你或你公司的數據如何被泄露、被利用,誰因此發(fā)財致富�?這個地下數據產業(yè)如何運轉、進化�,新出臺的嚴刑峻法能否將其遏制?
周末���,一篇《數據黑產調查》的深度報道悄然放出��,短短一天�,閱讀量數萬��。全篇大量真實數據與當事人的證言��,交織呈現出一個隱蔽���、繁盛��、擺不上臺面卻又暴利加身的黑產生態(tài)��,也描繪出網安法實施后�����,數據灰色交易的盛世王國如何從曾經的熙熙攘攘到現在的人心惶惶�����。
“近期確實抓得很嚴�,我周圍不少人進去了����,其中有一個人年收入十幾個億的?����!币晃粩祿缈透嬖V記者�����。2017年6月1日之后����,一群做大數據地下產業(yè)的數據采集者和數據掮客常常聚在一起討論兩條最新出臺的法規(guī),惶惶不可終日����。這篇報道揭露出太多人想說而不敢說的事實。
黑產泛濫��,內鬼猖獗成數據泄露主因
據不完全統(tǒng)計,國內個人信息泄露數達55.3億條左右���,平均每人就有四條相關的個人信息泄露�,這些信息最終的命運���,是在黑市中反復倒手�����,直至被榨干價值�,而大數據的的價值爆發(fā)�����,讓黑產看到了更大的市場���。
追究泄露源�����,事實不免讓人悲哀�,我們總是在談黑客�����、談攻擊、談病毒……然而����,一位前黑客對記者說:
80%的數據泄露是企業(yè)內鬼所為,黑客和其他方式僅占20%���。
一位從事數據交易超過十年的從業(yè)者道出了“內鬼”頻出的重要原因:由于體量龐大,外包公司和經銷商過于分散�,大型企業(yè)這樣的問題很難根治。
“過去一些運營商的數據庫內部人能直接訪問����,現在要求內外網隔離,生產庫查詢庫隔離��,堡壘機�����、數據庫審計�����,就是為了避免內鬼往外倒騰數據?!?/p>
掌握大量數據資產的企業(yè)也開始有所動作,一些運營商已經開始上馬數據安全項目���。這一點����,作為安全企業(yè)的我們更加清楚�����。近年�����,越來越多的用戶在談到自己的安全需求時���,除了老生常談的外部攻擊�����,多半還會提到防內部人員或第三方公司的數據竊取和篡改��,希望能通過第三方的數據庫安全運維工具限制運維側高權限人員的數據訪問�����。
黑客生態(tài)��,打造完整“產業(yè)鏈”
一線黑客多是學歷低下���、沒有固定工作的年輕人���,賺來的黑錢大半被“師父”拿走,而“師父”之上還有“師父”
內鬼�����、黑客�����、爬蟲以及手握數據的公司與個人之間的數據互換����,是構成地下數據交易的主要來源�����,這些數據再經過清洗、分類�����,可以從不同的渠道銷售出去��。數據用途主要是精準營銷�,也包括身份認證和詐騙。
有些黑客以“創(chuàng)業(yè)者”身份示人���,但他的另一只手仍在操縱數據地下交易的生意���,
“創(chuàng)業(yè)公司不賺錢,只有一個員工的地下數據項目����,就能養(yǎng)活有30多個人的創(chuàng)業(yè)團隊?����!彼麑τ浾哒f��。
但今年6月1日之前,他們中的有些人嗅到了危險的氣息�����,把風險較大的業(yè)務全部停掉��,清除痕跡��,戴上了“白帽子”�����。不過�����,卻不會完全放棄這攤生意����,而是將自己的數據交易公司用CRM的方式管理起來�,保證每個數據源頭都查不到任何破綻?����?尚Φ氖牵瑸榱朔乐箖裙?���,他給自己的業(yè)務也上了安全手段,將公司整個CRM系統(tǒng)重新整合�,現在即使是他也看不到客戶的手機號,所有的短信和電話都通過系統(tǒng)的內置功能來進行��。不僅如此�,所有員工的行為都會被自動記錄,哪個賬號查看了用戶資料����,哪個客服拉取的數據量高于其他人,或是搜索其他客戶經理的資料����,都會被調出來仔細排查。
黑產進化��,靠大數據公司洗白
政策法規(guī)收緊�����,傳統(tǒng)地下數據產業(yè)人士意識到���,新冒出來的大數據公司就是“簡單粗暴的暴發(fā)戶”����,“他們太有錢了,本來我們都是小作坊的模式����,他們一進來,把我們的生意全都擠沒了�����?!闭沁@些新型大數據公司的入局,打破了傳統(tǒng)的地下數據交易網絡����。它們成為數據地下世界的新人。
一位大數據公司高管表示�,哪怕是在兩三年前,地下數據交易的量都不大��,規(guī)模普遍維持在數百條信息的量級����,但隨著需求被放大�����,整個地下數據產業(yè)開始變成半公開化了。
一家2011年成立于蘇州的大數據公司����,2016年注冊用戶60萬,年營收過億元��。據地下數據產業(yè)資深人士透露���,這家公司之所以能做到數據全面且便宜原因在于其整合了大量購買數據的小渠道����,這些渠道大多不合法��。
據權威部門的人員透露����,監(jiān)管部門對非法數據交易和買賣一直都非常重視,但囿于數據價值無法量化評估����、交易過程隱蔽等問題���,之前沒有用一刀切的方式進行監(jiān)管。但隨著監(jiān)管力度加強��,一些大數據公司將迎來厄運��。據一位在地下數據產業(yè)周旋超過十年�、目前是一家大數據公司創(chuàng)業(yè)者的人士透露,有一批數據公司要完蛋��,包括新三板上市公司��,它們主要的數據渠道是黑色產業(yè)�����,一些高管已經進去了��。
