圖片來源@視覺中國

文丨陳根

在數字經濟時代，數據是最核心的生產要素。事實上，生產要素的轉換也是社會更迭的重要標志。當前，圍繞數據的搜集、加工、分析、挖掘過程中釋放出的數據生產力，正在成為驅動經濟發展的強大動能。

對于企業來說，當前市場競爭很大一部分正關乎數據權屬的競爭，數據收集規模較大的公司通常擁有覆蓋各領域的大量移動應用程序。比如，騰訊公司開發了516個移動應用程序，使其能夠在安全、社交、新聞、音樂、游戲等多領域的數據收集中占優勢地位?？梢哉f，數據的防護關乎到整個公司的存亡。

然而，外賊易擋，家賊難防。企業數據泄密事件通常是由組織內部的員工或領導者引起的，如何應對這種“內鬼式”的數據泄露已經成為擺在企業網絡安全面前的一道難題。

外賊易擋，家賊難防

事實上，個人信息數據安全早已成為老生常談的問題。數據安全是數字經濟發展的一大基礎，包括電子商務、打車出行、刷臉支付等在內的各類線上服務都與用戶個人信息深度捆綁。數據安全的城墻一旦被攻破，公民信息將失去保護，各類違法侵權事件也將隨之而來。

近年來，國家陸續出臺了一系列保護公民信息安全的法律法規，業內公司持續完善用戶數據安全的“護城墻”，相關部門和個人對相關違法違規行為的監督檢舉力度也在不斷加強。但這依舊沒有攔住堡壘從內部被攻破。

近年來，關于內部人員竊取數據非法銷售的事情可以說是層出不窮。比如，特斯拉前員工馬丁·特里普（Martin Tripp）盜取的“數十份有關特斯拉的生產制造系統的機密照片和視頻”；蘋果公司前員工張曉浪在參與無人駕駛汽車項目時，憑借職務關系，通過“廣泛的內部安全和機密數據庫訪問權”非法獲取大量信息；臺積電任職10年的技術副總，將16nm、10nm等機密文件非法保持，準備離職。

內部人員盜取數據并非偶然，從希拉里·克林頓、斯諾登、“閨蜜門”，到SWIFT、泰國的ATM機，大都是“自己人”在搗亂。據調研機構波洛蒙研究所的調查，組織的內部員工的無意行為是最常見的內部威脅形式，占數據泄露事件的64%，而外部攻擊行為只占數據泄露事件的23%。

“內鬼”導致的數據的泄露幾乎跨越了所有的生產生活行業。在教育培訓行業，更是有很多家長都有曾被教育培訓機構的推銷電話騷擾過的經歷。這些教育培訓公司，為了拓展業務，接到生源，鋌而走險，非法獲取家長個人信息的案例屢見不鮮。

在家裝、房產中介、地產開發業以及酒店業，無錫倒賣公民信息案令人們印象深刻：2020年3月19日一家裝潢公司營銷人員李某在網絡聊天群內，買賣無錫多個小區業主的個人信息，倒賣公民信息超500萬條，涉及樓盤名稱、業主姓名、身份證號、電話號碼、樓棟號、房產面積等敏感隱私信息。

但最嚴重的還是銀行保險等金融行業。銀行是人們最依賴的機構之一，但同樣也是滋生各種類型“內鬼”的土壤，泄露在“暗網”的個人信息60%以上都來自金融行業。

幾日前，《經濟參考報》記者獲得某證券機構資金50萬以上優質股民信息頁面截圖。頁面顯示，25969條數據，標價168美元，擁有姓名、開戶證件號、性別、年齡、籍貫、手機號、浮動盈虧等9個數據維度。

發帖者表示：“姓名、身份證號碼、手機號碼等信息可自行驗證，數據不多，貴在真實。”該數據自2021年1月17日發布，顯示已成交3單。

國家計算機信息安全測評中心數據顯示，重要資料被黑客竊取和被內部員工不當泄露提供的比例為1：99。消金社曾咨詢了數位查詢流水的黑產從業者，有人表示“數據源是從銀行后臺出的，你可以打印出來?！?/strong>

一位曾在某商業銀行任職一線柜員的員工也表示，其所在銀行的柜員只需進入后臺系統，就可隨意查看客戶一段時間內的交易流水，無需授權。河南工業大學曾對鄭州商業銀行300位客戶經理進行問卷調查，結果顯示：

60%以上的客戶經理所在銀行沒有建立客戶信息保密制度，不了解客戶信息的范圍；70%的客戶經理認為所在銀行的客戶信息保密制度過于原則，沒有覆蓋客戶信息收集、整理、提升和使用的各個環節；90%的客戶經理認為客戶信息主要掌握在客戶經理手里，所在銀行沒有規定統一保護措施，工作調動可以隨意帶走客戶信息，不存在任何制約措施。

