近年來,公民隱私數(shù)據(jù)泄露問題突出,個(gè)人信息安全與保護(hù)引發(fā)全社會關(guān)注,多項(xiàng)研究數(shù)據(jù)表明,內(nèi)部人員泄露信息是侵犯公民個(gè)人信息犯罪的主要源頭。
?
國家計(jì)算機(jī)信息安全測評中心數(shù)據(jù)顯示,重要資料被黑客竊取和被內(nèi)部員工不當(dāng)泄露提供的比例為1:99;安全研究機(jī)構(gòu)波洛蒙研究所的調(diào)查數(shù)據(jù)顯示,企業(yè)“內(nèi)鬼”造成的數(shù)據(jù)外泄威脅占數(shù)據(jù)泄露事件的近70%;據(jù)《財(cái)經(jīng)》雜志報(bào)道顯示,有80%的數(shù)據(jù)泄露是企業(yè)內(nèi)鬼所為,黑客和其他方式僅占20%。
?
公安部在近日召開的新聞發(fā)布會中介紹,3年來全國公安機(jī)關(guān)嚴(yán)打侵犯公民個(gè)人信息違法犯罪活動,重拳打擊行業(yè)“內(nèi)鬼”,共抓獲各行業(yè)“內(nèi)鬼”2300余名,覆蓋政府、醫(yī)療、教育、房地產(chǎn)、物流、電商等多個(gè)行業(yè)。
?
以下為部分侵犯公民個(gè)人信息犯罪典型案例:
?
公安
2023年2月,安徽某縣人民法院以侵犯公民個(gè)人信息罪判處甲某有期徒刑一年四個(gè)月,并處罰金人民幣兩萬五千元。經(jīng)查,被告人甲某系某縣公安局交通警察大隊(duì)秩序科警務(wù)輔助人員,在職期間,甲某利用同事的公安數(shù)字證書在公安網(wǎng)查詢公民個(gè)人信息,并以每條5-10元不等的價(jià)格出售給多人,共計(jì)出售公民個(gè)人信息約3000條,非法獲利22145元。
?
政府
2023年5月,新疆和田某縣住房公積金辦工作人員努某利用職務(wù)便利,非法獲取并向和田某房地產(chǎn)開發(fā)公司栗某等人出售大量公民信息,栗某等人將上述信息分別轉(zhuǎn)賣至建材家居、裝修設(shè)計(jì)等公司,并雇傭人員向受害人進(jìn)行精準(zhǔn)營銷。2023年6月,和田地區(qū)公安機(jī)關(guān)將努某和栗某抓獲,查獲非法收集公民個(gè)人信息1萬余條。
?
教育
2023年7月,北京某大學(xué)碩士畢業(yè)生馬某某因在校期間盜取校內(nèi)數(shù)據(jù),收集學(xué)生個(gè)人信息,被當(dāng)?shù)毓簿忠婪ㄐ淌戮辛?。?jù)了解,馬某某所收集的信息包括照片、姓名、學(xué)號、籍貫、生日等,并公開發(fā)布在網(wǎng)站上。據(jù)同學(xué)反饋,馬某某就讀期間曾在學(xué)校信息中心勤工儉學(xué),有機(jī)會使用高權(quán)限賬號,推測是那時(shí)通過超級管理員登錄并獲取到學(xué)生信息。目前案件正在進(jìn)一步調(diào)查中。
?
醫(yī)療
2022年4月,麥某利用從事衛(wèi)生院防疫工作職務(wù)便利,非法收集公民個(gè)人信息,再將上述信息出售給墨玉縣某房地產(chǎn)公司員工布某非法牟利,布某雇傭人員通過撥打騷擾電話進(jìn)行精準(zhǔn)營銷。今年5月,和田地區(qū)公安機(jī)關(guān)將麥某、布某抓獲,查獲非法收集公民個(gè)人信息1.6萬余條。
?
金融
2023年3月,福建省莆田某區(qū)人民法院判決陳某犯侵犯公民個(gè)人信息罪,判處有期徒刑二年六個(gè)月,處罰金5萬元,沒收違法所得4萬元,上繳國庫。據(jù)悉,陳某將自己在銀行履職過程中獲得的客戶銀行賬戶名、賬戶余額、賬戶掛失狀態(tài)等公民個(gè)人財(cái)產(chǎn)信息逾558條出售給周某某,非法獲利4萬元。
?
交通
2023年8月,廣東省佛山市某區(qū)人民法院通報(bào)了一起高鐵站員工利用職務(wù)便利,有償代查或出售明星隱私行程的案件。法院判定被告人的行為已構(gòu)成侵犯公民個(gè)人信息罪,除應(yīng)承擔(dān)刑事責(zé)任外,還應(yīng)支付共計(jì)56萬余元的侵害社會公共利益賠償金。
?
企業(yè)
2023年6月,昌平網(wǎng)安部門發(fā)現(xiàn)某科技公司存在數(shù)據(jù)泄露隱患。經(jīng)查,該科技公司一款A(yù)PP產(chǎn)品后臺存儲大量客戶信息,系統(tǒng)服務(wù)器未采取任何網(wǎng)絡(luò)防護(hù)和技術(shù)防護(hù)措施,導(dǎo)致公民姓名、手機(jī)號、微信賬號、郵箱等46萬余條、19.1GB隱私數(shù)據(jù)被暴露在互聯(lián)網(wǎng)。公安部門根據(jù)法律規(guī)定,對該公司處罰款五萬元,責(zé)令限期改正。
?
