你或你公司的数据如何被泄露、被利用,谁因此发财致富?这个地下数据产业如何运转、进化,新出台的严刑峻法能否将其遏制?
周末,一篇《数据黑产调查》的深度报道悄然放出,短短一天,阅读量数万。全篇大量真实数据与当事人的证言,交织呈现出一个隐蔽、繁盛、摆不上台面却又暴利加身的黑产生态,也描绘出网安法实施后,数据灰色交易的盛世王国如何从曾经的熙熙攘攘到现在的人心惶惶。
“近期确实抓得很严,我周围不少人进去了,其中有一个人年收入十几个亿的。”一位数据掮客告诉记者。2017年6月1日之后,一群做大数据地下产业的数据采集者和数据掮客常常聚在一起讨论两条最新出台的法规,惶惶不可终日。这篇报道揭露出太多人想说而不敢说的事实。
1. 黑产泛滥,内鬼猖獗成数据泄露主因
据不完全统计,国内个人信息泄露数达55.3亿条左右,平均每人就有四条相关的个人信息泄露,这些信息最终的命运,是在黑市中反复倒手,直至被榨干价值,而大数据的的价值爆发,让黑产看到了更大的市场。
追究泄露源,事实不免让人悲哀,我们总是在谈黑客、谈攻击、谈病毒……然而,一位前黑客对记者说:80%的数据泄露是企业内鬼所为,黑客和其他方式仅占20%。
一位从事数据交易超过十年的从业者道出了“内鬼”频出的重要原因:
由于体量庞大,外包公司和经销商过于分散,大型企业这样的问题很难根治。
过去一些运营商的数据库内部人能直接访问,现在要求内外网隔离,生产库查询库隔离,堡垒机、数据库审计,就是为了避免内鬼往外倒腾数据。
掌握大量数据资产的企业也开始有所动作,一些运营商已经开始上马数据安全项目。这一点,作为安全企业的我们更加清楚。近年,越来越多的用户在谈到自己的安全需求时,除了老生常谈的外部攻击,多半还会提到防内部人员或第三方公司的数据窃取和篡改,希望能通过第三方的数据库安全运维工具限制运维侧高权限人员的数据访问。
2. 黑客生态,打造完整“产业链”
一线黑客多是学历低下、没有固定工作的年轻人,赚来的黑钱大半被“师父”拿走,而“师父”之上还有“师父”。
内鬼、黑客、爬虫以及手握数据的公司与个人之间的数据互换,是构成地下数据交易的主要来源,这些数据再经过清洗、分类,可以从不同的渠道销售出去。数据用途主要是精准营销,也包括身份认证和诈骗。
有些黑客以“创业者”身份示人,但他的另一只手仍在操纵数据地下交易的生意,他对记者这样说:“创业公司不赚钱,只有一个员工的地下数据项目,就能养活有30多个人的创业团队。”
但今年6月1日之前,他们中的有些人嗅到了危险的气息,把风险较大的业务全部停掉,清除痕迹,戴上了“白帽子”。不过,却不会完全放弃这摊生意,而是将自己的数据交易公司用CRM的方式管理起来,保证每个数据源头都查不到任何破绽。可笑的是,为了防止内鬼,他给自己的业务也上了安全手段,将公司整个CRM系统重新整合,现在即使是他也看不到客户的手机号,所有的短信和电话都通过系统的内置功能来进行。不仅如此,所有员工的行为都会被自动记录,哪个账号查看了用户资料,哪个客服拉取的数据量高于其他人,或是搜索其他客户经理的资料,都会被调出来仔细排查。
3. 黑产进化,靠大数据公司洗白
政策法规收紧,传统地下数据产业人士意识到,新冒出来的大数据公司就是“简单粗暴的暴发户”,
“他们太有钱了,本来我们都是小作坊的模式,他们一进来,把我们的生意全都挤没了。”
正是这些新型大数据公司的入局,打破了传统的地下数据交易网络。它们成为数据地下世界的新人。
一位大数据公司高管表示,哪怕是在两三年前,地下数据交易的量都不大,规模普遍维持在数百条信息的量级,但随着需求被放大,整个地下数据产业开始变成半公开化了。
一家2011年成立于苏州的大数据公司,2016年注册用户60万,年营收过亿元。据地下数据产业资深人士透露,这家公司之所以能做到数据全面且便宜原因在于其整合了大量购买数据的小渠道,这些渠道大多不合法。
据权威部门的人员透露,监管部门对非法数据交易和买卖一直都非常重视,但囿于数据价值无法量化评估、交易过程隐蔽等问题,之前没有用一刀切的方式进行监管。但随着监管力度加强,一些大数据公司将迎来厄运。据一位在地下数据产业周旋超过十年、目前是一家大数据公司创业者的人士透露,有一批数据公司要完蛋,包括新三板上市公司,它们主要的数据渠道是黑色产业,一些高管已经进去了。
4. 政策收紧,风声鹤唳,但地下产业仍蠢蠢欲动
一位数据掮客称:“近期确实抓得很严,我周围不少人进去了,其中有一个人年收入十几个亿的。”
