重磅|2018年上半年信息安全风险预警研究报告
1、韩国最大虚拟币交易平台被黑,约2亿元资产被盗
中新网6月20日电 据韩联社报道,韩国最大虚拟货币交易平台Bithumb遭黑客入侵,约350亿韩元(约合人民币2.04亿元) 的加密货币资产被盗,平台暂停交易和加密货币的存取服务。消息传出后,币价较前一交易日下滑4.25%,其他虚拟货币也应声齐跌。
2、美国安局、中情局前员工被控向维基解密泄露机密信息
北京时间6月18日,美国司法部宣布称,前国安局、中情局员工、现年29岁的纽约人Joshua Adam Schulte 被控控非法收集国家国防信息;非法传播合法持有的国防信息;非法传播非法持有的国防信息;越权访问计算机获取机密信息;窃取政府财产;越权访问计算机从美国国家部门或机构获取信息;并传播计算机有害程序、信息、代码或命令等13项罪名。其中,Schulte 向维基解密提供中情局黑客工具作为 Vault 7 泄密文档的一部分。
3、特斯拉起诉前员工:黑进内部生产系统,盗取并泄露机密数据
北京时间6月21日凌晨消息,据美国内华达州联邦法庭公布的诉讼文件显示,特斯拉起诉了前过程技术人员马丁·特里普,称其盗取了该公司的商业机密并向第三方泄露了大量公司内部数据。该名员工承认曾开发恶意软件安装在了三台不同员工的电脑上,在他离开特斯拉后,借机进入特斯拉内部生产操作系统,偷取大量数据并交给第三方,还向媒体发表不实言论。这些被泄露的数据包括“数十份有关特斯拉的生产制造系统的机密照片和视频”。电脑被安装该恶意软件的员工也将受到牵连。
4、美国 Uber 因侵犯隐私 20 年内将受监督
据外媒报道,美国政府联邦贸易委员会(FTC)因Uber随意采集消费者和专车司机的个人隐私数据,并没有做好保护措施对其展开调查。有消息称,近日,Uber和美国政府达成和解协议,美政府要求Uber公司解决现有全部产品和服务中的个人隐私风险,另外要确保个人隐私信息的保密工作。在未来180天以及20年之内(每隔两年),Uber必须接受第三方机构对于个人隐私和数据保护措施的审核和监督。
5、交易1800余条公民房屋产权信息,一征信公司被公诉
6月12日下午,虹口区人民检察院召开新闻发布会透露,一家企业征信公司购买个人房屋产权信息,也就是俗称的“产调信息”,然后出售给小贷公司等客户。这些信息均能明确识别房屋产权人、产权情况等财产状况内容,共计1814条,该类信息的泄露可能对产权人等造成安全隐患。检察机关认为,该征信公司及其负责人潘某、员工蔡某、凌某购买公民的敏感信息并予以出售,情节特别严重,应当依照《刑法》的规定,以侵犯公民个人信息罪追究刑事责任。
6、网游宕机8小时1700万人上不了,上海警方赴青岛抓获黑客
2月18日,总部坐落于张江高科技园区的一家网游公司旗下一款游戏产品服务器突然无法打开,造成约1700万用户无法登陆,持续时间长达8小时之久,公司损失难以估量。经警方侦察,始作俑者为该公司的离职人员马某。据马某交代,其为报复前公司,于2月18日在青岛家中笔记本电脑上,利用前公司后台服务器漏洞进行入侵,恶意删除游戏数据,导致约1700万用户无法登陆。目前,马某已因涉嫌破坏计算机信息系统罪被依法逮捕并移送起诉。
7、A站近千万条用户数据外泄!含账户密码,称受黑客攻击已报警
6月13日凌晨,AcFun弹幕视频网(俗称:A站)在其官网发布《关于AcFun受黑客攻击致用户数据外泄的公告》称,AcFun受黑客攻击,近千万条用户数据外泄,包含用户ID、用户昵称、加密存储的密码等信息。A站称,已经搜集了相关证据并报警。