個(gè)人敏感信息從內(nèi)部泄露的成因
?
隨著數(shù)字化業(yè)務(wù)的持續(xù)開展,各單位內(nèi)部數(shù)據(jù)流通量增大,各系統(tǒng)間的數(shù)據(jù)頻繁交互。
?
在此過程中,往往會因?yàn)閱挝粌?nèi)部的數(shù)據(jù)管理制度不健全、防護(hù)手段不足等原因,讓“內(nèi)鬼”有機(jī)可乘。他們在利益收買或情緒化報(bào)復(fù)等原因驅(qū)使下,利用職務(wù)之便非法竊取企業(yè)機(jī)密數(shù)據(jù)。當(dāng)然,也存在部分員工因缺乏專業(yè)知識、誤操作等原因,導(dǎo)致系統(tǒng)內(nèi)部信息暴露。
?
但無論有意或無意,均會對單位的名譽(yù)與權(quán)益構(gòu)成嚴(yán)重侵害,直接或間接造成重大安全事故和損失。
如何有效監(jiān)管個(gè)人敏感信息
?
目前,針對敏感信息的管理,通常采用定期開展保密檢查,并配合信息化系統(tǒng)中的敏感信息檢測及防泄露模塊來進(jìn)行實(shí)時(shí)的監(jiān)控。
?
當(dāng)前信息化系統(tǒng)中的敏感信息監(jiān)控主要采用的是關(guān)鍵詞檢索以及密級模板檢索這兩種方式。這些方式對于普通敏感信息的監(jiān)控而言是有一定成效的,但在個(gè)人敏感信息監(jiān)控方面,它的全面性與準(zhǔn)確性仍存在一些不足之處:
?
當(dāng)違規(guī)人員通過非法手段獲取大量個(gè)人敏感數(shù)據(jù),例如身份證號、手機(jī)號、郵箱、銀行卡號時(shí),是很難直接通過關(guān)鍵詞詞庫以及密級方式監(jiān)控到的。
?
如果通過關(guān)鍵詞來篩選個(gè)人敏感信息,通常會存在大量錯(cuò)誤的數(shù)據(jù)結(jié)果(例如把一串普通數(shù)字判定為手機(jī)號、身份證號等)。這樣會導(dǎo)致在出現(xiàn)大量告警后還需要管理員額外的時(shí)間精力去進(jìn)行二次研判,最終告警泛濫、研判疲勞,許多真實(shí)的個(gè)人敏感數(shù)據(jù)仍舊會被泄露。
?
針對以上個(gè)人敏感信息的監(jiān)控痛點(diǎn),世安智慧對公司自研產(chǎn)品“終端安全管理系統(tǒng)”進(jìn)行了全新升級,重磅推出“敏感字典”功能!
“敏感字典”是什么?
?
“敏感字典”基于世安團(tuán)隊(duì)對前沿算法與技術(shù)的鉆研打磨,可提前將身份證號、手機(jī)號、銀行卡等個(gè)人信息檢測的規(guī)則模板內(nèi)置在系統(tǒng)中,管理員通過內(nèi)置模板來創(chuàng)建字典檢測策略,例如配置單個(gè)信息檢測或者組合多個(gè)信息進(jìn)行檢測,或是自定義命中次數(shù)等,以此達(dá)到準(zhǔn)確、全面監(jiān)控終端的敏感信息情況的效果。
?
當(dāng)員工有意或無意獲取到客戶的個(gè)人敏感數(shù)據(jù)保存到終端電腦的某份文檔中,如符合敏感策略,系統(tǒng)會進(jìn)行實(shí)時(shí)告警,監(jiān)測結(jié)果也將實(shí)時(shí)上報(bào)給安全保密管理員。幫助各單位及時(shí)發(fā)現(xiàn)終端用戶違規(guī)存儲或操作個(gè)人敏感信息的情況并進(jìn)行處理,防止信息泄露。
?
當(dāng)前版本的敏感字典可支持檢測身份證號、手機(jī)號、銀行卡、郵箱、IP地址、MAC地址、hash密文等敏感信息,同時(shí)支持WORD、PPT、XLS、文本、PDF等多種文件類型,更多新的敏感信息類型也正在緊鑼密鼓解鎖中。
?
另外,除了敏感信息檢測及防泄露的能力之外,世安終端安全管理系統(tǒng)還具備外設(shè)端口及存儲介質(zhì)管控、非法外聯(lián)監(jiān)控、系統(tǒng)軟件使用控制、終端防泄密水印、實(shí)時(shí)監(jiān)控與違規(guī)告警等安全防護(hù)及監(jiān)管審計(jì)能力,可幫助企事業(yè)單位對終端實(shí)現(xiàn)全方位的管控及防御,保障終端信息安全。
?
目前,敏感字典支持限時(shí)免費(fèi)體驗(yàn),只要是部署了世安內(nèi)網(wǎng)終端安全管理系統(tǒng)的客戶,可以在原系統(tǒng)基礎(chǔ)上直接升級敏感字典功能;即使沒有部署世安內(nèi)網(wǎng)終端安全管理系統(tǒng),也可以聯(lián)系世安總部及各分公司相關(guān)人員獲取免費(fèi)體驗(yàn)名額哦!