大数据产业创新服务媒体
——聚焦数据 · 改变商业
早上晨练遇到前同事小李,得知他已经做了几个月的电话销售,公司每周给他一个普通电话号码表,他按照电话列表逐个推销公司的业务,成交了就可以拿提成。每天海底捞针般寻找目标客户,让他的嗓子变得沙哑。他说有个办法可以更快成交,就是拿个人的钱向公司购买电话号码,每条电话号码20到50元不等,推销成功率会更大些。简单聊了几句他就忙着上班打电话去了,而我也没有继续晨练,却对那些电话从何而来产生了浓厚兴趣。很显然,他所在的公司并不是电信移动联通,那么这些源源不断的电话号码从何而来?毫无疑问,这是公众个人的电信息源被泄露了。
2020年注定是一个不平凡的年份,几乎每个人都遇到了两场攻击:一个是来自自然界的新冠病毒,目前已接近尾声;另一个是来自互联网的数据泄露,虽然这个攻击一直存在,但今年似乎更严峻。根据安全公司Risk Based Security的研究,2020年全球泄露数据总数达360亿,是有数据泄露记录以来最糟糕的一年。
“在移动互联网时代,数据泄露的后果,远不止个人数据被滥用、遭受灰黑产诈骗这么简单,攻击者已经可以做到让生产中断、医院关闭;工厂会直接因网络攻击,导致出现重大经济损失甚至发生安全事故;科技公司也有可能一夜间,所有的利润被薅走,血本无归。”360集团副总裁、首席安全官杜跃进曾说道。
丨遭遇新情况:新冠疫情让公众消费从线下基本转入线上,客观上更容易出现数据泄露
自疫情爆发以来,面对疫情,喊着“坐在家里就是做贡献”的我们,不得不通过智能手机购买生活必需品、外卖,也在一直追剧、频繁出入各种社交平台……当我们还在庆幸可以在网上更加便利生活的时候,我们在网络上的任何足迹也无一遗漏地留给了互联网公司。
我们与各个互联网公司打交道的平台,多数就是他们的App。这些App五花八门、各式各样,但有个共同点就是,如果要使用,就必须同意他们的各种要求,比如提供地理位置、访问通讯录、访问存储图片等等看似很不合理的要求(明明就是要个外卖,看我的通讯录干嘛?)。
移动互联网是把双刃剑。在本就缺乏个人网络防护意识的移动互联网时代,这突如其来的疫情,让我们在享受技术便利的同时,每个人几乎都在网上裸奔。你的年龄、性别、职业、家庭收入等自然属性和社会交往、兴趣爱好、媒体接触、地理位置、购买意向等社会属性,都将无偿或部分有偿地展示给服务你的互联网公司,然后他们利用大数据、人工智能等新技术,建立更加精准的销售模型,便于他们更好地服务你。曾有人戏称,也许你的家人、朋友还不如你常用的App了解你。但这种便利是以数据泄露存在隐患为代价的。天下没有免费的午餐。此外,其他带有公益性质的互联网公司,如通信运营商、人脸识别厂商等,也因大量存储公众数据而面临数据频被泄露的境地。
丨出现新问题:每个互联网公司都是大数据的“蓄水池”,疫情下“堤坝”坚固与否决定了数据是否泄露及泄露多少
两千多年前,孔子站在高山之巅,望着奔腾不息的河流,发出“逝者如斯夫,不舍昼夜”的感叹,如果他面对当今的大数据洪流,相信也会有同样的感叹。
问题在于,每天数以亿计的数据穿梭在各个App上,一个个互联网公司就成了大数据的“蓄水池”。如果池堤牢固,也许公众的数据会得到安全保障,但这些年泄露数据的国内外互联网公司,此起彼伏,特别是今年全球遭遇新冠疫情之际,更是到处出现数据“管涌”外泄。
2020年7月,IBM Security发布《2020年数据泄露成本报告》,对全球500多个组织数据泄露的深入分析发现,有80%的事件导致了客户个人身份信息暴露。这些数据不仅包括窃取的数据,还包括基于云的错误配置,这些错误配置可能危及公众个人信息。
同时,如果数据平台依赖第三方提供商的数据,那么,数据安全的强度只取决于这个链条中最薄弱的一环,即一家公司的漏洞可能危及所有公司。据外媒报道,为Hotels.com、Booking.com和Expedia提供酒店预订平台的Prestige Software公司在亚马逊网络服务S3中泄露了“数百万”客人的数据,这1000多万份日志文件可以追溯到2013年,包括姓名、信用卡信息、身份证号码和预订信息,可能导致信用卡欺诈、身份盗窃和网络钓鱼等犯罪。
