互联网金融行业安全漏洞分析报告》不完全统计,截至2014年底,已有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空。2015年4月,乌云网也发布警示称,芝麻金融P2P网站遭遇数据库泄露,造成逾8000名用户资料泄露,涉及金额高达3000万元有余。
除了这些显而易见的损失外,大量的敏感信息流入到业内人士所称的“数据黑市”里。在这个灰色产业链条中,负责网络入侵、数据窃取、网络钓鱼、网络敲诈等各个虚拟单元以松散的形式结合。许多数据会经由“地下黑市”辗转售卖至其他国家,暴露在全球的犯罪“平台”上。
国外的企业在数据安保方面的投入一般会占到IT预算的5%~10%,国内企业一般都在5%以下。而相比于传统企业,互联网公司在某些层面对用户信息更加疏于保护。因为对于前者来说,客户信息是竞争的核心要素;而对于互联网企业来说,是利用大数据建立群体画像,所以缺乏动力去保护个体用户的信息。如滴滴出行技术副总裁、商业变现事业部总经理朱磊所说,“数据的商业价值还都没有挖掘出来,在没有产出的情况下,很多企业也就不愿意在这方面做太多的投入。”
实际上,国内的现行法律对企业提出了个人信息保护的要求,《消费者权益保护法》中规定工商局可以对此做出最高50万元的罚款,但对民事赔偿却没有一个明确的说法,如何赔,赔多少都没有规定。”
上海泛洋律师事务所高级合伙人刘春泉认为,“全国人大常委会‘关于加强网络信息保护的决定’没有对违法行为规定具体数额,换言之也就是说没有赔偿上限,与其说是一个漏洞,不如说是留给执法部门进退自如的一个手段,在这样的前提下,对那些在个人数据收集和使用上违法的行为处以天价罚款是完全合法的。”刘春泉指出。
一个可咨对比的案例就是,企业在2012年之前都把《反垄断法》视为“没有牙齿的老虎”,但经历过几次市场整顿、一些大企业接连遭遇高额反垄断罚单,用刘春泉的话说就是,“反垄断的律师是没有预算的,基本上是要多少给多少。”
“之前政府以扫黄为抓手来治理互联网企业,我认为未来很有可能将个人信息和数据安全作为抓手。”在刘春泉看来,如此将对某些企业造成致命打击。
2014年,美国零售巨头塔吉特对外界宣布,由于遭遇黑客攻击,预计多达1.1亿名用户信息被盗。此次危机对塔吉特带来了几乎“灾难性”的打击:客户大量撤逃,多起集体诉讼接连而至,股价应声下跌,最后连“业绩出色”、在塔吉特服务35年之久的CEO也不得不黯然下台,为数据泄密买单。
而对数据管理堪称“偏执”的美国运通内部人士就指出,公司对数据控制经常有一些不近人情的规定,比如在员工的内部邮件中,如果涉及到15位或者17位的连续数字,并且其中有37的组合,那么就会被系统认定为疑似卡号的问题邮件,从而提交到全球预警中心,最后只能在当事人及其部门老板都要提交相关的证据后才可以消除警告。
在刘春泉来看,国内对个人信息安全和数据侵权的法律环境会不断趋严,而这将对疏于防范的企业构成一个巨大的难关。
(梁宵)