企業數據安全“烏云”密布：難以估量的“未來”危機

數據安全正在將越來越多的企業推向風口浪尖。

10月19日，烏云網發布消息稱，網易的用戶數據庫疑似泄露，引發了與后者的口水戰。而網易并不是第一個被“烏云”盯上的企業，此前，騰訊、攜程、支付寶都曾登上過烏云網的“黑名單”。

在業內人士看來，這些已然暴露出來的問題還只是冰山一角，更多企業的數據泄露還處于秘而不宣的狀態；實際上的數據安全威脅無孔不入，甚至連專業的安保機構都表示“損失已經難以彌補”。

“這些泄露的數據大量流入數據黑市，造成了用戶安全、企業安全甚至國家安全方面的連鎖反應，但是國內企業在經營狀況、預算、意識等方面的問題，在數據安全這方面的投入還遠遠不夠。”亞信安全業務發展總監童寧對《中國經營報》記者表示。

而對于很多企業而言，數據安全保護是基于一個投入產出比的商業考量。但無疑，未來日益趨嚴的法律環境以及可能帶來的巨額賠償會讓他們重新思考這個天平兩端的籌碼。

潛滋暗長的數據“黑市”

數據安全事件正在接連爆發。網易郵箱所引發的爭執尚沒有平息，互聯網巨頭百度又步其后塵。

10月28日，烏云網曝出百度全系的安卓APP存在安全漏洞，只要安卓設備連接網絡，黑客就能對設備實現遠程操控，安裝指定應用。隨后，百度官方回應稱：已經發現并確認了該漏洞，目前產品團隊已經緊急修復了該漏洞。

盡管事后補救是必要之舉，卻無法彌補損失。就像潘多拉的盒子一樣，系統漏洞一旦產生，災難就已經無可遏制地廣泛散播了。正如綠盟科技深圳互聯網金融安全研究負責人賴東方所說的，在漏洞和數據被披露之前，影響就可能早已擴散出去了。

2011年，知名網站CSDN證實600余萬用戶資料被泄露，卷入其中的還有人人網、多玩網等，涉及數百萬用戶數據資料。而經過調查發現，此次泄露的數據信息源于2009年的黑客攻擊，也就是說，這些數據“應用”早已暗中發酵了2年多的時間，而當事人卻一無所知。

烏云網創始人方小頓（劍心）曾公開指出，互聯網模式下企業內部IT系統一打開，外面就是一群狼。事實也確實如此，童寧就指出，那些黑客以每天不間斷的方式長期，甚至貼身對企業進行系統攻擊，這種情況在國際大型金融公司已司空見慣。

“具有商業價值，尤其是掌握大量用戶信息的，比如一些互聯網巨頭和使用率極高的在線公眾平臺，更加容易遭遇黑客攻擊”，賴東方說，互聯網金融企業面臨的問題尤為嚴重，因為他們目前的安全水平比銀行低很多，又涉及金融類的敏感信息和敏感操作，“只要是我們檢測過的平臺，都發現有各種漏洞。”

根據《2014年互聯網金融行業安全漏洞分析報告》不完全統計，截至2014年底，已有近165家P2P平臺由于黑客攻擊造成系統癱瘓、數據被惡意篡改、資金被洗劫一空。2015年4月，烏云網也發布警示稱，芝麻金融P2P網站遭遇數據庫泄露，造成逾8000名用戶資料泄露，涉及金額高達3000萬元有余。

除了這些顯而易見的損失外，大量的敏感信息流入到業內人士所稱的“數據黑市”里。據賴東方了解，在這個灰色產業鏈條中，負責網絡入侵、數據竊取、網絡釣魚、網絡敲詐等各個虛擬單元以松散的形式結合，他們大多不使用實名，而以網絡代號相稱。