可以說，任何行業，信息安全的把關不嚴，都為“內鬼”鉆漏洞泄露個人信息提供了天然的土壤。如何應對這種“內鬼式”的數據泄露已經成為擺在企業網絡安全面前的一道難題。

拒絕“內鬼自盜”

據不完全統計，國內個人信息泄露數達55.3億條左右。平均算下來，每個人就有4條相關的個人信息被泄露，車輛、房產、地址、職業、年齡、電話號碼、身份證信息等在黑市上頻繁流動。

國內知名信息安全團隊“雨襲團”去年10月發布報告稱，在一年半的時間內，高達8.6億條個人信息數據被明碼標價售賣，個人數據基本處于裸奔狀態。大量的數據被竊取，這給用戶的個人信息安全帶來了極大的風險與隱患。

近年來，國家陸續出臺了一系列保護公民信息安全的法律法規，業內公司持續完善用戶數據安全的“護城墻”，相關部門和個人對相關違法違規行為的監督檢舉力度也在不斷加強。

即便如此，個人信息泄露的事件仍時有發生?？梢?，守護好個人信息數據的安全，不僅需要法律法規的保障、技術力量的支撐，需要有關企業提高安全意識、責任意識，還需要行業從業人員具備基本的職業素養和道德操守，也需要社會輿論拓展監督視角。

一方面，要確認企業對客戶數據泄露事件的擔責。即公司“內鬼”、黑客外部攻擊等導致數據泄露的情況出現后，企業要承擔責任，因為其對數據具有安全保障責任。盡管從目前的實踐看，數據泄露事件發生后，查找與之對應的責任人可能存在一定難度，但作為數據管理者的企業卻很容易找到，用戶可以要求數據管理者承擔責任。

國家網絡安全法明確規定，網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。也就是說，雖然企業可能也是數據泄露的受害者，但如果其未盡到企業網絡安全保護義務的話，仍要承擔包括行政處罰責任在內的法律責任。

法律責任的確認將幫助企業更在意內部數據安全管控，防止數據從內部被竊取。懲罰機制的存在，讓企業感受到危機，它們才會真正重視數據的泄漏，正本清源地清除“內鬼”。比如，在國外，企業泄露用戶信息后，將面臨天價罰款。2019年，因為用戶信息被泄露，Facebook就被罰款50億美元。

另一方面，大數據時代，要想從根本上解決信息泄露問題，還是要依靠先進的技術，建立可信身份認證體系、安全態勢感知以及高級威脅終端監測及響應等。

從可信身份認證體系來看，身份認證與業務場景密切相關，不同場景對身份認證的強弱度要求不同，這包括身份管理、訪問管理、高級認證、身份威脅分析、特權賬號管理、堡壘機、互聯網接入認證、網站統一認證等方方面面。

防范“內鬼”最常用的方法非“4A”莫屬，它通過對IT系統的賬號（Account）、認證（Authentication）、授權（Authorization）和審計（Audit）進行統一集中管理，解決了“When”、“Where”、“What”、“Who”、 “How”這樣的問題。

安全態勢感知則通過使用人物畫像、上下文感知、威脅情報、專業運營等技術與服務實現內部威脅發現的高命中率，并智能協同安全防護設備進行實時控制，自學習的人物安全基線驅動彈性授權，實現自動化、智能化的事后、事中、事前管控。

高級威脅終端監測及響應則像是終端行為記錄的高清攝像頭，能夠將內核態和用戶態的詳細記錄匯總到服務器進行關聯分析和高級查詢。

此外，在可能出現個人隱私和信息泄露環節，要用技術將信息匿名化，這些匿名信息只有系統能識別，而行為人不能識別、獲取。比如，數據脫敏（DM）就是一種主動預防技術，旨在通過向用戶提供高度仿真的數據，而不是真實和敏感的數據，同時保持其執行業務流程的能力，從而防止濫用敏感數據。

最后，對從業人員來講，利用職務便利侵害用戶權益，傷害的不只是自己賴以生存的行業企業，更會傷害自身。無論是為企業長遠發展，還是為個人進步成長，從業人員均應始終堅持以用戶信息安全為先決要義。

顯然，數字經濟的長治久安和行穩致遠，除了有賴于不斷完善的法律法規、持續進步的科學技術、嚴細深實的市場監管，還需要每一個企業和組織根據自己的情況來設計出合適的培訓方案、安全應急響應方案以及取證分析方案，而不是因為其中潛在的安全問題陷入困境，也拒絕“內鬼”在這塊溫床中肆意妄為。

更多精彩內容，關注鈦媒體微信號（ID：taimeiti），或者下載鈦媒體App