2016年9月,美国著名互联网门户网站雅虎公司宣布,雅虎网络系统中的5亿用户数据遭到泄露。2017年10月,雅虎公司再次宣布所有30亿用户的个人数据被盗取,涉及用户姓名、电子邮件、电话号码、出生日期、登录密码、安全问题及答案等诸多数据内容。事件发生后,雅虎公司成立了安全团队对本次数据泄露事件展开调查,结果证实本次用户数据泄露与黑客入侵有关。迄今为止,雅虎数据泄露门称得上是史上规模最大、最具有代表性的数据安全事件。深入剖析雅虎数据泄露事件能够对我国数据安全防护工作起到警示作用,也可以为世界数据安全事件的处置提供启示。
构建系统规范的数据安全监测预警制度
雅虎数据泄露门发生的一个重要原因是疏于防范数据泄露风险。早在2013年,雅虎公司就因黑客攻击导致10亿用户数据遭到泄露。一年之后,雅虎公司又因类似的黑客攻击导致5亿用户数据被泄露,直至2017年披露的数据显示,高达30亿用户的数据均遭泄露。在本次事件中有超过15万美国政府和军方雇员的信息被泄露,被泄露账户的主人包括美国国会议员、白宫工作人员、国家安全局官员等多个重要机构的工作人员。英特尔负责安全的首席技术官史蒂夫·格罗勃曼表示,“对于将数据当作武器使用的人来说,数据价值连城”。黑客可以利用这些数据创建可搜索数据库(如生日和电话号码),从而实现盈利并参与商业或国家间谍活动的目的。
接二连三的数据泄露说明雅虎公司始终没有重视数据安全风险防范工作,安全漏洞一直没有被彻底发现与填补,最终导致大规模数据泄露事件的发生。如果雅虎公司有着高度的数据安全风险预防意识以及完善的数据安全风险预防制度,那么可能就不会发生如此大规模、连续性的数据安全事件。可以看出,数据安全风险预防环节对于提升数据安全应急能力至关重要。
加强数据安全风险预防环节建设的重点,在于建立包含客观深入的数据安全风险评估制度、高效权威的数据安全风险报告制度、集中统一的数据安全信息共享制度、系统规范的数据安全风险监测预警制度等在内的数据安全风险预防制度体系,积极实现从静态防护到动态防护、从被动防护到主动防护的形式转变,从而真正做到从源头上发现、缓解、消除数据安全风险。同时,通过多层次、多方面、多角度的数据安全预防制度体系,掌握数据安全状况,感知数据安全发展态势,总结数据安全变化规律,预测数据安全未来动向,对数据安全风险作出正确战略研判。
具体而言,一方面,通过数据安全风险报告制度,及时传递上报数据安全风险信息,以便于尽早作出决策。同时,通过数据安全信息共享制度,实现数据安全信息的串联共通,有效促进多方共同预防数据安全风险。另一方面,通过数据安全监测预警机制,实时掌握数据安全状况并依据数据安全风险等级正确发出数据安全预警。
完善高效统一的数据安全应急处置机制
雅虎公司处置本次数据泄露事件的过程较为混乱,没有章法,充分反映出了其在数据安全应急处置机制方面的短板。根据报道,在黑客攻击发生后,雅虎公司并未采取有效的应急处置措施。在技术层面,黑客攻击发生后,雅虎公司没有及时采取技术措施,制止黑客攻击并防止数据的进一步泄露。在补救措施上,数据泄露事件发生后,雅虎公司仅仅是提醒用户更改密码等信息,并未采取强有力的补救措施来制止危害后果的扩大。最后,数据泄露后,雅虎公司并未及时上报和对外公示,甚至直到2016年才正式披露这一事件,体现出其应急反应的片面与滞后。
过于疏松的安全措施与相对迟缓的应急响应是造成雅虎数据泄露愈演愈烈的重要原因。因此,提升数据安全应急能力必须重视数据安全应急处突能力建设,着力完善高效统一的数据安全应急处置机制。
一方面,提升数据安全应急处突能力首先要设计科学合理、贴近实际、切实可行的数据安全应急处置预案,界定数据安全应急处置对象、厘清数据安全应急处置流程、确定数据安全应急处置方法、明晰数据安全责任主体权责、统筹数据安全应急处置机制脉络,确保数据安全应急处置机制的运行做到有章可循、有据可查。
另一方面,数据安全应急处置机制的确立与运行还需要得到法律保障,要在数据安全法、个人信息保护法、网络安全法等上位法律框架之下,不断细化数据安全应急立法,积极出台相关配套规章制度,为数据安全应急处置活动提供明确的法律依据。各数据安全责任主体要根据相关立法内容,结合自身状况,建立高效统一的数据安全应急处置机制、制定切合实际的数据安全应急处置预案、设计运转流畅的数据安全应急处置流程,不断提升面对数据安全事件时的应急处突能力。
打造科学合理的数据安全综合治理体系
雅虎公司在数据泄露事件结束后并未采取明显、有效的恢复手段,也并未对提升自身数据安全综合治理水平作出显著努力。从这一角度来说,雅虎数据泄露事件警示我们必须重视数据安全恢复环节建设。因此,提升数据安全应急能力还需要注意总结经验教训,不断提升数据安全综合治理能力。
数据安全事后恢复环节的主要内容是通过善后恢复与整改提升等方式使数据安全状况恢复甚至超越数据安全事件发生前的状态。
一方面,数据安全责任主体要采取综合措施消除数据安全事件为个人、组织、社会、国家等不同主体带来的不利影响,通过升级数据安全防护技术、弥补数据安全漏洞、通报事件处理进展、更新数据安全基础设施等措施对数据安全治理工作进行整改提升。
另一方面,在积极消解数据安全事件所带来的危害后果的同时,相关数据安全责任主体有必要结合经验教训,从以下五个方面着手,不断完善数据安全综合治理体系。一是着力推进数据安全合规进程,促使自身数据安全应急体系与国家立法内容相协调。二是总结经验教训,不断提升数据安全应急技术标准。三是宣传典型数据安全应急案例,推进数据安全风险意识入脑入心。四是加大数据安全应急投入,努力创新数据安全防护技术手段。五是积极培养数据安全专业技术人才,及时推动数据安全防护基础设施更新换代。
