你或你公司的數(shù)據(jù)如何被泄露�����、被利用�����,誰因此發(fā)財致富���?這個地下數(shù)據(jù)產(chǎn)業(yè)如何運轉(zhuǎn)�、進化��,新出臺的嚴刑峻法能否將其遏制��?
周末,一篇《數(shù)據(jù)黑產(chǎn)調(diào)查》的深度報道悄然放出���,短短一天���,閱讀量數(shù)萬。全篇大量真實數(shù)據(jù)與當事人的證言���,交織呈現(xiàn)出一個隱蔽���、繁盛、擺不上臺面卻又暴利加身的黑產(chǎn)生態(tài)���,也描繪出網(wǎng)安法實施后����,數(shù)據(jù)灰色交易的盛世王國如何從曾經(jīng)的熙熙攘攘到現(xiàn)在的人心惶惶����。
“近期確實抓得很嚴,我周圍不少人進去了�����,其中有一個人年收入十幾個億的?���!币晃粩?shù)據(jù)掮客告訴記者����。2017年6月1日之后,一群做大數(shù)據(jù)地下產(chǎn)業(yè)的數(shù)據(jù)采集者和數(shù)據(jù)掮客常常聚在一起討論兩條最新出臺的法規(guī)����,惶惶不可終日。這篇報道揭露出太多人想說而不敢說的事實����。
黑產(chǎn)泛濫,內(nèi)鬼猖獗成數(shù)據(jù)泄露主因
據(jù)不完全統(tǒng)計���,國內(nèi)個人信息泄露數(shù)達55.3億條左右�����,平均每人就有四條相關(guān)的個人信息泄露��,這些信息最終的命運�����,是在黑市中反復倒手�,直至被榨干價值,而大數(shù)據(jù)的的價值爆發(fā)����,讓黑產(chǎn)看到了更大的市場。
追究泄露源���,事實不免讓人悲哀���,我們總是在談黑客、談攻擊���、談病毒……然而�����,一位前黑客對記者說:
80%的數(shù)據(jù)泄露是企業(yè)內(nèi)鬼所為����,黑客和其他方式僅占20%����。
一位從事數(shù)據(jù)交易超過十年的從業(yè)者道出了“內(nèi)鬼”頻出的重要原因:由于體量龐大�����,外包公司和經(jīng)銷商過于分散�,大型企業(yè)這樣的問題很難根治����。
“過去一些運營商的數(shù)據(jù)庫內(nèi)部人能直接訪問���,現(xiàn)在要求內(nèi)外網(wǎng)隔離��,生產(chǎn)庫查詢庫隔離�����,堡壘機�、數(shù)據(jù)庫審計��,就是為了避免內(nèi)鬼往外倒騰數(shù)據(jù)�����。”
掌握大量數(shù)據(jù)資產(chǎn)的企業(yè)也開始有所動作��,一些運營商已經(jīng)開始上馬數(shù)據(jù)安全項目�。這一點,作為安全企業(yè)的我們更加清楚���。近年�����,越來越多的用戶在談到自己的安全需求時���,除了老生常談的外部攻擊,多半還會提到防內(nèi)部人員或第三方公司的數(shù)據(jù)竊取和篡改����,希望能通過第三方的數(shù)據(jù)庫安全運維工具限制運維側(cè)高權(quán)限人員的數(shù)據(jù)訪問。
黑客生態(tài)����,打造完整“產(chǎn)業(yè)鏈”
一線黑客多是學歷低下、沒有固定工作的年輕人�����,賺來的黑錢大半被“師父”拿走,而“師父”之上還有“師父”
內(nèi)鬼���、黑客�����、爬蟲以及手握數(shù)據(jù)的公司與個人之間的數(shù)據(jù)互換����,是構(gòu)成地下數(shù)據(jù)交易的主要來源�����,這些數(shù)據(jù)再經(jīng)過清洗�����、分類�,可以從不同的渠道銷售出去�����。數(shù)據(jù)用途主要是精準營銷�,也包括身份認證和詐騙���。
有些黑客以“創(chuàng)業(yè)者”身份示人,但他的另一只手仍在操縱數(shù)據(jù)地下交易的生意�,
“創(chuàng)業(yè)公司不賺錢,只有一個員工的地下數(shù)據(jù)項目����,就能養(yǎng)活有30多個人的創(chuàng)業(yè)團隊?�!彼麑τ浾哒f����。
但今年6月1日之前,他們中的有些人嗅到了危險的氣息��,把風險較大的業(yè)務(wù)全部停掉���,清除痕跡��,戴上了“白帽子”�。不過����,卻不會完全放棄這攤生意����,而是將自己的數(shù)據(jù)交易公司用CRM的方式管理起來���,保證每個數(shù)據(jù)源頭都查不到任何破綻���。可笑的是�����,為了防止內(nèi)鬼�,他給自己的業(yè)務(wù)也上了安全手段,將公司整個CRM系統(tǒng)重新整合�����,現(xiàn)在即使是他也看不到客戶的手機號���,所有的短信和電話都通過系統(tǒng)的內(nèi)置功能來進行。不僅如此�����,所有員工的行為都會被自動記錄,哪個賬號查看了用戶資料���,哪個客服拉取的數(shù)據(jù)量高于其他人���,或是搜索其他客戶經(jīng)理的資料,都會被調(diào)出來仔細排查��。
