近年來,公民隱私數(shù)據(jù)泄露問題突出,個人信息安全與保護(hù)引發(fā)全社會關(guān)注,多項研究數(shù)據(jù)表明,內(nèi)部人員泄露信息是侵犯公民個人信息犯罪的主要源頭。
?
國家計算機(jī)信息安全測評中心數(shù)據(jù)顯示,重要資料被黑客竊取和被內(nèi)部員工不當(dāng)泄露提供的比例為1:99;安全研究機(jī)構(gòu)波洛蒙研究所的調(diào)查數(shù)據(jù)顯示,企業(yè)“內(nèi)鬼”造成的數(shù)據(jù)外泄威脅占數(shù)據(jù)泄露事件的近70%;據(jù)《財經(jīng)》雜志報道顯示,有80%的數(shù)據(jù)泄露是企業(yè)內(nèi)鬼所為,黑客和其他方式僅占20%。
?
公安部在近日召開的新聞發(fā)布會中介紹,3年來全國公安機(jī)關(guān)嚴(yán)打侵犯公民個人信息違法犯罪活動,重拳打擊行業(yè)“內(nèi)鬼”,共抓獲各行業(yè)“內(nèi)鬼”2300余名,覆蓋政府、醫(yī)療、教育、房地產(chǎn)、物流、電商等多個行業(yè)。
?
以下為部分侵犯公民個人信息犯罪典型案例:
?
公安
2023年2月,安徽某縣人民法院以侵犯公民個人信息罪判處甲某有期徒刑一年四個月,并處罰金人民幣兩萬五千元。經(jīng)查,被告人甲某系某縣公安局交通警察大隊秩序科警務(wù)輔助人員,在職期間,甲某利用同事的公安數(shù)字證書在公安網(wǎng)查詢公民個人信息,并以每條5-10元不等的價格出售給多人,共計出售公民個人信息約3000條,非法獲利22145元。
?
政府
2023年5月,新疆和田某縣住房公積金辦工作人員努某利用職務(wù)便利,非法獲取并向和田某房地產(chǎn)開發(fā)公司栗某等人出售大量公民信息,栗某等人將上述信息分別轉(zhuǎn)賣至建材家居、裝修設(shè)計等公司,并雇傭人員向受害人進(jìn)行精準(zhǔn)營銷。2023年6月,和田地區(qū)公安機(jī)關(guān)將努某和栗某抓獲,查獲非法收集公民個人信息1萬余條。
?
教育
2023年7月,北京某大學(xué)碩士畢業(yè)生馬某某因在校期間盜取校內(nèi)數(shù)據(jù),收集學(xué)生個人信息,被當(dāng)?shù)毓簿忠婪ㄐ淌戮辛簟?jù)了解,馬某某所收集的信息包括照片、姓名、學(xué)號、籍貫、生日等,并公開發(fā)布在網(wǎng)站上。據(jù)同學(xué)反饋,馬某某就讀期間曾在學(xué)校信息中心勤工儉學(xué),有機(jī)會使用高權(quán)限賬號,推測是那時通過超級管理員登錄并獲取到學(xué)生信息。目前案件正在進(jìn)一步調(diào)查中。
?
醫(yī)療
2022年4月,麥某利用從事衛(wèi)生院防疫工作職務(wù)便利,非法收集公民個人信息,再將上述信息出售給墨玉縣某房地產(chǎn)公司員工布某非法牟利,布某雇傭人員通過撥打騷擾電話進(jìn)行精準(zhǔn)營銷。今年5月,和田地區(qū)公安機(jī)關(guān)將麥某、布某抓獲,查獲非法收集公民個人信息1.6萬余條。
?
金融
2023年3月,福建省莆田某區(qū)人民法院判決陳某犯侵犯公民個人信息罪,判處有期徒刑二年六個月,處罰金5萬元,沒收違法所得4萬元,上繳國庫。據(jù)悉,陳某將自己在銀行履職過程中獲得的客戶銀行賬戶名、賬戶余額、賬戶掛失狀態(tài)等公民個人財產(chǎn)信息逾558條出售給周某某,非法獲利4萬元。
?
交通
2023年8月,廣東省佛山市某區(qū)人民法院通報了一起高鐵站員工利用職務(wù)便利,有償代查或出售明星隱私行程的案件。法院判定被告人的行為已構(gòu)成侵犯公民個人信息罪,除應(yīng)承擔(dān)刑事責(zé)任外,還應(yīng)支付共計56萬余元的侵害社會公共利益賠償金。
?
企業(yè)
2023年6月,昌平網(wǎng)安部門發(fā)現(xiàn)某科技公司存在數(shù)據(jù)泄露隱患。經(jīng)查,該科技公司一款A(yù)PP產(chǎn)品后臺存儲大量客戶信息,系統(tǒng)服務(wù)器未采取任何網(wǎng)絡(luò)防護(hù)和技術(shù)防護(hù)措施,導(dǎo)致公民姓名、手機(jī)號、微信賬號、郵箱等46萬余條、19.1GB隱私數(shù)據(jù)被暴露在互聯(lián)網(wǎng)。公安部門根據(jù)法律規(guī)定,對該公司處罰款五萬元,責(zé)令限期改正。
?
