最近一段時間,多起電信詐騙案成為社會關注的焦點。由于多名即將升入大學的大學生因為電信詐騙被騙光學費而離世,引發巨大的社會輿論。這一方面反映出當前個人用戶信息泄露問題已經非常嚴重,另一方面更凸顯出掌握用戶信息部門在管理上存在漏洞。
山東徐玉玉電信詐騙案終于在近日成功告破。很多媒體也都對電信詐騙背后的黑色產業鏈進行了密集式的調查和曝光,然而,還是有很多電信詐騙案仍然在全國發生著。在這些電信詐騙案中,騙子們的手中不僅有個人用戶的電話號碼,有的甚至還有銀行卡信息、近期網購消費信息、家庭信息等等個人信息資料,而這些個人信息已經成為明碼標價的商品被公開銷售。
理論上講,個人信息應該安全地躺在企業、有關公共服務部門的數據庫當中。但不幸的是,個人信息已經通過各種渠道被泄露。在獵豹移動安全專家李鐵軍看來,你可以默認自己的信息已經被泄露。
個人信息可默認已被泄露
“你可以默認自己的信息已經被泄露。包括身份證、銀行卡、手機號、郵箱等關鍵信息,都可以默認已經在攻擊者的數據庫中。”李鐵軍在接受《中國經營報》記者采訪時表示。
一份來自《騰訊2016年第二季度反電信網絡詐騙大數據報告》披露的數據顯示,2016年第二季度,全國共接用戶標記超4.6億條詐騙電話,收到詐騙短信人數3億人次,騙子們一個季度撥出電話18.8億次。根據中國互聯網協會在6月份發布的《2016中國網民權益保護調查報告》顯示,上半年,我國網民平均每周收到垃圾郵件18.9封、垃圾短信20.6條、騷擾電話21.3個??梢院敛豢鋸埖卣f,幾乎每個人都曾經收到過垃圾短信、電話,或者是詐騙短信、電話。
個人信息一般是怎么被泄露出去的?據介紹,個人信息的泄露主要包括兩方面的原因,一方面是用戶個人原因導致信息泄露,但更主要的原因是因為公共服務信息出現問題,導致大規模信息泄露。
在互聯網產生之前,個人信息數據大多是以紙質檔案的形式存放在醫療、教育、衛生、住房等公共服務部門?;ヂ摼W時代的到來,各類數據從紙質存放轉變為以數據的形式存放在互聯網上,與傳統形式相比,互聯網的形式更為方便、快捷、環保,但同時存在更嚴重的安全隱患。
互聯網時代的到來,每個人的生活似乎都難以離開這張網。“通信、購物、住房、社交、出行等等,幾乎現實生活的方方面面都會產生信息映射到網絡空間,另外行政辦事需要填很多個人信息的表格,這些都可能是泄露個人信息的渠道。”中國電子信息產業發展研究院政策法規研究所副所長欒群告訴記者。
那么個人信息如何從這些渠道被泄露出去?李鐵軍向記者解釋道,一方面是技術原因,比如信息系統存在安全方面的漏洞,安全漏洞被黑客入侵造成存儲管理的數據泄露;另一方面是管理原因,一些掌握個人信息數據的人可能會販賣這些數據;此外也存在一些掌握個人信息數據的人,由于信息安全意識薄弱,無意識地泄露他人信息。
另外,一些因為歷史原因遺漏下來的制度,比如助學金公示制度也在泄露個人信息。某高校大學生表示,學校會將獲得助學金學生的個人詳細信息以及家庭信息直接放在校園網站或者貼在學校公示牌上。
安全運維成本高,企業投入不足
據媒體報道,獲取一個“沒有賣過”的一手學生數據只要1~2元/條。而本報記者采訪了解到,要保護這樣的個人信息數據每年就需要花費上千萬元。巨額的安全成本壓力是否是數據泄露的重要原因之一呢?
從技術層面來看,存放萬千用戶個人信息的數據應該被安全地存放在有關部門、相關企業的核心數據庫中,并不是一般人就能夠訪問、接觸并拷貝的。但從目前個人信息被大量泄漏的現狀來看,由于管理者對信息安全認識不足,不少存放用戶個人信息的數據庫存在安全漏洞。
李鐵軍告訴記者,一般而言,通過外部互聯網環境能夠直接訪問到內部數據,并可以把內部數據拷貝下來,屬于高危漏洞。“理論上,用戶數據存放在內部服務器上,并不允許外部訪問。如果系統存在安全漏洞,一些人就可以通過技術手段訪問到。”
在業內人士看來,系統的安全運維成本完全不亞于系統的建立成本。由于黑色產業鏈發展非常迅速,他們會對系統存在漏洞的薄弱環節進行攻擊以獲取相關數據信息,而企業安全維護則需要修護漏洞與之對抗。一位從事國內大型快遞企業信息平臺技術建設的人士告訴記者:“安全運維需要持續的投入,我們每年在這方面的投入都是幾千萬元。”
一個系統建立好之后,除了日常內容運營的維護以外,安全維護是不可分割的一部分。凡是軟件系統都存在有漏洞的可能,并且需要在不斷的運營當中發現存在一些普通漏洞、高危漏洞并予以修補。
“目前存在的一個問題就是管理人員的安全意識不足,一些學校、企業、事業單位認為買了一些安全軟件以后安全問題就解決了,其實是需要專業的安全人員對系統進行動態維護。”李鐵軍說道。安全運維的金錢和人力成本都非常高。現在一些企業是自己內部有專門的安全運維人員,但多數情況下是外包給第三方公司,而這些外包公司很多在系統建設上、系統提升上未必有高深的安全方面的能力。“總體而言,目前安全運維人才非常短缺。”