黑產(chǎn)進化�����,靠大數(shù)據(jù)公司洗白
政策法規(guī)收緊��,傳統(tǒng)地下數(shù)據(jù)產(chǎn)業(yè)人士意識到���,新冒出來的大數(shù)據(jù)公司就是“簡單粗暴的暴發(fā)戶”���,“他們太有錢了,本來我們都是小作坊的模式��,他們一進來��,把我們的生意全都擠沒了?���!闭沁@些新型大數(shù)據(jù)公司的入局,打破了傳統(tǒng)的地下數(shù)據(jù)交易網(wǎng)絡(luò)���。它們成為數(shù)據(jù)地下世界的新人�。
一位大數(shù)據(jù)公司高管表示��,哪怕是在兩三年前���,地下數(shù)據(jù)交易的量都不大���,規(guī)模普遍維持在數(shù)百條信息的量級,但隨著需求被放大�����,整個地下數(shù)據(jù)產(chǎn)業(yè)開始變成半公開化了��。
一家2011年成立于蘇州的大數(shù)據(jù)公司��,2016年注冊用戶60萬���,年營收過億元�。據(jù)地下數(shù)據(jù)產(chǎn)業(yè)資深人士透露�,這家公司之所以能做到數(shù)據(jù)全面且便宜原因在于其整合了大量購買數(shù)據(jù)的小渠道,這些渠道大多不合法��。
據(jù)權(quán)威部門的人員透露���,監(jiān)管部門對非法數(shù)據(jù)交易和買賣一直都非常重視���,但囿于數(shù)據(jù)價值無法量化評估、交易過程隱蔽等問題��,之前沒有用一刀切的方式進行監(jiān)管��。但隨著監(jiān)管力度加強�����,一些大數(shù)據(jù)公司將迎來厄運�。據(jù)一位在地下數(shù)據(jù)產(chǎn)業(yè)周旋超過十年、目前是一家大數(shù)據(jù)公司創(chuàng)業(yè)者的人士透露���,有一批數(shù)據(jù)公司要完蛋�,包括新三板上市公司,它們主要的數(shù)據(jù)渠道是黑色產(chǎn)業(yè)���,一些高管已經(jīng)進去了�。
政策收緊��,風聲鶴唳����,但地下產(chǎn)業(yè)仍蠢蠢欲動
一位數(shù)據(jù)掮客稱:“近期確實抓得很嚴,我周圍不少人進去了���,其中有一個人年收入十幾個億的���。” 2017年6月1日����,《網(wǎng)安法》)和與之配套的《兩高個人信息司法解釋》)開始生效實施。一群做大數(shù)據(jù)地下產(chǎn)業(yè)的數(shù)據(jù)采集者和數(shù)據(jù)掮客常常聚在一起討論兩條最新出臺的法規(guī)�,惶惶不可終日。
即便如此�,《網(wǎng)安法》之后,仍有大量渠道可以進行地下數(shù)據(jù)交易�����。這個“地下黑網(wǎng)”日交易額可達上億元����,整體規(guī)模難以估測。只是由于風聲緊�,黑產(chǎn)從業(yè)者也改變了策略,不再大魚小蝦一網(wǎng)打盡�����,而是謹慎行事�����,只接大單�。
嚴刑峻法,能否讓灰色地帶的企業(yè)收回腳
《網(wǎng)絡(luò)安全法》規(guī)定了企業(yè)收集個人信息必須征得用戶同意���,否則就是違法��。配套出臺的《兩高個人信息司法解釋》則從刑法層面進一步明確了侵犯公民個人信息行為的定罪量刑標準����,為執(zhí)法掃清障礙。
根據(jù)《網(wǎng)安法》����,企業(yè)有責任確保其收集的個人信息的安全。如果用戶個人信息丟失�����,企業(yè)必須通知用戶���,用戶有權(quán)追責���;所有企業(yè)都需要一個網(wǎng)絡(luò)安全負責人,此人應(yīng)是創(chuàng)始人或高管等對企業(yè)有支配能力的人�。
許多數(shù)據(jù)泄露是公司內(nèi)鬼或黑客所為,這種情況不可能禁絕��,但公司若有證據(jù)顯示自己已設(shè)立比較完善的數(shù)據(jù)安全管理體系����,相關(guān)刑罰就有可能減免。