8 、智利银行被黑:近万台电脑瘫痪,被盗千万美元
智利银行承认在五月份的黑客攻击中损失大约1,000万美元;在这次攻击中,大约9.000台电脑和服务器的MBR被破坏,造成这些设备无法启动。黑客将全国的电脑系统崩溃,却使在线系统保持运行——从而在一片混乱中,通过银行的SWIFT国际转账系统将1,000万美元转出。这个被称为Kill MBR的病毒是攻击者的障眼法,在银行忙于处理MBR被破坏的问题时,攻击者瞒天过海成功转账。
9、深圳乐行天下公司主要创始人均成通缉犯
5月30日,东莞市公安局正式对深圳乐行科技有限公司创始人周伟、郭盖华、闫学凯等三人采取刑事强制措施,将上述三人正式列入在逃的通缉犯。历经6年,东莞易步机器人有限公司控诉前技术骨干、深圳乐行天下科技有限公司主要创始人周伟等十数人侵犯商业秘密罪一案,终于迎来了新的进展。但在该事件尚未成功解决之前,曾经的中国最大的两轮平衡车生产企业东莞易步机器人早已被“后来者”干掉了。一场由技术团队发起的“兵变”过后,江山却早已不在。
二、信息安全政策渐完善
1、《网络安全法》实施一周年来全国各地执法案例汇总
2018年6月1日,《网络安全法》正式实施一周年。在这一年中,网络安全法律及配套制度逐步完善,逐渐形成了综合法律、单行条例及标准指引的立体规范体系。网络安全监管与执法案件频现报端,各执法机关也进一步强化了日常监管巡查:从最初看到的2017年7月25日汕头某单位违反网络安全法的全国第一案(被报道的),到新浪、腾讯、阿里巴巴、京东等互联网大佬被不同程度的处罚;从一开始的责令整改,到停机整顿,再到对单位对个人的直接罚款;监管越来越严,处罚越来越重。未来肯定会有一些网络运营者需要承担相应的民事责任甚至刑事责任,这不是危言耸听,这一定会出现。网络安全工作早已是法治下的工作,网络安全工作一定要做到合规合法。
2、GDPR生效当日谷歌和Facebook等就被“抓典型”
史无前例最为严厉的个人隐私保护法——GDPR生效第五天,施行效果显著。《一般数据保护条例》(General Data Protection Regulation,简称“GDPR”)5月25日正式生效。
普华永道的调查数据显示,68%的美国公司预计将花费100万到1000万美元的投入来满足GDPR的合规要求,另有9%企业预计将花费超过1000万美元。
GDPR生效第一天,谷歌和Facebook涉嫌违规分享用户数据,遭遇奥地利的隐私活动家Max Schrems法律诉讼, Schrems的诉讼特别针对两家公司获得隐私政策同意的方式,即要求用户选择“同意”选项以获取服务,否则就不能使用服务,这违反了GDPR关于获取同意的规定。双方面临的罚金总额分别为37亿欧元和39亿欧元(总额约为88亿美元)。
3、《网络安全等级保护条例》征求意见稿发布,等保2.0到来
6月27日,由公安部牵头,会同中央网信办、国家保密局、国家密码管理局联合制定的《网络安全等级保护条例(征求意见稿)》(以下简称“条例”)正式发布,面向社会公开征求意见的截止期为7月27日。
公安部网络安全保卫局总工郭启全在6月25日的发言中表示,网络安全等级保护制度是基本国策、基本制度和基本方法,是对过去二十年经验的总结和创新,而关键信息基础设施保护是等保2.0的重点,目前中央网信办和公安部双牵头制定的《关键信息基础设施保护条例》起草工作已经完成,正在走司法程序。
那么,网络安全等级保护制度1.0和2.0有什么区别?郭启全透露,首先,制度2.0纳入了《中华人民共和国网络安全法》规定的重要事项;其次,制度1.0只针对网络和信息系统,2.0则把云计算、大数据、物联网等新业态也纳入了监管;此外,制度2.0把监管对象从体制内拓展到了全社会
