近年来,数字化深入发展为社会、经济等带来更多便捷和机遇的同时,也带来了越来越严峻的网络安全风险。每当发生网络安全事件,尤其是大规模的数据泄露和违规事件,不仅会给相关单位机构造成巨大的财产损失和声誉下跌,更是危及到无数人的个人隐私和信息安全。个人信息尤其是隐私信息一旦泄露,很可能被不法分子所利用,如电信诈骗等,对个人财产安全构成极大威胁。以下,我们整理了2022年我国与数据相关的安全事件,供大家阅读参考,防患于未然。
蔚来汽车用户信息遭窃,敲响新能源汽车行业数据安全警钟
12月20日,蔚来汽车就用户数据遭窃取发表致歉声明,证实了此前其用户数据被泄露的传闻。声明显示,遭窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息,在12月11日,蔚来曾收到外部邮件,以数据泄露勒索225万美元等额比特币。
上海随申码数据泄露,4850万居民信息存在泄露风险
8月消息,有人在某黑客论坛上发帖以 4000 美元拍卖上海随申码数据库,声称其中包含 4850 万用户的上海随申码数据,其中包含自随申码推行以来,居住或到访过上海的所有人的身份证、姓名及手机号。发帖者为证实数据真实性,公开了 47 组样本数据,可以看到其中包含了用户的手机号码、姓名、身份证号、随申码颜色、UUID 多项信息。
学习通1.7亿条用户数据疑被泄露 公安机关已介入调查
6月21日,媒体报道大学生学习软件“超星学习通”的数据库信息被公开售卖,超1.7亿条信息疑遭泄露。当日下午,学习通回应经十余个小时排查,到目前为止还未发现明确的用户信息泄露证据。鉴于事情重大,已经向公安机关报案,公安机关已经介入调查。学习通表示不存储用户明文密码,采取单向加密存储,即使公司内部员工(包括程序员)也无法获得密码明文。
平安人寿泄露4万条公民信息
11月底,据公开的裁判文书显示,平安人寿六盘水中心支公司内部人员利用职务之便泄露客户信息被处罚,多名涉事人员判处有期徒刑。涉案的公民信息高达4万余条。
香格里拉酒店遭黑客入侵 29万港人资料受影响
香格里拉酒店集团于9月30日在官方站点发布信息安全事件公告,指旗下8间酒店的客人数据库在今年5月至7月被专业网络攻击者入侵。隐私专员公署得悉,有29万香港客户受影响,已就事件展开循规审查。
“黑客”窃取10万条个人信息在境外论坛发帖出售
10月,冰城警方成功破获一起非法窃取公民信息案, 犯罪嫌疑人麻某供述,其为IT行业从业人员,利用某医疗机构微信公众号的系统漏洞,在今年4月至10月间,通过技术手段非法获取该计算机系统数据10万余条,而后在境外某黑客论坛发帖出售,截至落网前,已非法获利1500美元。
西北工业大学遭美国安局攻击调查报告:窃取中国用户隐私数据
9月5日,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告。调查报告显示,美国国家安全局持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。
虚假冬奥知识竞赛平台致350余万学生信息遭泄露
2月,江苏南通警方侦破一起假借冬奥知识传播活动为名实施诈骗的案件。李某辉伙同汤某峰等人在没有取得冬奥组委会授权的情况下,开发“冬奥知识竞赛平台”,非法获取全国大中专院校在校学生的个人信息350余万条,骗取部分参与者缴纳证书工本费总计1000万余元。
国内40多家金融机构数据被窃,多家知名基金上榜
据澎湃新闻8月报道,国内一“黑客”利用木马病毒非法控制逾2000台计算机,入侵40多家国内金融机构的内网交易数据库,非法获取交易指令和多条内幕信息,进行相关股票交易牟利,非法所得人民币183.57万元。
某公司窃取2.1亿条简历数据,法院作出同类案件“最重”处罚
2月份,北京某科技公司因爬虫窃密案被判处罚金人民币4000万元。该公司在未取得求职者和平台直接授权的情况下,秘密爬取国内主流招聘平台上的求职者简历数据,涉及2.1亿余条个人信息。
专家建议
作为中国新一代信息安全技术企业的代表厂商,明朝万达数据安全专家认为:通过上述安全事件我们可以明显感知,数据安全所面临的形势愈加严峻,无论是有组织、成规模、体系化的专业攻击团体,或者是日益加剧的各类安全事件发生的频度和造成的危害程度,以及急剧增加的各级数据安全风险防护难度等。当前数据安全态势可知,各级组织数据化转型的战略规划与相对滞后的数据安全体系之间的不平衡,数据要素市场化、数据价值释放以及数据资产开放共享等多方面数据发展与数据安全要求之间的相对平衡,以及有组织犯罪团伙和国际政治对抗延申至网络空间的各类高科技水平的威胁攻击与现有数据安全防护体系的有限投入和建设现状之间的矛盾等,注定了数据安全事件高发的必然。未来将会在更加激烈的对抗攻击中寻求数据的发展,通过相对的数据安全支撑数据管理与应用体系。
同时,从数据防护引发的法治事件尤其是个人信息保护相关事件可以看到,当数据被合理善意利用时能够造福社会、造福人民,但被恶意利用时却会对民众和社会公共利益造成威胁和损害。包括我国在内的全球各国政府、各行业监管当局、各级标准化组织都在加强完善关于数据安全和个人隐私信息保护的法律、政策、标准规范的建立制定和发布实施等工作,对从事数据运营的企业或组织在数据安全保护方面的责任和义务提出合规要求。
数据安全与合规已成为基本红线。
政府和监管当局一方而是为了责无旁贷地承担起保护公众个人隐私的责任和使命;另一方面也同时为了给本国经济和社会的数字化转型铺路,为数据相关产业的有序健康发展提供良好的法制基础和竞争环境。伴随国家层面对数据安全的重视,国家及行业涉及数据安全相关法律法规标准持续推出与完善,安全合规要求持续增加,监管力度不断加大,监管内容不断细化,面对众多的法律法规标准条文,需要围绕管理和技术要求进行解析,寻找合规途径,落实合规措施。
数据安全要贯穿数据治理全过程
深入分析各安全事件,可以发现相关机构与部门在数据治理层面,包括企业战略、企业文化、组织建设、业务流程、规章制度、技术工具等方面没有完全落实数据安全的目标和宗旨,没有采取合理和适当的措施,以最有效的方式保护信息资源。在中央全面深化改革委员会第二十六次会议上,审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》,明确了“要把安全贯穿数据治理全过程,守住安全底线,……” 因此构建数据安全保障体系应从认识论、方法论、综合技术能力、行业特点、最佳实践以及投入成本等多方面进行考量,平衡数字化业务发展与数据安全综合治理,坚持“安全贯穿发展”。使得数据保护贯穿数据全生命周期,在数据的获取、使用、传输到存储、归档、销毁各环节,都应设置相应的数据安全管理控制措施,各机构应在数据治理过程中,同步建立数据安全治理体系。