這些數據“黑手”就像是在暗中靜候時機撲向獵物，攻其不備。比如一些黑客即便竊取到用戶的賬戶數據，但并不會馬上盜取，而要守株待兔以獲取更大的數目；而一些企業則會在上市備戰之際收到黑客的“敲詐電話”，后者以此前竊取到的公司機密為要挾，而在這種命中要害的“節骨眼”上，企業多半會選擇“破財消災”。

不僅如此，據童寧透露，許多數據會經由“地下黑市”輾轉售賣至其他國家，這也就意味著，企業和用戶的數據風險暴露在全球的犯罪“平臺”上，甚至一些非常敏感的信息會進一步引發國家安全問題。

“根據中國現行的法律，任何個人信息的買賣都是違法的。”上海泛洋律師事務所高級合伙人劉春泉說，但是在現實的執法中卻面臨種種困境，因為數據的溯源，問責都很難取證，而在大數據時代面臨的問題就更為復雜。

正因如此，這些數據長期以來被肆無忌憚地竊取、流傳甚至利用。“目前國內企業的網絡安全防護還處于剛剛起步階段，安全防護的意識還比較淡薄。國內企業的安全防護驅動主要來自兩個方面，一方面是行業監管要求，另一個方面則是事件驅動，即感受到切膚之痛后才強化安全防護。”賴東方指出。

經濟考量下的兩難

事實上，中國企業不僅沒有在數據泄露方面體會到真正的“痛點”，卻往往由于忌諱數據安保方面的巨大投入而裹足不前。

童寧給出的一組數字顯示，國外的企業在數據安保方面的投入會占到IT預算的5%~10%，國內企業一般都在5%以下。

相比于傳統企業，互聯網公司在某些層面對用戶信息更加疏于保護。童寧指出，對于前者來說，客戶信息成為競爭的核心要素；而對于互聯網企業來說，是利用大數據而建立地群體畫像，所以缺乏動力去進行個體用戶的信息保護。

投入產出比確實在很大程度上左右了企業對數據安全的重視程度，滴滴出行技術副總裁、商業變現事業部總經理朱磊表示，“如果涉及到核心數據，一般的企業都會嚴密保護。但在數據安全方面卻有很大的不同，因為數據的商業價值還都沒有挖掘出來，在沒有產出的情況下，很多企業也就不愿意在這方面做太多的投入。”

尤其是對剛剛起步的互聯網金融企業來說更是如此，有利網原CEO、美利金融CEO劉雁南就指出了現實的兩難，互聯網金融企業處于開放式的網絡通信系統中，很容易遭受計算機病毒以及網絡黑客的攻擊。必須對自身的交易系統、數據系統等進行持續的高投入，而這無疑會加大企業的運營成本。

而且，IT系統的建設并不能解決所有的問題。在朱磊看來，對企業來說技術上的投入不是一個關鍵問題，更重要的在于內部管理。

“對于一般的企業來說，抵御外部攻擊的基礎性防火墻都會設立，所以外部攻擊還不是一個大問題。”朱磊指出，更大的風險來自于企業內部，很多企業數據的審批、授權等流程管理并不嚴格，這部分更容易導致數據泄露問題。

這個觀點得到德勤企業風險管理合伙人馮曄的認同，他表示，很多企業覺得數據保護是一個IT技術的問題，但實際上這是一個全員管理的問題。

對數據管理堪稱“偏執”的美國運通內部人士就指出，公司對數據控制極為嚴格，經常有一些不近人情的規定，比如在員工的內部郵件中，如果涉及到15位或者17位的連續數字，并且其中有37的組合，那么就會被系統認定為疑似卡號的問題郵件，從而提交到全球預警中心，最后只能在當事人及其部門老板都要提交相關的證據后才可以消除警告。

“很多類似的情況，比如內部電腦不能使用任何外接設備，非授權的部門不能接觸到任何會員信息。”上述人士指出，所以涉及到數據安全問題，一件在外界看來舉手之勞的事情，在系統內輾轉下來要耗費幾個小時的時間，這些都成為技術投入之外，企業在數據保護方面所要付出的隱性成本。

