機構(gòu)機構(gòu)新聞發(fā)布行業(yè)行業(yè)行業(yè)產(chǎn)權(quán)強國科技公司
#文章僅代表作者觀點,未經(jīng)作者許可,禁止轉(zhuǎn)載,文章不代表IPRdaily立場#
來源:IPRdaily中文網(wǎng)(IPRdaily.cn)
作者:華泰君 深圳市華夏泰和科技有限公司
原標(biāo)題:重磅|2018年上半年信息安全風(fēng)險預(yù)警研究報告
一、信息安全事件迭出
1、韓國最大虛擬幣交易平臺被黑,約2億元資產(chǎn)被盜
中新網(wǎng)6月20日電 據(jù)韓聯(lián)社報道,韓國最大虛擬貨幣交易平臺Bithumb遭黑客入侵,約350億韓元(約合人民幣2.04億元) 的加密貨幣資產(chǎn)被盜,平臺暫停交易和加密貨幣的存取服務(wù)。消息傳出后,幣價較前一交易日下滑4.25%,其他虛擬貨幣也應(yīng)聲齊跌。
2、美國安局、中情局前員工被控向維基解密泄露機密信息
北京時間6月18日,美國司法部宣布稱,前國安局、中情局員工、現(xiàn)年29歲的紐約人Joshua Adam Schulte 被控控非法收集國家國防信息;非法傳播合法持有的國防信息;非法傳播非法持有的國防信息;越權(quán)訪問計算機獲取機密信息;竊取政府財產(chǎn);越權(quán)訪問計算機從美國國家部門或機構(gòu)獲取信息;并傳播計算機有害程序、信息、代碼或命令等13項罪名。其中,Schulte 向維基解密提供中情局黑客工具作為 Vault 7 泄密文檔的一部分。
3、特斯拉起訴前員工:黑進(jìn)內(nèi)部生產(chǎn)系統(tǒng),盜取并泄露機密數(shù)據(jù)
北京時間6月21日凌晨消息,據(jù)美國內(nèi)華達(dá)州聯(lián)邦法庭公布的訴訟文件顯示,特斯拉起訴了前過程技術(shù)人員馬丁·特里普,稱其盜取了該公司的商業(yè)機密并向第三方泄露了大量公司內(nèi)部數(shù)據(jù)。該名員工承認(rèn)曾開發(fā)惡意軟件安裝在了三臺不同員工的電腦上,在他離開特斯拉后,借機進(jìn)入特斯拉內(nèi)部生產(chǎn)操作系統(tǒng),偷取大量數(shù)據(jù)并交給第三方,還向媒體發(fā)表不實言論。這些被泄露的數(shù)據(jù)包括“數(shù)十份有關(guān)特斯拉的生產(chǎn)制造系統(tǒng)的機密照片和視頻”。電腦被安裝該惡意軟件的員工也將受到牽連。
4、美國 Uber 因侵犯隱私 20 年內(nèi)將受監(jiān)督
據(jù)外媒報道,美國政府聯(lián)邦貿(mào)易委員會(FTC)因Uber隨意采集消費者和專車司機的個人隱私數(shù)據(jù),并沒有做好保護措施對其展開調(diào)查。有消息稱,近日,Uber和美國政府達(dá)成和解協(xié)議,美政府要求Uber公司解決現(xiàn)有全部產(chǎn)品和服務(wù)中的個人隱私風(fēng)險,另外要確保個人隱私信息的保密工作。在未來180天以及20年之內(nèi)(每隔兩年),Uber必須接受第三方機構(gòu)對于個人隱私和數(shù)據(jù)保護措施的審核和監(jiān)督。
5、交易1800余條公民房屋產(chǎn)權(quán)信息,一征信公司被公訴
6月12日下午,虹口區(qū)人民檢察院召開新聞發(fā)布會透露,一家企業(yè)征信公司購買個人房屋產(chǎn)權(quán)信息,也就是俗稱的“產(chǎn)調(diào)信息”,然后出售給小貸公司等客戶。這些信息均能明確識別房屋產(chǎn)權(quán)人、產(chǎn)權(quán)情況等財產(chǎn)狀況內(nèi)容,共計1814條,該類信息的泄露可能對產(chǎn)權(quán)人等造成安全隱患。檢察機關(guān)認(rèn)為,該征信公司及其負(fù)責(zé)人潘某、員工蔡某、凌某購買公民的敏感信息并予以出售,情節(jié)特別嚴(yán)重,應(yīng)當(dāng)依照《刑法》的規(guī)定,以侵犯公民個人信息罪追究刑事責(zé)任。