4、美国白宫欲推出类似GDPR的隐私保护法案
据可靠信源, 目前白宫正处于探索推出类似于欧盟《一般数据保护条例》(GDPR)的联邦隐私保护法案的早期阶段。
有消息人士指出, 美国总统特朗普在白宫科技、电信和网络政策方面的特别助理目前就该问题已与相关行业组织进行了会面, 讨论利用个人数据可能的“防护栏”, 并且会见了代表包括苹果、谷歌、Facebook、IBM以及微软等科技公司在内的信息技术产业委员会的首席执行官,探讨欧盟《一般数据保护条例》的实施情况和隐私保护问题。谈话初步表明白宫想要在全球范围内有关消费者隐私保护方面的争议发出自己的声音。
三、信息安全风险提示
1、信息安全对业务的影响将更深入、更长远
1.1 信息的现代价值凸显,内部泄密的比率将继续上升
随着互联网信息技术的进一步发展,信息的价值越来越高,信息黑色产业链已经形成,信息泄露已成为信息安全的最大痛点。
企业信息安全最大的挑战是人,包括内鬼和事实上的卧底,以及获取机密后转投竞争对手或自立门户的员工。过去一些年,商业秘密诉讼案件此起彼伏,在2018年中美贸易战基本聚焦于知识产权的背景下,商业秘密的保护已不仅仅关系到个体企业的命运,甚至于整个行业、整个国家的创新保护及发展战略。
1.2 信息安全攻击成为常态,物联网也将成为重灾区
2017年,我们已经见识过物联网攻击,成功的物联网攻击不会很高级,而是有意利用物联网设备在安全方面的基本漏洞去进行攻击的可能性会较高,如共享密码或加密通信方面。不安全的设备很多,对黑客们而言是极易攻击的目标。
2018年,各种各样的攻击以及采取的预防攻击的技术和措施也将越来越引人注目,这将为企业带来更多麻烦。
1.3 企业将开始更加重视信息安全,从“风险保护”转变成“预防”
多年的灾难性攻击及安全事件表明,信息风险现在是一个重大威胁。一次信息安全事件不仅会严重损害公司的底线,也会严重损害商业信誉和消费者信任。
企业将从高层领导开始,自上而下会开始更加重视信息安全,将开始把信息安全视为一项重要的商业风险,而不仅仅是一个影响其业务的“IT问题”。
2、政策与监管将进一步加强,信息安全合规成为头等大事
2.1 国内信息安全立法、行政条例等已多管齐下
网络安全执法检查工作正在全国各地开展。可以想象下,今年的执法检查工作将会做的更加全面也会更加严格,今年网络安全行业将会有重要的政策发布:
首先,是《网络安全等级保护条例(征求意见稿)》已经正式发布,以后等保工作将把监管对象从体制内拓展到了全社会,会更具有影响力与可操作性,条例也会规范得更加细致;
其次,说了很久的等保2.0相关标准预计也会在不久的未来正式发布,大数据、云计算、物联网、工控、移动互联等领域将会全面纳入等保范畴;
再者,《关键信息基础设施保护条例》目前也在走司法程序,“关基”的保护将会是未来网络安全保护重点中的重点;
最后,《网络安全法》实施已经满一周年了,期间各地各种相关案例都有,执法经验积累很快,所以往后的执法检查中对于各类违法行为一定会严惩不贷。
2.2 七大关键点,避免踏入GDPR的雷区
虽然大型互联网科技公司已经提早对GDPR做了准备,但有研究人员指出一些中国企业并没有对GDPR做出足够的重视,或者采取的措施并不尽人意。未来GDPR肯定会成为欧盟与境外企业合作的标准法规之一,如果中国企业如果不尽快进行GDPR全面合规,可能会在违规处罚中被“抓典型”,也将面临失去欧盟市场的风险。GDPR条款提及的几个关键点,值得引起注意:
法案使用范围:所有在欧盟境内经营、或是搜集和处理欧盟公民数据需要存档的外国企业。
罚款程度:轻者处以1000万欧元(约合人民币0.75亿元)或者上一年度全球营收的2%(两者取其高)的罚款;重者处以2000万欧元(约合人民币1.5亿元)或者企业上一年度全球营收的4%(两者取其高)的罚款。
GDPR强调数据所有者的知情权,规定数据使用必须事先征得数据主体的同意,而且“同意”必须是具体的、清晰的,是用户在充分知情的前提下自由做出的。如果数据使用范围扩大,都必须重新获取数据主体的授权和同意;数据主体还可以随时撤回同意权利。
GDPR强调了使用者在使用数据时,需表明其特定的使用目的,不得收集提供服务必需之外的数据,收集之后不得滥用用户数据,同时还必须履行保护用户数据的义务;处理数据时,要求数据控制者说明如何收集处理个人数据,包括数据接受者类型、个人数据保留周期及采取该周期的理由等。
GDPR强调数据主体的“被遗忘权”和“数据可携权”,前者是指用户提出数据删除要求时,企业需要在数据库内找到数据并删除,如果数据已传播或提供给第三方使用,企业还有责任通知使用者予以删除。
如涉及自动化数据处理(如数据画像等),数据控制者还需要提供基本的算法逻辑及针对个人的运算结果。
在数据泄露事件发生时,根据GDPR的数据泄露通知要求,企业必须在发现数据泄露的72小时内通知相关部门。
四、信息安全应对之道
1 、尽快明确信息安全方针目标
从国际的最佳实践经验中可以得出,信息安全工作落地的关键性成功因素是:高层牵头、领导负责、专人管理、全员参与。其中“高层牵头”是最根本的条件,例如:为了推动我国的网络安全立法及各项工作的部署,在全国网络安全和信息化工作会议上,习近平总书记不但亲自出席,还每次都发表重要讲话,从党和国家事业全局出发,科学分析了信息化变革趋势和肩负的历史使命,系统阐述了网络强国战略思想,深刻回答了事关网信事业发展的一系列重大理论和实践问题,为加快推进网络强国建设指明了前进方向、提供了根本遵循。
所以,有效开展商业秘密保护和信息安全落实工作的前提是尽快明确信息安全的方针目标,解决信息安全建设的费用,方能加快部署启动各项工作,达成最大程度的保护创新成果等无形资产,降低企业经营及业务开展的信息安全风险,提升商业竞争能力等目标。
2 、尽快推进信息安全保障工作
在信息安全工作方针与目标确定后,必须由领导负责,专人管理,尽快推进各项信息安全保障工作,主要推进思路可提供以下参考:
首先,优先健全顶层设计。定岗定责是做事的前提。首先是建立信息安全管理组织架构,明确责任分工,为专岗人员授予管理权限,并列入日常管理工作,让信息安全工作得到有计划、分步骤的推进。
其次,尽快建立体系制度。团体活动,规矩先行。创新型企业一般或多或少都已经建立起自己的一些体系,如质量管理等,因此,在信息安全工作的执行过程中,优先把现有的体系制度修订、增补完善,是后续推动技术措施及进行稽查考核的基础工作。
再次,重点主抓研发部门。商业秘密的主体是技术秘密,其源头在研发,加强研发部门的信息安全管理是重中之重。所以针对研发部门的特殊性,对研发资料、样品等的生成、流转、报废等管理流程及制度进行完善,尽快开展信息安全意识培训,在该过程中不断审视、稽查信息安全的管理要求是否落实到位,确保关键信息的保密性、可用性及完整性。
最后,技术措施配套落实。重要的防泄密、防病毒、归档备份等终端及数据安全问题需要采取技术手段方能确保有效、快速落地,同时,这些技术措施也需要在制度流程的配合下,为考核、奖惩服务,方能发挥威慑、控制等作用。