《兩高個人信息司法解釋》制定了極低的入罪門檻——非法獲取��、出售或提供行蹤軌跡信息、通信內(nèi)容���、征信信息����、財產(chǎn)信息50條以上的即可入罪����,如果上述是公司行為����,25條即可入罪。某專業(yè)人士認為���,這意味著����,數(shù)據(jù)地下產(chǎn)業(yè)從業(yè)者只要被抓��,就可能被刑責��。
隨著網(wǎng)安法的出臺����,我國在該領(lǐng)域不僅實現(xiàn)了與國際接軌���,而且懲處力度有過之而無不及。處在這種新形勢下��,一些曾游走在灰色地帶的企業(yè)將腳收了回來����。企業(yè)開始主動規(guī)范數(shù)據(jù)使用,這是新法壓力下的重大進步���。據(jù)中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局負責人透露���,《網(wǎng)安法》的配套法規(guī)正在抓緊制定中,包括關(guān)鍵信息基礎(chǔ)設(shè)施保護辦法��、個人信息和重要數(shù)據(jù)出境安全評估辦法�、個人信息安全規(guī)范等。
后續(xù)立法執(zhí)法將決定數(shù)據(jù)地下產(chǎn)業(yè)的走向���,這已是業(yè)內(nèi)共識����。
第三方安全廠商——獨立開展數(shù)據(jù)安全體系建設(shè)
“就算只有一家云服務(wù)廠商碰了客戶的數(shù)據(jù),我們所有人都會在客戶那里失去信任��?��!?/p>
提供人才管理云服務(wù)的北森云計算CEO感慨道����。這句來自云服務(wù)商發(fā)出的無奈感慨��,證明了單靠云服務(wù)商自身數(shù)據(jù)庫安全機制無法規(guī)避用戶數(shù)據(jù)安全風險��。想取得用戶的信任��,最好的方式是把責任交出去�,引入第三方獨立安全廠商提供更安全服務(wù)��,確保數(shù)據(jù)資產(chǎn)所有權(quán)掌握在用戶自己手里����。
“專業(yè)的數(shù)據(jù)安全服務(wù)商”是和云服務(wù)商無利益關(guān)聯(lián)的獨立第三方,因此在數(shù)據(jù)安全體系搭建之初就秉承著完全客觀�、公正的立場,從安全本身出發(fā)來思考問題���, 提供給云上用戶一份中立��、客觀的解決方案����。加上“數(shù)據(jù)安全服務(wù)商”在數(shù)據(jù)安全建設(shè)方面不管是技術(shù)沉淀、產(chǎn)品價值還是經(jīng)驗積累��、服務(wù)支持都具備優(yōu)勢��,具備足夠解決安全威脅的能力����。這也是為什么向阿里云這樣的大型云服務(wù)商依然會選擇與安華金和等數(shù)據(jù)安全企業(yè)達成方案合作,而不是簡單的收購或是自己開發(fā)��,除了技術(shù)門檻高��,更重要的是�,他們需要獨立的第三方為其云服務(wù)加持安全屬性,而不是又做球員又做裁判��。
實際上���,云服務(wù)商及時獲得了用戶信任��,愿意將數(shù)據(jù)和業(yè)務(wù)放在云平臺上�����,其自身商業(yè)數(shù)據(jù)同樣需要保護��,面臨與用戶同樣的安全需求�����。目前看來���,將安全交給第三方將成為一個主流的趨勢,至少安華金和看到�����,國內(nèi)外各大主流云平臺正在與我們接觸和合作����,而我們也很樂于將多年積累的能力與云平臺結(jié)合,未來數(shù)據(jù)在哪����,安全就在哪�����。
后記:
中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局負責人近期透露�,《網(wǎng)安法》的配套法規(guī)正在抓緊制定中����,包括關(guān)鍵信息基礎(chǔ)設(shè)施保護辦法、個人信息和重要數(shù)據(jù)出境安全評估辦法���、網(wǎng)絡(luò)關(guān)鍵設(shè)備���、網(wǎng)絡(luò)安全專用產(chǎn)品目錄和個人信息安全規(guī)范等。
業(yè)內(nèi)共識���,后續(xù)立法執(zhí)法將決定數(shù)據(jù)地下產(chǎn)業(yè)的走向����。一位大型互聯(lián)網(wǎng)公司法務(wù)人士告訴《財經(jīng)》記者��,目前的立法大方向兼顧技術(shù)商業(yè)創(chuàng)新和用戶利益��,缺點是“不細”�����。一位仍然游走在灰色地帶的人則告訴《財經(jīng)》記者:“我們都在等新法后的第一個大案,看看怎么判���?����!?/p>
產(chǎn)品咨詢:4000 258 365 