6、網(wǎng)游宕機8小時1700萬人上不了,上海警方赴青島抓獲黑客
2月18日,總部坐落于張江高科技園區(qū)的一家網(wǎng)游公司旗下一款游戲產(chǎn)品服務(wù)器突然無法打開,造成約1700萬用戶無法登陸,持續(xù)時間長達(dá)8小時之久,公司損失難以估量。經(jīng)警方偵察,始作俑者為該公司的離職人員馬某。據(jù)馬某交代,其為報復(fù)前公司,于2月18日在青島家中筆記本電腦上,利用前公司后臺服務(wù)器漏洞進(jìn)行入侵,惡意刪除游戲數(shù)據(jù),導(dǎo)致約1700萬用戶無法登陸。目前,馬某已因涉嫌破壞計算機信息系統(tǒng)罪被依法逮捕并移送起訴。
7、A站近千萬條用戶數(shù)據(jù)外泄!含賬戶密碼,稱受黑客攻擊已報警
6月13日凌晨,AcFun彈幕視頻網(wǎng)(俗稱:A站)在其官網(wǎng)發(fā)布《關(guān)于AcFun受黑客攻擊致用戶數(shù)據(jù)外泄的公告》稱,AcFun受黑客攻擊,近千萬條用戶數(shù)據(jù)外泄,包含用戶ID、用戶昵稱、加密存儲的密碼等信息。A站稱,已經(jīng)搜集了相關(guān)證據(jù)并報警。
8 、智利銀行被黑:近萬臺電腦癱瘓,被盜千萬美元
智利銀行承認(rèn)在五月份的黑客攻擊中損失大約1,000萬美元;在這次攻擊中,大約9.000臺電腦和服務(wù)器的MBR被破壞,造成這些設(shè)備無法啟動。黑客將全國的電腦系統(tǒng)崩潰,卻使在線系統(tǒng)保持運行——從而在一片混亂中,通過銀行的SWIFT國際轉(zhuǎn)賬系統(tǒng)將1,000萬美元轉(zhuǎn)出。這個被稱為Kill MBR的病毒是攻擊者的障眼法,在銀行忙于處理MBR被破壞的問題時,攻擊者瞞天過海成功轉(zhuǎn)賬。
9、深圳樂行天下公司主要創(chuàng)始人均成通緝犯
5月30日,東莞市公安局正式對深圳樂行科技有限公司創(chuàng)始人周偉、郭蓋華、閆學(xué)凱等三人采取刑事強制措施,將上述三人正式列入在逃的通緝犯。歷經(jīng)6年,東莞易步機器人有限公司控訴前技術(shù)骨干、深圳樂行天下科技有限公司主要創(chuàng)始人周偉等十?dāng)?shù)人侵犯商業(yè)秘密罪一案,終于迎來了新的進(jìn)展。但在該事件尚未成功解決之前,曾經(jīng)的中國最大的兩輪平衡車生產(chǎn)企業(yè)東莞易步機器人早已被“后來者”干掉了。一場由技術(shù)團隊發(fā)起的“兵變”過后,江山卻早已不在。
二、信息安全政策漸完善
1、《網(wǎng)絡(luò)安全法》實施一周年來全國各地執(zhí)法案例匯總
2018年6月1日,《網(wǎng)絡(luò)安全法》正式實施一周年。
在這一年中,網(wǎng)絡(luò)安全法律及配套制度逐步完善,逐漸形成了綜合法律、單行條例及標(biāo)準(zhǔn)指引的立體規(guī)范體系。網(wǎng)絡(luò)安全監(jiān)管與執(zhí)法案件頻現(xiàn)報端,各執(zhí)法機關(guān)也進(jìn)一步強化了日常監(jiān)管巡查:從最初看到的2017年7月25日汕頭某單位違反網(wǎng)絡(luò)安全法的全國第一案(被報道的),到新浪、騰訊、阿里巴巴、京東等互聯(lián)網(wǎng)大佬被不同程度的處罰;從一開始的責(zé)令整改,到停機整頓,再到對單位對個人的直接罰款;監(jiān)管越來越嚴(yán),處罰越來越重。未來肯定會有一些網(wǎng)絡(luò)運營者需要承擔(dān)相應(yīng)的民事責(zé)任甚至刑事責(zé)任,這不是危言聳聽,這一定會出現(xiàn)。網(wǎng)絡(luò)安全工作早已是法治下的工作,網(wǎng)絡(luò)安全工作一定要做到合規(guī)合法。
