什么是云泄漏?
技术在改变着人们的生活:移动支付、共享经济、电子商务、在线医疗…让人们的生活更加便捷,生活质量进一步提升。但同时,数据泄漏事件似乎在不断的发生,银行卡账号、个人身份信息、医疗记录、出行记录在随着数字化生活给人们带去便利的同时,也被大量的企业、服务机构获取,使用。
随着意识的提高,人们越来越重视个人隐私保护。“黑客”、“网络攻击”、“违规”、“泄漏”,这些词不断挑动着人们的神经。其中,有一种较为特殊的“泄漏”,一旦发生可能会涉及到大量的数据,给相关用户和企业造成巨大的损失,我们称之为云泄露。
云泄漏是指存储在云服务器中的敏感数据毫无防备的暴露在互联网上。云服务商在互联网上为企业提供了私有空间来部署系统、存储数据。大多数云服务商会提供选项允许企业将自己的存储空间面向互联网开放。若管理员在处理数据时修改了权限,云服务器和互联网之间的边界就消失了,意味着所有人都可以访问这些数据。2017年版《OWASP Top 10 》显示, “安全配置错误”在10项最严重的web应用程序安全风险中排在第五位 。无论是错误的配置还是云中脆弱的服务器,都会将隐私数据至于危险的境地。而专门有一类人,出于获取利益的目的,在持续的搜寻着云泄漏,将会扩大云泄露的影响。
2017年5月,因AWS S3存储桶权限设置失当导致至少 220万 道琼斯公司客户信息半公开,让免费AWS账户都可以访问里面内容。同年7月,Verizon公司超过 1400万 用户个人资料因第三方供应商云服务器安全配置不当遭到外泄,数据所属的云储备被配置为允许公开访问并可完全下载。同年9月,因承包商问题,导致美国陆军及NSA情报平台绝密文件暴露在Amazon S3服务器上。这些都是典型的云泄漏事件。云泄漏是企业及组织面临的独特风险,出现错误的简单性与它可能导致后果的严重程度形成巨大的反差。
云泄露的严重性 云泄露中最常见的数据分为两类:
1. 个人信息
身份信息(姓名、性别、年龄、地址、电话号码…)活动信息(订单、生活轨迹、浏览习惯…),银行卡信息、医疗记录…这一类信息极具价值,买卖公民信息的黑市在互联网平台并不鲜见。当下,政府及监管机构非常关注公民个人信息的保护,在今年5月1日实施的《信息安全技术个人信息安全规范》,从国家标准层面,明确了企业收集、使用、分享个人信息的合规要求,为企业制定隐私政策及个人信息管理规范指明了方向。在同月生效的《通用数据保护条例》中,也将对个人信息的保护提升到了新的高度,影响行业广泛,对涉事企业处罚力度大。
2. 企业信息
企业内部的文件、邮件、备忘;合作伙伴、供应商信息;项目信息等。财务信息;设计;知识产权信息;代码等。一旦这些信息暴露,被竞争对手或有不良企图的人获得,将会给企业带来致命的伤害。
数据泄露,可能会让公民面临诈骗、骚扰、甚至人身安全威胁,可能让企业面临来自竞争对手的致命打击、来自监管机构的高额处罚,及无法估量的名誉损失。可以说,云泄露可给相关各方带来巨大的伤害。
如何防止云泄露?
云泄漏并非由外部攻击造成,而是由日常工作中的操作导致的。企业在使用云服务时,应意识到其风险的存在。企业在对云服务配置时,应该持续验证每一步操作以保证风险的可见。
企业除了规范流程,降低由操作错误导致数据外泄的同时,也应当关注到为企业处理数据的第三方合作伙伴,企业作为数据的责任人,一旦出现泄漏,与第三方需要承担同样的责任。这使得评估和优化第三方合作伙伴网络风险与企业内部的风险控制同样重要。2018年6月,“安全值”联合“供应链安全联盟”发布了《第三方安全风险管理能力框架》,文中提到“ 第三方是组织的扩展,其行为可以直接影响到合规性和品牌声誉 。这就要求企业对几十个,几百个甚至数千个第三方进行调查,评估和后续跟进,并对风险采取行动。第三方风险管理能力将应用于从合同签订之前到合同执行过程中一直到合同完成之后整个生命周期,并且在数字化环境下,风险控制需要得到领导充分的重视和支持,经多个业务和职能部门的协同来完成。”
仅仅关注企业自身的内部风险,却把同样的数据毫无措施的交由第三方合作伙伴,这是毫无意义的。合作伙伴的选择和评估应该与企业在保护其内部资产和信息时一样谨慎。