國家電網個人信息被泄露 警示大數據時代企業(yè)管理
發(fā)布時間:2016-12-20 來源:中國企業(yè)報(北京)
?
近日,關于國家電網被爆泄露千萬用戶信息的消息傳來����,令人震驚。無獨有偶�����,爆發(fā)在“雙十二”之前的京東“泄密門”使得數據安全問題再一次進入大眾視線��。盡管事后兩家公司都發(fā)出聲明�����,澄清了事件的原委���,但是信息安全帶來的隱患不容忽視。
數據泄露為何發(fā)生
隨著國家電網本身對電e寶推廣力度的加強��,地方供電所在推廣和普及APP的過程中可能“兵行險招”�。
電e寶上線后,確實經歷了一波強勢推廣���。11月28日��,在新沂市南京路金三角商業(yè)街�����,有當地供電所通過開展專項宣傳桌����、條幅��、展板等來吸引人群�。西平縣供電所開展以點到面、向外輻射的推廣策略,首先推動自有員工接受��,再推薦給好友或者分享朋友圈���。
當地方供電局和供電所推廣電e寶如火如荼的時候����,也就不難理解淘寶上代辦服務的出現���。通過對地方供電所提供的信息��,對電e寶進行注冊辦理�,一邊掙著錢�����,一邊就把信息給收集了�。而信息監(jiān)管的缺乏,沒有人可以知道數據的流出和使用���,這使得電網用戶的信息安全受到了極大的危害�����。
北京交通大學絲路中心大數據產業(yè)院院長梅一多在接受采訪時表示:“這是一個典型的第三方導致的數據泄露事件�����。是和大型企業(yè)有合作關系的中小微企業(yè)導致的數據泄露����。因為無法明確在信息記錄的后臺,有誰記錄了信息�����,下載了數據���。從收集到生產、分析�����、發(fā)布等各個環(huán)節(jié)都沒有數據隱私保護��?����!?/p>
設立安全標準
記者多次聯系國電網,國電網表示:在多次查證后��,并不存在推廣掌上電力和電e寶APP過程中存在泄露客戶信息的情況�,并且已經向淘寶進行舉報。記者通過查詢淘寶之后發(fā)現�����,一些提供掌上電力登錄����、綁定服務的商家已經全部下架。
我們發(fā)現�����,大數據時代下的信息安全���,有些并非是“剛性”泄露����,恰恰是企業(yè)在推行戰(zhàn)略過程中����,好心辦了壞事����。
易觀大數據高級分析師林仕榮在接受《中國企業(yè)報》記者采訪時表示了幾點意見:“一���、國家需要通過對企業(yè)的云計算服務和大數據安全設立標準�����,這樣才能從根源上促進企業(yè)的重視����。二���、相關部門可以考慮提升數據審計以及監(jiān)管力度,對企業(yè)進行包括安全漏洞和數據泄露風險的合規(guī)性檢查�,不符合規(guī)定的可以下令責改。三��、企業(yè)作為大數據信息的所有方�,有保障數據安全不可推卸的責任。通過云服務廠商提供的安全保障措施��,企業(yè)通過透明加密技術對數據進行加密�,這樣的做法使數據以密文的形式存儲在云端��,防止網絡攻擊的危害���。”
需求推動利益的產生��,利益往往衍生出行業(yè)的不規(guī)范����。特別是對于大數據安全來說,良性需求的創(chuàng)造和推動卻延伸出了信息安全的漏洞����,著實令人遺憾。首席數據官聯盟發(fā)起人劉冬冬表示:“制定企業(yè)�、行業(yè)法則,技術上不是問題��,但需要用規(guī)則管理技術及運維的人����,在事情可能發(fā)生之前就應該先制定規(guī)則技術?!?/p>
觀韜中茂律師事務所合伙人王渝偉在接受采訪時表示:“對于像淘寶、京東這類的線上平臺���,應當從對個人數據信息的收集�、使用、處理��、轉移等方面來管理約束平臺的行為����,同時完善個人用戶對于數據信息的刪除、更正權來保障個人權益��?�!毒W絡安全法》對于以上行為以及權利實際上都已經有比較明確的規(guī)定�,加強這方面的執(zhí)法力度應該能夠有效地減少大數據環(huán)境下數據信息的泄露?���!?/p>
加強立法和監(jiān)管
大數據資深分析師任偉巍在接受《中國企業(yè)報》記者采訪時從技術層面表示:“加強數據安全��,一方面要加強立法����、監(jiān)管以及對大數據犯罪的處罰力度,要對大數據犯罪形成強有力的威懾����。另一方面��,要推動大數據的市場運作機制�,因為用戶數據不但決定市場化企業(yè)的收益����、市場地位,更決定其潛在的經營風險���。加強數據安全還要依靠技術手段��,應盡早制定我國自主的數據傳輸標準����、接口��、物聯網操作系統(tǒng)��,避免數據安全受制于國外機構�����。例如,需要明確業(yè)務分析是否需要訪問真實數據����,或 脫敏 數據能否使用,選擇合適的敏感信息遮擋和加密等矯正技術(masking or encryption)�。遮擋技術能提供最好的安全性能,而加密則更具靈活性���,可視將來的需要而定��。同時�,確保選擇的加密方案與企業(yè)的訪問控制技術能夠互操作���,這樣�����,特定級別和身份的用戶只能訪問Hadoop集群中特定的數據范圍�?����!?/p>
大數據時代下的信息安全�����,“一言不合”就出漏���。對公有云不放心�,私有云也隨時可能出現安全問題�����,大數據信息安全在制定企業(yè)����、行業(yè)和法律規(guī)則之外,必須要對數據的處理另辟蹊徑��。
微眾稅銀COO曾源對記者表示:“大數據時代���,技術問題往往都不是太大的問題���,可以及時補救。真正存在的問題是管理數據人員的主觀倒賣和素質操守問題��,一些黑產數據往往給工作人員形成一種觀念�,拿數據就能賣錢。所以,絕大多數的黑產數據都不是因為技術問題而被攻克泄露�����,而是買通內部人員整體倒賣���?��!?那么,對于數據從業(yè)人員的備案和信用檢查就顯得尤為重要�����,企業(yè)需自檢��,再由相關部門二次審核�����。企業(yè)內部需要成立數據風控部���,通過監(jiān)控數據和操作降低數據外露的風險����。
Oracle大數據資深顧問魏函輝就這個問題表示,數據并非洪水猛獸��,一點不能觸碰���。同樣數據也并非不能買賣,而是要分為怎么賣����,如何賣。他還認為�����,原始數據是堅決不可以觸碰的���,但是基于原始數據上產生的衍生數據��、分析數據�,比如購物偏好��、消費模式或者健康指數這些都是可以進行互通的���。只有正規(guī)的數據交易市場和平臺的出現����,讓數據交易變得有法可依、有章可循����,這樣才能從根本上杜絕數據黑色鏈條的產生。