2、GDPR生效當(dāng)日谷歌和Facebook等就被“抓典型”
史無前例最為嚴(yán)厲的個人隱私保護法——GDPR生效第五天,施行效果顯著。《一般數(shù)據(jù)保護條例》(General Data Protection Regulation,簡稱“GDPR”)5月25日正式生效。
普華永道的調(diào)查數(shù)據(jù)顯示,68%的美國公司預(yù)計將花費100萬到1000萬美元的投入來滿足GDPR的合規(guī)要求,另有9%企業(yè)預(yù)計將花費超過1000萬美元。
GDPR生效第一天,谷歌和Facebook涉嫌違規(guī)分享用戶數(shù)據(jù),遭遇奧地利的隱私活動家Max Schrems法律訴訟, Schrems的訴訟特別針對兩家公司獲得隱私政策同意的方式,即要求用戶選擇“同意”選項以獲取服務(wù),否則就不能使用服務(wù),這違反了GDPR關(guān)于獲取同意的規(guī)定。雙方面臨的罰金總額分別為37億歐元和39億歐元(總額約為88億美元)。
3、《網(wǎng)絡(luò)安全等級保護條例》征求意見稿發(fā)布,等保2.0到來
6月27日,由公安部牽頭,會同中央網(wǎng)信辦、國家保密局、國家密碼管理局聯(lián)合制定的《網(wǎng)絡(luò)安全等級保護條例(征求意見稿)》(以下簡稱“條例”)正式發(fā)布,面向社會公開征求意見的截止期為7月27日。
公安部網(wǎng)絡(luò)安全保衛(wèi)局總工郭啟全在6月25日的發(fā)言中表示,網(wǎng)絡(luò)安全等級保護制度是基本國策、基本制度和基本方法,是對過去二十年經(jīng)驗的總結(jié)和創(chuàng)新,而關(guān)鍵信息基礎(chǔ)設(shè)施保護是等保2.0的重點,目前中央網(wǎng)信辦和公安部雙牽頭制定的《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》起草工作已經(jīng)完成,正在走司法程序。
那么,網(wǎng)絡(luò)安全等級保護制度1.0和2.0有什么區(qū)別?郭啟全透露,首先,制度2.0納入了《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定的重要事項;其次,制度1.0只針對網(wǎng)絡(luò)和信息系統(tǒng),2.0則把云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新業(yè)態(tài)也納入了監(jiān)管;此外,制度2.0把監(jiān)管對象從體制內(nèi)拓展到了全社會
4、美國白宮欲推出類似GDPR的隱私保護法案
據(jù)可靠信源, 目前白宮正處于探索推出類似于歐盟《一般數(shù)據(jù)保護條例》(GDPR)的聯(lián)邦隱私保護法案的早期階段。
有消息人士指出, 美國總統(tǒng)特朗普在白宮科技、電信和網(wǎng)絡(luò)政策方面的特別助理目前就該問題已與相關(guān)行業(yè)組織進(jìn)行了會面, 討論利用個人數(shù)據(jù)可能的“防護欄”, 并且會見了代表包括蘋果、谷歌、Facebook、IBM以及微軟等科技公司在內(nèi)的信息技術(shù)產(chǎn)業(yè)委員會的首席執(zhí)行官,探討歐盟《一般數(shù)據(jù)保護條例》的實施情況和隱私保護問題。談話初步表明白宮想要在全球范圍內(nèi)有關(guān)消費者隱私保護方面的爭議發(fā)出自己的聲音。
三、信息安全風(fēng)險提示
1、信息安全對業(yè)務(wù)的影響將更深入、更長遠(yuǎn)
1.1 信息的現(xiàn)代價值凸顯,內(nèi)部泄密的比率將繼續(xù)上升