也正因如此，很多企業將數據保護作為“一種成本而非收益”，造成了“數據泄露之后再設法補救，而非預先防護”的被動局面。

日益逼近的“冰山”

一方面缺乏利益刺激，另一方面則對可能造成的損失缺乏考慮，這兩方面的權衡對企業來說是一道很簡單的算術題，正如童寧所言，“做好了數據安保，企業沒有直接的回報，做不好，即便發生了一些事情，也沒有成本。”

實際上，國內的現行法律對企業提出了個人信息保護的要求，《消費者權益保護法》中規定工商局可以對此做出最高50萬元的罰款，但對民事賠償卻沒有一個明確的說法，如何賠，賠多少都沒有規定，而且由于“難以進行用戶損失的舉證，所以向企業的索賠很難成立。”劉春泉認為，這也是當前所面臨的法律困境。

2014年7月，劉春泉由于頻繁收到“95588”發送的商業短信而退訂無果后，對工行上海分行提起訴訟，要求后者停止發送商業信息、賠禮道歉，并作出賠償。而后盡管一審判決支持了他的訴求，但最終被上海市第一中級人民法院改判。理由則是“法院說垃圾短信雖然不妥但類似情況很多，所以不違法。”

“這種很明顯的信息侵權問題尚無法得到法律層面的肯定，那么在大數據錯綜復雜的環境下，向企業索賠就更加難上加難。”劉春泉說。而從企業層面來看，如果沒有現實的風險刺激，數據安全更加難以提上日程，“很多企業的相關部門都會面臨領導的質疑：你做這個有什么意義，真正的風險是什么？”

而同樣的針對“垃圾短信”提起的訴訟，國外卻有“8年間獲賠超過100萬美元”的案例——這也是其他國家在數據安全保護方面的一個縮影，一些國外知名企業都曾為此類法律利劍所傷。

美國零售巨頭塔吉特的遭遇就是一個很典型的例子。2014年，塔吉特對外界宣布，由于遭遇黑客攻擊，預計多達1.1億名用戶信息被盜。此次危機對塔吉特帶來了幾乎“災難性”的打擊：客戶大量撤逃，多起集體訴訟接連而至，股價應聲下跌，最后連“業績出色”、在塔吉特服務35年之久的CEO也不得不黯然下臺，為數據泄密買單。

最近的消息表明，塔吉特同意支付1000萬美元，與集體訴訟達成和解。而值得注意的是，塔吉特也曾爭辯消費者缺乏起訴資格，未能證實泄漏事件對其造成任何傷害，但該意見卻遭到一名法官的拒絕。

“因此，國外企業對這方面的風險非常重視，要改變國內的現狀，我認為應該通過政策和法律對企業施壓，使后者能夠加強這方面的投入力度。”童寧表示。而在劉春泉來看，國內對個人信息安全和數據侵權的法律環境會不斷趨嚴，而這將對疏于防范的企業構成一個巨大的威脅。

“全國人大常委會‘關于加強網絡信息保護的決定’沒有對違法行為規定具體數額，換言之也就是說沒有賠償上限，與其說是一個漏洞，不如說是留給執法部門進退自如的一個手段，在這樣的前提下，對那些在個人數據收集和使用上違法的行為處以天價罰款是完全合法的。”劉春泉指出。

一個可咨對比的案例就是，企業在2012年之前都把《反壟斷法》視為“沒有牙齒的老虎”，但經歷過幾次市場整頓、一些大企業接連遭遇高額反壟斷罰單之后，如今以劉春泉的說法是，“反壟斷的律師是沒有預算的，基本上是要多少給多少。”

“之前政府以掃黃為抓手來治理互聯網企業，我認為未來很有可能將個人信息和數據安全作為抓手。”在劉春泉看來，如此將對某些企業造成致命打擊。