個人敏感信息從內(nèi)部泄露的成因
?
隨著數(shù)字化業(yè)務(wù)的持續(xù)開展,各單位內(nèi)部數(shù)據(jù)流通量增大,各系統(tǒng)間的數(shù)據(jù)頻繁交互。
?
在此過程中,往往會因為單位內(nèi)部的數(shù)據(jù)管理制度不健全、防護(hù)手段不足等原因,讓“內(nèi)鬼”有機(jī)可乘。他們在利益收買或情緒化報復(fù)等原因驅(qū)使下,利用職務(wù)之便非法竊取企業(yè)機(jī)密數(shù)據(jù)。當(dāng)然,也存在部分員工因缺乏專業(yè)知識、誤操作等原因,導(dǎo)致系統(tǒng)內(nèi)部信息暴露。
?
但無論有意或無意,均會對單位的名譽(yù)與權(quán)益構(gòu)成嚴(yán)重侵害,直接或間接造成重大安全事故和損失。
如何有效監(jiān)管個人敏感信息
?
目前,針對敏感信息的管理,通常采用定期開展保密檢查,并配合信息化系統(tǒng)中的敏感信息檢測及防泄露模塊來進(jìn)行實(shí)時的監(jiān)控。
?
當(dāng)前信息化系統(tǒng)中的敏感信息監(jiān)控主要采用的是關(guān)鍵詞檢索以及密級模板檢索這兩種方式。這些方式對于普通敏感信息的監(jiān)控而言是有一定成效的,但在個人敏感信息監(jiān)控方面,它的全面性與準(zhǔn)確性仍存在一些不足之處:
?
當(dāng)違規(guī)人員通過非法手段獲取大量個人敏感數(shù)據(jù),例如身份證號、手機(jī)號、郵箱、銀行卡號時,是很難直接通過關(guān)鍵詞詞庫以及密級方式監(jiān)控到的。
?
如果通過關(guān)鍵詞來篩選個人敏感信息,通常會存在大量錯誤的數(shù)據(jù)結(jié)果(例如把一串普通數(shù)字判定為手機(jī)號、身份證號等)。這樣會導(dǎo)致在出現(xiàn)大量告警后還需要管理員額外的時間精力去進(jìn)行二次研判,最終告警泛濫、研判疲勞,許多真實(shí)的個人敏感數(shù)據(jù)仍舊會被泄露。
?
針對以上個人敏感信息的監(jiān)控痛點(diǎn),世安智慧對公司自研產(chǎn)品“終端安全管理系統(tǒng)”進(jìn)行了全新升級,重磅推出“敏感字典”功能!
“敏感字典”是什么?
?
“敏感字典”基于世安團(tuán)隊對前沿算法與技術(shù)的鉆研打磨,可提前將身份證號、手機(jī)號、銀行卡等個人信息檢測的規(guī)則模板內(nèi)置在系統(tǒng)中,管理員通過內(nèi)置模板來創(chuàng)建字典檢測策略,例如配置單個信息檢測或者組合多個信息進(jìn)行檢測,或是自定義命中次數(shù)等,以此達(dá)到準(zhǔn)確、全面監(jiān)控終端的敏感信息情況的效果。
?
當(dāng)員工有意或無意獲取到客戶的個人敏感數(shù)據(jù)保存到終端電腦的某份文檔中,如符合敏感策略,系統(tǒng)會進(jìn)行實(shí)時告警,監(jiān)測結(jié)果也將實(shí)時上報給安全保密管理員。幫助各單位及時發(fā)現(xiàn)終端用戶違規(guī)存儲或操作個人敏感信息的情況并進(jìn)行處理,防止信息泄露。
?
當(dāng)前版本的敏感字典可支持檢測身份證號、手機(jī)號、銀行卡、郵箱、IP地址、MAC地址、hash密文等敏感信息,同時支持WORD、PPT、XLS、文本、PDF等多種文件類型,更多新的敏感信息類型也正在緊鑼密鼓解鎖中。
?
另外,除了敏感信息檢測及防泄露的能力之外,世安終端安全管理系統(tǒng)還具備外設(shè)端口及存儲介質(zhì)管控、非法外聯(lián)監(jiān)控、系統(tǒng)軟件使用控制、終端防泄密水印、實(shí)時監(jiān)控與違規(guī)告警等安全防護(hù)及監(jiān)管審計能力,可幫助企事業(yè)單位對終端實(shí)現(xiàn)全方位的管控及防御,保障終端信息安全。
?
目前,敏感字典支持限時免費(fèi)體驗,只要是部署了世安內(nèi)網(wǎng)終端安全管理系統(tǒng)的客戶,可以在原系統(tǒng)基礎(chǔ)上直接升級敏感字典功能;即使沒有部署世安內(nèi)網(wǎng)終端安全管理系統(tǒng),也可以聯(lián)系世安總部及各分公司相關(guān)人員獲取免費(fèi)體驗名額哦!