隨著互聯(lián)網(wǎng)信息技術(shù)的進(jìn)一步發(fā)展,信息的價值越來越高,信息黑色產(chǎn)業(yè)鏈已經(jīng)形成,信息泄露已成為信息安全的最大痛點。
企業(yè)信息安全最大的挑戰(zhàn)是人,包括內(nèi)鬼和事實上的臥底,以及獲取機密后轉(zhuǎn)投競爭對手或自立門戶的員工。過去一些年,商業(yè)秘密訴訟案件此起彼伏,在2018年中美貿(mào)易戰(zhàn)基本聚焦于知識產(chǎn)權(quán)的背景下,商業(yè)秘密的保護已不僅僅關(guān)系到個體企業(yè)的命運,甚至于整個行業(yè)、整個國家的創(chuàng)新保護及發(fā)展戰(zhàn)略。
1.2 信息安全攻擊成為常態(tài),物聯(lián)網(wǎng)也將成為重災(zāi)區(qū)
2017年,我們已經(jīng)見識過物聯(lián)網(wǎng)攻擊,成功的物聯(lián)網(wǎng)攻擊不會很高級,而是有意利用物聯(lián)網(wǎng)設(shè)備在安全方面的基本漏洞去進(jìn)行攻擊的可能性會較高,如共享密碼或加密通信方面。不安全的設(shè)備很多,對黑客們而言是極易攻擊的目標(biāo)。
2018年,各種各樣的攻擊以及采取的預(yù)防攻擊的技術(shù)和措施也將越來越引人注目,這將為企業(yè)帶來更多麻煩。
1.3 企業(yè)將開始更加重視信息安全,從“風(fēng)險保護”轉(zhuǎn)變成“預(yù)防”
多年的災(zāi)難性攻擊及安全事件表明,信息風(fēng)險現(xiàn)在是一個重大威脅。一次信息安全事件不僅會嚴(yán)重?fù)p害公司的底線,也會嚴(yán)重?fù)p害商業(yè)信譽和消費者信任。
企業(yè)將從高層領(lǐng)導(dǎo)開始,自上而下會開始更加重視信息安全,將開始把信息安全視為一項重要的商業(yè)風(fēng)險,而不僅僅是一個影響其業(yè)務(wù)的“IT問題”。
2、政策與監(jiān)管將進(jìn)一步加強,信息安全合規(guī)成為頭等大事
2.1 國內(nèi)信息安全立法、行政條例等已多管齊下
網(wǎng)絡(luò)安全執(zhí)法檢查工作正在全國各地開展??梢韵胂笙?,今年的執(zhí)法檢查工作將會做的更加全面也會更加嚴(yán)格,今年網(wǎng)絡(luò)安全行業(yè)將會有重要的政策發(fā)布:
首先是《網(wǎng)絡(luò)安全等級保護條例(征求意見稿)》已經(jīng)正式發(fā)布,以后等保工作將把監(jiān)管對象從體制內(nèi)拓展到了全社會,會更具有影響力與可操作性,條例也會規(guī)范得更加細(xì)致;
其次,說了很久的等保2.0相關(guān)標(biāo)準(zhǔn)預(yù)計也會在不久的未來正式發(fā)布,大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、工控、移動互聯(lián)等領(lǐng)域?qū)婕{入等保范疇;
再者,《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》目前也在走司法程序,“關(guān)基”的保護將會是未來網(wǎng)絡(luò)安全保護重點中的重點;
最后,《網(wǎng)絡(luò)安全法》實施已經(jīng)滿一周年了,期間各地各種相關(guān)案例都有,執(zhí)法經(jīng)驗積累很快,所以往后的執(zhí)法檢查中對于各類違法行為一定會嚴(yán)懲不貸。
2.2 七大關(guān)鍵點,避免踏入GDPR的雷區(qū)