政策收緊�����,風聲鶴唳���,但地下產業(yè)仍蠢蠢欲動
一位數據掮客稱:“近期確實抓得很嚴��,我周圍不少人進去了��,其中有一個人年收入十幾個億的�?��!?2017年6月1日��,《網安法》)和與之配套的《兩高個人信息司法解釋》)開始生效實施���。一群做大數據地下產業(yè)的數據采集者和數據掮客常常聚在一起討論兩條最新出臺的法規(guī),惶惶不可終日�����。
即便如此����,《網安法》之后,仍有大量渠道可以進行地下數據交易��。這個“地下黑網”日交易額可達上億元����,整體規(guī)模難以估測�����。只是由于風聲緊���,黑產從業(yè)者也改變了策略,不再大魚小蝦一網打盡�,而是謹慎行事,只接大單�。
嚴刑峻法,能否讓灰色地帶的企業(yè)收回腳
《網絡安全法》規(guī)定了企業(yè)收集個人信息必須征得用戶同意�����,否則就是違法��。配套出臺的《兩高個人信息司法解釋》則從刑法層面進一步明確了侵犯公民個人信息行為的定罪量刑標準��,為執(zhí)法掃清障礙�。
根據《網安法》,企業(yè)有責任確保其收集的個人信息的安全�����。如果用戶個人信息丟失�����,企業(yè)必須通知用戶,用戶有權追責�;所有企業(yè)都需要一個網絡安全負責人�����,此人應是創(chuàng)始人或高管等對企業(yè)有支配能力的人����。
許多數據泄露是公司內鬼或黑客所為,這種情況不可能禁絕���,但公司若有證據顯示自己已設立比較完善的數據安全管理體系�,相關刑罰就有可能減免��。
《兩高個人信息司法解釋》制定了極低的入罪門檻——非法獲取�、出售或提供行蹤軌跡信息、通信內容�����、征信信息��、財產信息50條以上的即可入罪,如果上述是公司行為��,25條即可入罪�。某專業(yè)人士認為,這意味著��,數據地下產業(yè)從業(yè)者只要被抓�,就可能被刑責。
隨著網安法的出臺��,我國在該領域不僅實現了與國際接軌���,而且懲處力度有過之而無不及�。處在這種新形勢下����,一些曾游走在灰色地帶的企業(yè)將腳收了回來。企業(yè)開始主動規(guī)范數據使用����,這是新法壓力下的重大進步。據中央網信辦網絡安全協調局負責人透露�����,《網安法》的配套法規(guī)正在抓緊制定中,包括關鍵信息基礎設施保護辦法���、個人信息和重要數據出境安全評估辦法����、個人信息安全規(guī)范等�����。
后續(xù)立法執(zhí)法將決定數據地下產業(yè)的走向��,這已是業(yè)內共識�����。
第三方安全廠商——獨立開展數據安全體系建設
“就算只有一家云服務廠商碰了客戶的數據����,我們所有人都會在客戶那里失去信任�。”
提供人才管理云服務的北森云計算CEO感慨道���。這句來自云服務商發(fā)出的無奈感慨���,證明了單靠云服務商自身數據庫安全機制無法規(guī)避用戶數據安全風險�����。想取得用戶的信任���,最好的方式是把責任交出去,引入第三方獨立安全廠商提供更安全服務���,確保數據資產所有權掌握在用戶自己手里��。
“專業(yè)的數據安全服務商”是和云服務商無利益關聯的獨立第三方���,因此在數據安全體系搭建之初就秉承著完全客觀、公正的立場����,從安全本身出發(fā)來思考問題, 提供給云上用戶一份中立�、客觀的解決方案。加上“數據安全服務商”在數據安全建設方面不管是技術沉淀����、產品價值還是經驗積累����、服務支持都具備優(yōu)勢�,具備足夠解決安全威脅的能力。這也是為什么向阿里云這樣的大型云服務商依然會選擇與安華金和等數據安全企業(yè)達成方案合作�����,而不是簡單的收購或是自己開發(fā)�����,除了技術門檻高��,更重要的是����,他們需要獨立的第三方為其云服務加持安全屬性���,而不是又做球員又做裁判�����。
實際上����,云服務商及時獲得了用戶信任,愿意將數據和業(yè)務放在云平臺上����,其自身商業(yè)數據同樣需要保護,面臨與用戶同樣的安全需求����。目前看來,將安全交給第三方將成為一個主流的趨勢�,至少安華金和看到,國內外各大主流云平臺正在與我們接觸和合作���,而我們也很樂于將多年積累的能力與云平臺結合����,未來數據在哪����,安全就在哪。
后記:
中央網信辦網絡安全協調局負責人近期透露����,《網安法》的配套法規(guī)正在抓緊制定中�����,包括關鍵信息基礎設施保護辦法���、個人信息和重要數據出境安全評估辦法、網絡關鍵設備�、網絡安全專用產品目錄和個人信息安全規(guī)范等。
業(yè)內共識���,后續(xù)立法執(zhí)法將決定數據地下產業(yè)的走向�。一位大型互聯網公司法務人士告訴《財經》記者�����,目前的立法大方向兼顧技術商業(yè)創(chuàng)新和用戶利益��,缺點是“不細”��。一位仍然游走在灰色地帶的人則告訴《財經》記者:“我們都在等新法后的第一個大案����,看看怎么判?!?/p>
產品咨詢:4000 258 365 
