趣店學生數據泄露事件,對我們有什麼啟示?

據新聞報道,近期黑市上出現一份數據,稱是「趣店學生用戶數據」,包含了百萬的學生信息。該數據維度極細,除學生借款金額、滯納金等金融數據外,甚至還包括學生父母電話、男女朋友電話、學信網賬號密碼等隱私信息。

這個事,再次對所有的互聯網金融從業者、對個人投資者,敲響了警鐘。

數據安全與客戶隱私的保護,是新金融企業的立身之本,馬虎不得。

沒有出現安全問題的,不代表自己的制度、流程和技術措施就已經很到位了,只是沒有碰到而已。

縱觀以往見諸於報道的各種數據泄露事件,其原因無法以下四種:

1、內部人竊取數據

這種是比較常見的,也是性質最惡劣的。內部的人員,最有機會接觸企業的重要業務數據,而且層級越高、接觸的機密越多。一旦有人為利益或者怨恨所驅,就很容易在數據上做文章。

例如這次的趣店的泄密事件,按照多位趣店離職員工的說法,「很多員工都可導出數據,這極可能是內鬼外泄」。

竊取的方式也多種多樣,能夠批量導出當然最好;不能導出或者怕留下痕迹,可以拍照;也可以內外勾結,植入病毒。

最近熱播的胡歌主演的電視劇《獵場》,其中一幕就是胡歌作為第三方的卧底入職到一家外資銀行,然後藉機打開主管的電腦,調出理財客戶的名單,準備用手機拍照,盜取數據。

內部有人要作惡,是防不勝防的。

2、網站存在安全漏洞,被外部人侵入

老祝認識的一家電商網站,就曾經因為SQL注入(通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字元串,最終達到欺騙伺服器執行惡意的SQL命令),被人從資料庫盜取了大量數據。

尤其初創的互聯網企業,各方面都是剛起步,在安全防護的軟硬體設施、代碼規範上,都還比較粗糙的,此類問題更為嚴重,一旦被人盯上,很容易出現數據安全事件。

3、管理疏忽,暴露於外

其實所有的安全問題,最終都可以歸結為管理的問題。

管理的問題,又包括意識的問題、制度和流程設計的問題、執行的問題等等。安全意識淡漠、對客戶隱私保護的覺悟不高,又是管理問題的根源。

例如,對互聯網金融企業來說,如果操作後台,隨便一個人都能查看客戶列表,客戶列表可以直接顯示手機號,那說明根本沒有任何的安全管理。

4、被第三方機構截取

曾經有公司號稱可以獲得各大P2P平台的精準用戶手機號,並進行定向推送,例如某金所的用戶定向簡訊推送。深入了解,實際上也並不算太精準,大致是知道某個手機號訪問過哪些網站或者App。要做到這點,必須基於電信或移動的網路,進行用戶行為的跟蹤。這種不是一般人能夠搞得的定的。

現在很多金融科技企業也都會使用第三方提供的反欺詐服務,在使用時,比如會需要向服務商提供用戶的手機號信息,這裡也涉及數據安全的問題。如果選擇了一個技術實力不強、管理不嚴格的服務商,同樣也存在數據泄露的風險。

要有效地對企業數據尤其是客戶信息,進行有效的保護,必須從理念、人員、制度、流程、技術、績效等多個方面入手,形成嚴密的體系,否則,任何一個環節的疏忽,都會導致全局的潰敗。

第一,觀念先行,必須將數據安全提高到關係企業生死的高度。

企業中的每個部門、每個崗位、每個員工,都要有安全意識,都要重視對客戶的信息安全的保護。貫徹安全意識,不能光靠口號,而要通過具體的事例來傳達。可以是圍繞某個排查出來的安全隱患,進行獎懲,對補救措施進行大範圍討論等等。具體生動的實例,在企業內部流傳、激發最大程度的參與,最能有效地將一種觀念植入人心。