雖然大型互聯(lián)網(wǎng)科技公司已經(jīng)提早對GDPR做了準(zhǔn)備,但有研究人員指出一些中國企業(yè)并沒有對GDPR做出足夠的重視,或者采取的措施并不盡人意。未來GDPR肯定會成為歐盟與境外企業(yè)合作的標(biāo)準(zhǔn)法規(guī)之一,如果中國企業(yè)如果不盡快進(jìn)行GDPR全面合規(guī),可能會在違規(guī)處罰中被“抓典型”,也將面臨失去歐盟市場的風(fēng)險。GDPR條款提及的幾個關(guān)鍵點,值得引起注意:
法案使用范圍:所有在歐盟境內(nèi)經(jīng)營、或是搜集和處理歐盟公民數(shù)據(jù)需要存檔的外國企業(yè)。
罰款程度:輕者處以1000萬歐元(約合人民幣0.75億元)或者上一年度全球營收的2%(兩者取其高)的罰款;重者處以2000萬歐元(約合人民幣1.5億元)或者企業(yè)上一年度全球營收的4%(兩者取其高)的罰款。
GDPR強調(diào)數(shù)據(jù)所有者的知情權(quán),規(guī)定數(shù)據(jù)使用必須事先征得數(shù)據(jù)主體的同意,而且“同意”必須是具體的、清晰的,是用戶在充分知情的前提下自由做出的。如果數(shù)據(jù)使用范圍擴大,都必須重新獲取數(shù)據(jù)主體的授權(quán)和同意;數(shù)據(jù)主體還可以隨時撤回同意權(quán)利。
GDPR強調(diào)了使用者在使用數(shù)據(jù)時,需表明其特定的使用目的,不得收集提供服務(wù)必需之外的數(shù)據(jù),收集之后不得濫用用戶數(shù)據(jù),同時還必須履行保護用戶數(shù)據(jù)的義務(wù);處理數(shù)據(jù)時,要求數(shù)據(jù)控制者說明如何收集處理個人數(shù)據(jù),包括數(shù)據(jù)接受者類型、個人數(shù)據(jù)保留周期及采取該周期的理由等。
GDPR強調(diào)數(shù)據(jù)主體的“被遺忘權(quán)”和“數(shù)據(jù)可攜權(quán)”,前者是指用戶提出數(shù)據(jù)刪除要求時,企業(yè)需要在數(shù)據(jù)庫內(nèi)找到數(shù)據(jù)并刪除,如果數(shù)據(jù)已傳播或提供給第三方使用,企業(yè)還有責(zé)任通知使用者予以刪除。
如涉及自動化數(shù)據(jù)處理(如數(shù)據(jù)畫像等),數(shù)據(jù)控制者還需要提供基本的算法邏輯及針對個人的運算結(jié)果。
在數(shù)據(jù)泄露事件發(fā)生時,根據(jù)GDPR的數(shù)據(jù)泄露通知要求,企業(yè)必須在發(fā)現(xiàn)數(shù)據(jù)泄露的72小時內(nèi)通知相關(guān)部門。
四、信息安全應(yīng)對之道
1 、盡快明確信息安全方針目標(biāo)
從國際的最佳實踐經(jīng)驗中可以得出,信息安全工作落地的關(guān)鍵性成功因素是:高層牽頭、領(lǐng)導(dǎo)負(fù)責(zé)、專人管理、全員參與。其中“高層牽頭”是最根本的條件,例如:為了推動我國的網(wǎng)絡(luò)安全立法及各項工作的部署,在全國網(wǎng)絡(luò)安全和信息化工作會議上,習(xí)近平總書記不但親自出席,還每次都發(fā)表重要講話,從黨和國家事業(yè)全局出發(fā),科學(xué)分析了信息化變革趨勢和肩負(fù)的歷史使命,系統(tǒng)闡述了網(wǎng)絡(luò)強國戰(zhàn)略思想,深刻回答了事關(guān)網(wǎng)信事業(yè)發(fā)展的一系列重大理論和實踐問題,為加快推進(jìn)網(wǎng)絡(luò)強國建設(shè)指明了前進(jìn)方向、提供了根本遵循。
所以,有效開展商業(yè)秘密保護和信息安全落實工作的前提是盡快明確信息安全的方針目標(biāo),解決信息安全建設(shè)的費用,方能加快部署啟動各項工作,達(dá)成最大程度的保護創(chuàng)新成果等無形資產(chǎn),降低企業(yè)經(jīng)營及業(yè)務(wù)開展的信息安全風(fēng)險,提升商業(yè)競爭能力等目標(biāo)。
