最高检发文要求打击行业信息泄露“内鬼” 网络安全厂商有何良策？

近日，最高人民检察院印发《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》（下称《通知》），要求深入开展依法打击行业“内鬼”泄露公民个人信息违法犯罪工作，积极配合“清朗”系列专项行动，探索积累常态化监督办案的典型经验。

 

为了对泄露公民个人信息的不法行为形成高压态势，有效打击“内鬼”，《通知》提出要聚焦重点行业、重点领域、重点群体开展监督办案，具体包括容易产生个人信息泄露风险的重点行业；金融、电信、互联网、就业招聘行业中容易产生电信网络诈骗违法犯罪风险的重点领域；以及容易受到侵害的老年人、在校学生、未成年人等重点群体。

 

《通知》强调要进一步加强网络空间溯源治理，利用“制度+技术”手段，探索通过领域、行业等关键词自动抓取和智能算法技术，完善信息安全风控系统，对内部账号进行实时监控，改革线索产出的供给侧。

 

在大数据时代，每个网民的上网行为数据和个人信息都会被平台收集存储，一旦平台发生数据泄露事件，用户个人信息就会面临被“裸奔”的窘境，《楚门的世界》完全可能真实上演，令人不寒而栗。

 

围绕个人信息数据安全的问题，虽然国家陆续出台了一系列保护公民信息安全的法律法规，业内公司持续完善用户数据安全的“护城墙”，相关部门和个人对相关违法违规行为的监督检举力度也不断加强，但在黑灰产的巨大利益诱惑下，还是会有不少“内鬼”选择铤而走险。

 

 

 

近些年，关于企业内部员工窃取数据非法销售或离职员工恶意泄密相关的安全事件屡有发生，“内鬼式”泄密也已经成为摆在企业网络安全面前的一道难题。

 

数据显示，2021年，全国检察机关起诉侵犯公民个人信息犯罪9800余人，同比上升64%。其中起诉泄露公民个人信息的“内鬼”500余人，涉及通信、银行保险、房产、酒店、物业、物流等多个行业。

 

2022年4月，华为员工易某调离岗位后未清理ERP登陆信息，利用bug越权访问，将所获得数据透露给华为供应商、上市公司金信诺获利，最终被判犯非法获取计算机信息系统数据罪，判处有期徒刑一年，并处罚金人民币二万元；

 

2022年4月中旬，柳州市某医院从事信息技术工作的职员唐某、邱某、叶某等人，利用职务便利非法获取柳州市多家医院的医生用药相关数据，并通过转让上述数据获利，最终被判非法获取计算机信息系统数据罪，对6人分别做出相应判罚；

 

2020年7月，圆通快递河北省区内部员工与外部不法分子勾结，利用员工账号和第三方非法工具窃取运单信息，导致40万条个人信息泄露，涉案金额达120余万元......

 

屡屡发生的相关案例均已证明，包括医疗、通信、金融、酒店、房产以及互联网在内的多个行业都已成为了内部数据泄露的“重灾区”。据安全419了解，内部泄密的渠道主要有以下几类：

 

利用电子邮件转移窃取的公司资料占所有信息窃取的八成以上。很多企业不装软驱、光驱、USB接口，却没有办法避免员工通过电子邮件的窃取信息。

 

一般情况下，一个为企业服务半年以上的员工，离职后会和公司现有员工保持频繁的联系，并且对公司的资料和状况表现出极度的热情，或者从之前在职时期过往的资料中，找寻下载相关可用数据。

 

由于员工疏忽大意将重要资料发送错误的对象，或操作失误，造成的数据泄露，这些带来的损失可能更甚于网络攻击。

 

 

 

据此前采访奇安信了解，为帮助政企单位解决因内部人员造成的敏感信息泄露的事件，防止“内鬼”利用办公CRM系统、OA系统、HR系统、财务系统等获取数据，通过拍照、截图等多种方式泄露企业敏感信息的行为，奇安信曾经发布一款“奇安信网神应用数据访问控制系统”。

 

该系统在帮助客户“摸清家底”，梳理数据资产，全面感知敏感数据的同时，还能够提供敏感数据动态脱敏、水印等功能规避敏感数据泄漏风险，并通过对政企单位内网业务统一集中管控提升数据安全管理能力，帮助客户构筑 “数据能看清、流转可监测、风险能感知、泄密可追溯”的核心能力。

 

据介绍，该系统包含包括敏感数据动态脱敏，网页及文件自定义水印，客户、网页、API风险分析，泄露事件行为审计和水印溯源，站点、账号集中管理，以及敏感数据资产可见在内的六大功能，解决用户敏感数据智能脱敏、异常数据访问行为拦截、数据泄密者身份追溯、敏感数据资产全生命周期监控管理的多种需求。

 

 

针对组织内部敏感数据的扩散滥用、内部人员恶意泄密以及攻击窃取等数据泄露问题，业内新兴数据安全厂商——数安行提出了一种名为数据运营安全（DataSecOps）的全新防护理念：站在数据运营的角度重新理解安全风险产生的原因，围绕数据运营的全过程展开防护，为数据运营内嵌数据安全属性，通过数据运营安全平台构建全流程的数据自适应访问控制和防护规则体系。

 

数安行DSO实验室安全专家在采访中介绍，数安行旗下的零信任数据运营安全平台在敏感数据资产智能梳理，全类型多源敏感数据资产探测，环境及用户风险检测评估，全流程敏感数据标注跟踪以及轻量化敏感数据响应保护等方面具有独特的优势，能够帮助企业约束敏感数据有序流转、合规使用，更安全地进行数据的协作共享。

 

该平台支持上万种格式的全类型数据识别，内置各行业商业数据、个人信息等结构化和非结构化数据的精细分类模型。更接近业务数据、更接近用户及终端应用的全流程敏感数据自动标注跟踪，可以实时感知敏感数据扩散及滥用风险。通过轻量化微隔离的防护技术，可以有效防止各种恶意的敏感数据泄露和窃取行为。

 

数安行DSO实验室安全专家指出，内部人员泄密已经成为个人信息泄露最难防范的环节，建议各重点行业领域相关企业从内部机制着手，严防“内鬼”，筑牢风险防控的第一道关。要从技术、制度上有效地梳理识别清楚个人信息等敏感数据资产的分布和流动情况，实时掌握非法使用、滥用、窃取等安全风险动态，只有从源头治理，才能最大程度地避免下游衍生个人信息非法倒卖等活动。