2017年6月1日,《网安法》)和与之配套的《两高个人信息司法解释》)开始生效实施。一群做大数据地下产业的数据采集者和数据掮客常常聚在一起讨论两条最新出台的法规,惶惶不可终日。
即便如此,《网安法》之后,仍有大量渠道可以进行地下数据交易。这个“地下黑网”日交易额可达上亿元,整体规模难以估测。只是由于风声紧,黑产从业者也改变了策略,不再大鱼小虾一网打尽,而是谨慎行事,只接大单。
5. 严刑峻法,能否让灰色地带的企业收回脚
《网络安全法》规定了企业收集个人信息必须征得用户同意,否则就是违法。配套出台的《两高个人信息司法解释》则从刑法层面进一步明确了侵犯公民个人信息行为的定罪量刑标准,为执法扫清障碍。
根据《网安法》,企业有责任确保其收集的个人信息的安全。如果用户个人信息丢失,企业必须通知用户,用户有权追责;所有企业都需要一个网络安全负责人,此人应是创始人或高管等对企业有支配能力的人。
许多数据泄露是公司内鬼或黑客所为,这种情况不可能禁绝,但公司若有证据显示自己已设立比较完善的数据安全管理体系,相关刑罚就有可能减免。
《两高个人信息司法解释》制定了极低的入罪门槛——非法获取、出售或提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的即可入罪,如果上述是公司行为,25条即可入罪。某专业人士认为,这意味着,数据地下产业从业者只要被抓,就可能被刑责。
随着网安法的出台,我国在该领域不仅实现了与国际接轨,而且惩处力度有过之而无不及。处在这种新形势下,一些曾游走在灰色地带的企业将脚收了回来。企业开始主动规范数据使用,这是新法压力下的重大进步。据中央网信办网络安全协调局负责人透露,《网安法》的配套法规正在抓紧制定中,包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法、个人信息安全规范等。
后续立法执法将决定数据地下产业的走向,这已是业内共识。
6. 第三方安全厂商——独立开展数据安全体系建设
“就算只有一家云服务厂商碰了客户的数据,我们所有人都会在客户那里失去信任。”提供人才管理云服务的北森云计算CEO感慨道。这句来自云服务商发出的无奈感慨,证明了单靠云服务商自身数据库安全机制无法规避用户数据安全风险。想取得用户的信任,最好的方式是把责任交出去,引入第三方独立安全厂商提供更安全服务,确保数据资产所有权掌握在用户自己手里。
“专业的数据安全服务商”是和云服务商无利益关联的独立第三方,因此在数据安全体系搭建之初就秉承着完全客观、公正的立场,从安全本身出发来思考问题, 提供给云上用户一份中立、客观的解决方案。加上“数据安全服务商”在数据安全建设方面不管是技术沉淀、产品价值还是经验积累、服务支持都具备绝对优势,具备足够解决安全威胁的能力。这也是为什么向阿里云这样的大型云服务商依然会选择与安华金和等数据安全企业达成方案合作,而不是简单的收购或是自己开发,除了技术门槛高,更重要的是,他们需要独立的第三方为其云服务加持安全属性,而不是又做球员又做裁判。
实际上,云服务商及时获得了用户信任,愿意将数据和业务放在云平台上,其自身商业数据同样需要保护,面临与用户同样的安全需求。目前看来,将安全交给第三方将成为一个主流的趋势,至少安华金和看到,国内外各大主流云平台正在与我们接触和合作,而我们也很乐于将多年积累的能力与云平台结合,未来数据在哪,安全就在哪。
后记:
中央网信办网络安全协调局负责人近期透露,《网安法》的配套法规正在抓紧制定中,包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法、网络关键设备、网络安全专用产品目录和个人信息安全规范等。
业内共识,后续立法执法将决定数据地下产业的走向。一位大型互联网公司法务人士表示,目前的立法大方向兼顾技术商业创新和用户利益,缺点是“不细”。一位仍然游走在灰色地带的人则表示:“我们都在等新法后的第一个大案,看看怎么判。”
安华金和正是这样一个基于云平台但又独立于云平台的第三方安全服务商,我们的产品欢迎了解。
阿里云市场官方店铺:https://shop14d60793.market.aliyun.com/
云安全产品限时体验:http://www.dbscloud.cn/dbscloud1111.html
备注一下:上面有些数据和内容援引自《财经杂志》,感谢财经杂志的深入调查。
