企业缺乏重视 数据库未加密较常见

本篇文章2632字，读完约7分钟

一石激起千层浪。在深圳王诜视觉科技有限公司(以下简称王诜视觉)被控数据泄露后，数据安全再次成为业界关注的焦点。

在过去的2018年，facebook数据泄露事件引发了关于数据隐私和人工智能技术信任机制的热烈讨论。朱华集团在黑网上兜售的3亿条快递物流数据和泄露的5亿条市民个人信息等事件也引起了业界的广泛关注。

据国外媒体报道，深网地平线数据库被曝光的原因是深网地平线无法用密码保护数据库，任何人都可以在线搜索数据库。云和恩摩董事长盖国强对《国家商报》表示，行业内数据库不设置密码的情况并不少见，但后续需要企业的运营和维护来加强管理。深层网络中数据泄露的原因之一可能是缺乏数据库管理和维护。

数据库经常“裸奔”

数据安全这个话题永远不会过时。美国电信巨头威瑞森在2018年数据披露调查报告中称，黑客、恶意软件和社交攻击(如网络钓鱼)是过去一年中最严重的安全违规行为。结合近年来的数据泄露事件，阿里巴巴云安全专家易信曾发文指出企业在数据安全管理上的几个误区，不仅包括管理者对业务系统的漏洞和安全风险幸灾乐祸，还包括敏感数据字段没有加密，一旦泄露，就是明文数据。

在与盖国强交谈时，国家商报记者了解到，行业内的数据库不设置密码是很常见的。

“数据库，尤其是一些开源数据库的早期版本，没有密码，这是非常常见的。例如，微信与手机绑定后，可以通过手机号码登录，无需密码，这是许多数据库的情况。但是，后续的运营维护需要企业加强管理。”盖国强说，“深网视界在这方面可能有问题。既没有密码也没有dba(数据库管理员)来维护它。”

盖国强认为，成熟的技术人员不应该将数据库直接暴露在公共网络上。“如果你把它放在服务器的后端，别人就不能扫描它，所以你就不能登录，这样比较安全。像oracle这样成熟的商业数据库不会轻易暴露，而且密码验证和身份验证也相对完整。”

事实上，由于未设置数据库密码而导致的数据泄漏并不是孤立的情况。不久前，国际网络安全咨询公司hackenproof的网络风险研究主管鲍勃·迪肯科(bob diachenko)在推特(Twitter)上披露了这一消息，称在互联网上发现了一个未受保护的“蒙古数据库”(mongodb)，该数据库泄露了超过2.02亿中国公民的个人信息，并详细记录了大量个人隐私。这个数据库“裸奔”了将近一周，其间至少有十几个入侵者访问过。

企业很少关注一些用户数据

随着互联网及相关技术的发展，大数据的影响已经渗透到日常生活的各个方面，公众对数据安全的担忧也越来越大。事实上，一旦数据被存储，就会有泄露的可能，企业不可能绝对避免这样的事情。然而，由于企业重视不够和操作不规范，导致数据泄露事件时有发生。

以开源数据库为例，由于它是免费的，许多企业不使用它来携带关键的核心数据。“例如，人脸识别数据对用户来说非常重要，但对公司来说，这些数据可能并不重要。”盖国强说。

事实上，盖国强提到的“数据的重要性”与企业的业务场景和用户可能遭受的损失有关。银行数据的丢失或篡改会直接影响用户的资产，但人脸识别数据泄露后给用户造成的直接损失很难衡量。企业通常不注意保护这部分数据而不造成直接经济损失。

数据泄露不仅会给人们带来安全隐患，还会对相关公司的业绩产生负面影响。2019年初，天丰证券评论称，facebook的隐私风波不断挑战管理层的信用，丑闻频发。源自“用户隐私折扣”的“管理信用折扣”令人失望，在过去两个季度中，绩效增长率从40%以上降至近30%。

2018年7月，由ibm发起并由ponemon独立调查的《2018年数据披露成本分析报告》显示，数据披露的平均成本从2017年的362万美元增加到386万美元，每条被盗记录的平均成本从2017年的141美元增加到148美元，未来两年重大数据披露的可能性也略有增加。此外，事故应急响应团队能够收回的成本平均约为每条记录14美元。

西南政法大学副教授蔡飞在接受媒体采访时表示，在个人与企业之间的“结构性不平等”中，企业不应将简单的个人信息协议作为用户信息保护的法律合规性基础，而应深刻认识到，随着企业能力的扩大，法律责任或社会责任也会扩大。

个人敏感数据保护意识增强

关于数据保护和网络安全的研究已经很多。中国信息与通信研究院发布的《互联网法律白皮书》(2018)显示，当前全球网络安全形势日益严峻，敲诈勒索、网络盗窃、银行欺诈、网络间谍、破坏互联网服务等网络安全事件激增。国家对网络的高度依赖和极其脆弱的网络安全之间的矛盾十分突出。

“那么，最终取决于什么呢？最终的解决方案取决于政策法规的强制性规定。”作为一名在安防行业工作多年的员工，盖国强有着深厚的感情。他认为，未来数据安全的改善应在很大程度上基于国家立法。

《国家商报》记者发现，在过去的一年里，中国不断完善对个人信息的监管。2018年8月27日，《民法典》各部分草案提交第十三届全国人民代表大会常务委员会第五次会议审议，进一步加强了对隐私和个人信息的保护。2018年9月10日，《个人信息保护法》被列入第十三届NPC人大常委会立法计划。2018年11月30日，公安部发布了《互联网个人信息安全保护指引(征求意见稿)》。

然而，正如上述白皮书所述，目前大多数国家尚未制定统一的网络安全基本法。在这一领域，亚洲国家取得了相对较快的进展，日本和新加坡推进和完善了网络安全的基本立法程序。

另一方面，欧美国家的相关法律法规也有一定的借鉴意义。欧洲联盟制定的《一般数据保护条例》规定，在欧洲联盟所有成员国收集、传输、保留或处理个人信息的任何组织都受该条例的约束。

gdpr生效后，欧洲监管机构发起的最引人注目的调查与facebook有关。2018年9月，facebook宣布遭受了史上最大规模的黑客攻击，但直到两个月后，facebook才向欧洲监管机构报告了数百万用户被泄露的照片。根据gdpr规定，由于用户数据泄露和多次违规，facebook可能面临高达16亿美元的罚款。

信达证券相关研究报告显示，由于用户信息泄露事件的频繁发生，用户更加注重对个人敏感数据的保护，企业获取用户数据将变得更加困难，因此有价值数据的垄断程度也会提高。

此外，上述研究报告提到，数据泄露事件可能会在短期内引起大数据行业对数据滥用的一些担忧，但从长期来看，它将促进大数据使用的规划和制度化，促进中国关键领域数据收集和使用的独立控制，从而有利于国内大数据行业的长期发展。

来源：环球邮报中文网