2 、盡快推進(jìn)信息安全保障工作
在信息安全工作方針與目標(biāo)確定后,必須由領(lǐng)導(dǎo)負(fù)責(zé),專人管理,盡快推進(jìn)各項信息安全保障工作,主要推進(jìn)思路可提供以下參考:
首先,優(yōu)先健全頂層設(shè)計。定崗定責(zé)是做事的前提。首先是建立信息安全管理組織架構(gòu),明確責(zé)任分工,為專崗人員授予管理權(quán)限,并列入日常管理工作,讓信息安全工作得到有計劃、分步驟的推進(jìn)。
其次,盡快建立體系制度。團體活動,規(guī)矩先行。創(chuàng)新型企業(yè)一般或多或少都已經(jīng)建立起自己的一些體系,如質(zhì)量管理等,因此,在信息安全工作的執(zhí)行過程中,優(yōu)先把現(xiàn)有的體系制度修訂、增補完善,是后續(xù)推動技術(shù)措施及進(jìn)行稽查考核的基礎(chǔ)工作。
再次,重點主抓研發(fā)部門。商業(yè)秘密的主體是技術(shù)秘密,其源頭在研發(fā),加強研發(fā)部門的信息安全管理是重中之重。所以針對研發(fā)部門的特殊性,對研發(fā)資料、樣品等的生成、流轉(zhuǎn)、報廢等管理流程及制度進(jìn)行完善,盡快開展信息安全意識培訓(xùn),在該過程中不斷審視、稽查信息安全的管理要求是否落實到位,確保關(guān)鍵信息的保密性、可用性及完整性。
最后,技術(shù)措施配套落實。重要的防泄密、防病毒、歸檔備份等終端及數(shù)據(jù)安全問題需要采取技術(shù)手段方能確保有效、快速落地,同時,這些技術(shù)措施也需要在制度流程的配合下,為考核、獎懲服務(wù),方能發(fā)揮威懾、控制等作用。
來源:IPRdaily中文網(wǎng)(IPRdaily.cn)
作者:華泰君 深圳市華夏泰和科技有限公司
編輯:IPRdaily趙珍 校對:IPRdaily縱橫君
推薦閱讀
鏈接未來!「2018全球區(qū)塊鏈知識產(chǎn)權(quán)峰會」重磅來襲!
“投稿”請投郵箱“iprdaily@163.com”
「關(guān)于IPRdaily」
IPRdaily成立于2014年,是全球影響力的知識產(chǎn)權(quán)媒體+產(chǎn)業(yè)服務(wù)平臺,致力于連接全球知識產(chǎn)權(quán)人,用戶匯聚了中國、美國、德國、俄羅斯、以色列、澳大利亞、新加坡、日本、韓國等15個國家和地區(qū)的高科技公司、成長型科技企業(yè)IP高管、研發(fā)人員、法務(wù)、政府機構(gòu)、律所、事務(wù)所、科研院校等全球近50多萬產(chǎn)業(yè)用戶(國內(nèi)25萬+海外30萬);同時擁有近百萬條高質(zhì)量的技術(shù)資源+專利資源,通過媒體構(gòu)建全球知識產(chǎn)權(quán)資產(chǎn)信息第一入口。2016年獲啟賦資本領(lǐng)投和天使匯跟投的Pre-A輪融資。
(英文官網(wǎng):iprdaily.com 中文官網(wǎng):iprdaily.cn)
本文來自IPRdaily.cn 中文網(wǎng)并經(jīng)IPRdaily.cn中文網(wǎng)編輯。轉(zhuǎn)載此文章須經(jīng)權(quán)利人同意,并附上出處與作者信息。文章不代表IPRdaily.cn立場,如若轉(zhuǎn)載,請注明出處:“http://jupyterflow.com/”
剛剛,國家知識產(chǎn)權(quán)局首次集中發(fā)布專利、商標(biāo)、地理標(biāo)志相關(guān)統(tǒng)計數(shù)據(jù)(附圖解)
【對話點融副總裁王懷彬】區(qū)塊鏈專利如何助力科技改變傳統(tǒng)金融?
文章不錯,犒勞下辛苦的作者吧