另外,相对于其它数据泄露而言,始于国外的攻击导致的数据泄露成本最高。IBM Security发布《2020年数据泄露成本报告》指出,由国家资助的互联网攻击造成的数据泄露事件平均成本为443万美元,高过出于经济动机的网络犯罪分子和黑客造成的数据泄露事件成本。互联网的安全也是国家安全的重要组成部分,掌握公众大量数据的互联网公司受到攻击便不足为奇。
丨期待新转变:互联网公司必须适应移动互联网时代下的数据运营环境,更加注重数据安全
疫情期间,随着大量线下消费转向线上,互联网上的公众个人数据量更是几何级增长,这给各个互联网公司的网络安全保护团队和数据存储平台带来的压力可想而知。在国内疫情得到有效控制后,这些互联网公司对人员和技术的升级势在必行。为了确保公众的数据安全,互联网公司不仅需要高度的行业自律,更需要严格的外在他律。
磨刀不误砍柴工。IBM Security发布《2020年数据泄露成本报告》指出,人工智能、机器学习、分析和其他形式的安全自动化技术使得完全部署了安全自动化技术的公司对数据泄露的响应速度比尚未部署安全自动化的公司要快27%以上,后者平均需多出74天才能识别并遏制数据泄露。
同时,无论任何时候,互联网技术服务的深化与拓展,都不能以侵犯用户隐私为前提和目的,存储用户隐私数据的机构更不能不为泄露用户数据而担责。IBM Security发布《2020年数据泄露成本报告》指出,在购买了网络保险的组织中,有51%的组织将索赔用于支付第三方咨询费和律师费,而36%的组织将其用于受害者的赔偿。这个比率应该进行扩大,不能让互联网公司无责或者轻责使用公众数据。只有时刻让各互联网公司认识到头顶的数据安全达摩克利斯之剑,才能增强他们的数据安全主动性,降低数据泄露几率和范围,至少在索取用户信息时不要那么轻易。
今年3月份,工信部发文称,针对媒体报道的新浪微博因用户查询接口被恶意调用导致App数据泄露问题,工业和信息化部网络安全管理局对新浪微博相关负责人进行了问询约谈,要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求,对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》进一步采取有效措施,消除数据安全隐患。对此,新浪微博表示,公司高度重视数据安全和个人信息保护,针对此次事件已采取了升级接口安全策略等措施,后续将按照工信部要求,落实企业数据安全主体责任,切实做好用户个人信息保护工作。无独有偶。今年10月份,Facebook与英国数据保护机构达成和解,同意支付50万英镑(约合64.3万美元)的赔偿金,以对该公司去年3月份的信息泄露负责。11月份,因遭受网络攻击使客户个人数据大批泄露的万豪国际集团,收到了英国隐私监管机构开具的 1840 万英镑(约合人民币1. 59亿元)巨额罚单。
此外,互联网从业人员的职业道德也需要得到加强。比如英特尔在被窃取20GB机密芯片工程数据后认为,“这些信息似乎是来自英特尔资源和设计中心,那里存放着供我们的客户、合作伙伴和其他注册访问的外部各方使用的信息,我们认为,是有权限的个人下载并分享了这些数据。”像我们这样的普通用户,只有使用的权利,哪有进入数据库的权限。所以,“有权限的个人”更大的可能是英特尔内部员工。“家贼难防”在国外公司同样存在。
最后,作为普通公众,做好互联网安全的首要工作就是管好自己的账号密码,密码要设置复杂、避免重复使用,做好个人上网信息安全防护。这也是移动互联网时代的公民必备素质。据IBM Security发布《2020年数据泄露成本报告》反映,因密码凭证被盗或受攻击以及云配置错误是导致恶意数据泄露事件的最常见原因,占比近40%。据卡内基梅隆大学安全与隐私研究所(CyLab)最近发表的研究显示,只有大约三分之一的用户会在数据泄露后更改密码。可见,公众个人的“数据篱笆”是否扎牢,很大程度上还是取决于公众个人。
文:赵长春/数据猿
—— / END / ——
以下内容更精彩
︾
2019数据猿年度金猿榜:
●2019大数据产业趋势人物榜TOP 10
●2019大数据产业创新服务企业榜TOP 15
●2019大数据产业创新服务产品榜TOP 40
2020数据猿《#榜样的力量#寻找新冠战“疫”,中国数据智能产业先锋力量》大型公益主题策划活动:
●《新冠战“疫”——中国数据智能产业最具社会责任感企业》榜
●《看过大佬们发的朋友圈之后,我相信:明天会更好,明年定会春暖花开》条漫