其次,選對人,安全的問題就解決了一大半。

對會接觸重要數據的崗位,其人員招募、選拔,非常關鍵。只有具有良好品行、專業自律的團隊成員,才能查詢或者操作有關數據。

第三,數據安全的管理制度和內部控制體系需要建立和健全。

許可權管理制度、保密制度、數據備份制度、安全審計制度等基本的制度體系,必須建立起來。

企業應設立數據安全與保護的專崗,定期對整個安全體系進行審視,排查隱患,建立控制節點,持續地改進。

CEO,就應該是最大的安全管理員,審視內部的數據安全管理規程、推動各項措施的落地。例如,關於數據導出,一個非常基本的原則,就是無特殊情況,各個列表均不應設置導出按鈕;必須要用到導出的,許可權只給特定的管理員,要進行脫敏處理,且導出的數據不得拷貝。

又比如,金融科技企業,很多用戶會涉及到更換銀行卡,一般都要提交很多個人資料,例如身份證正反面照片、手持身份證的照片,這些都是敏感數據。除了許可權控制,也需要建立定期的銷毀機制,對已經過了時效,及時清除,這也是對用戶隱私的一種保護。

第四,做好定期的安全測評。

公安部的「等保三級」測評和工信部的安全防護測評,各有側重,是非常有效的安全保護和改進機制。按照監管的要求,實際上對網貸平台來說,要備案、要申請ICP,這些都是必須經歷的程序。

這樣從一個側面說明,監管落地後的網路借貸企業,確實在各個方面都更加規範和可信賴了。

第五,規範與第三方的合作機制。

在與外部機構合作時,首先要選擇專業的、具有公信力的品牌機構,不能因為價格原因,而降低供應商的選擇標準,因小失大。

合作過程中,對數據提供的範圍要進行嚴格的限定,不能把非必要的數據都提供給對方;

同時,進行有效的監控,一旦發生數據泄露事件,可以快速地定位到泄露的源頭。

對在互聯網上理財投資的個人而言,也要非常注意個人信息的保護。

與其寄託於別人,不然先把自己的工作做到位。

1、不要輕易「出售」自己的個人信息。

現在各種商家,都會在營業網點、微信朋友圈、今日頭條廣告等各個地方,以紅包、抵扣券等等方式,誘導個人關注微信公眾號、留下個人手機號,甚至身份信息。

實際上,這就是一種交易。

你領到一個紅包5元,掂量了一下,決定輸入手機號領取,說明你願意「出售」自己手機號的價格,就是5元。

如果這5元要提現,還需綁定銀行卡,你可能會放棄;

但如果是20元,你可能就願意綁卡了。

這說明,你願意交出自己身份信息和銀行信息的價格,是20元。

當然,這裡的交易是有前提的,你是假設商家會嚴格保護你的隱私,否則給200元你也不一定願意。

這就要求,在面對各種羊毛時,我們要謹慎地評估對方是否是可信賴的,是否會遵守基本的商業道德,只選擇靠譜的參加,或者乾脆不參加。

2、保持必要的安全敏感度。

在手機上進行某個操作前,要仔細想想,這裡面是不是有什麼坑?會不會被App運營方獲得隱私數據?是不是一定要給?

例如,前段時間瀏覽新聞時,會經常出來廣告,說提供「公積金查詢」工具,然後你去查詢了,公積金賬號、數據實際上都給了某個放貸公司。

還有你的通訊錄許可權,也不要輕易點擊同意,一旦同意對方就可以獲得通訊錄中的所有手機號和姓名。

有了安全意識,隱私暴露的風險也會減小很多。

這個年代,對個人信息的保護,整體上是非常槽糕的。

立足長遠發展的企業,必須從起步階段,就要重視數據安全,高度自律,並建立配套的制度、流程和技術措施,讓客戶可信賴。

而對這些互聯網產品的用戶而言,除了提高安全意識外,關鍵還是在於選擇,不短視、不輕信,把信息託付給可以託付的企業。

作者微信公眾號:老祝說


推薦閱讀:

闢謠:對越作戰典型謠言之1979年回撤階段損失很大
如何看待 AcFun 被奧飛收購?
今天,我找回了夢開始的初心
信息不對稱、網紅、分類器、我們更遠了還是更近了
植物大戰殭屍2為什麼不發布PC版本?

TAG:金元宝理财 | 互联网 | P2P网络借贷平台 |