泄露個(gè)人信息的2300余名“內(nèi)鬼”被抓�����?一招幫你提前規(guī)避安全風(fēng)險(xiǎn)�!
上傳時(shí)間:2023-09-22 瀏覽次數(shù):1607
近年來(lái),公民隱私數(shù)據(jù)泄露問(wèn)題突出����,個(gè)人信息安全與保護(hù)引發(fā)全社會(huì)關(guān)注,多項(xiàng)研究數(shù)據(jù)表明���,內(nèi)部人員泄露信息是侵犯公民個(gè)人信息犯罪的主要源頭�����。
?
國(guó)家計(jì)算機(jī)信息安全測(cè)評(píng)中心數(shù)據(jù)顯示���,重要資料被黑客竊取和被內(nèi)部員工不當(dāng)泄露提供的比例為1:99;安全研究機(jī)構(gòu)波洛蒙研究所的調(diào)查數(shù)據(jù)顯示�,企業(yè)“內(nèi)鬼”造成的數(shù)據(jù)外泄威脅占數(shù)據(jù)泄露事件的近70%����;據(jù)《財(cái)經(jīng)》雜志報(bào)道顯示����,有80%的數(shù)據(jù)泄露是企業(yè)內(nèi)鬼所為�����,黑客和其他方式僅占20%�����。
?
公安部在近日召開(kāi)的新聞發(fā)布會(huì)中介紹�����,3年來(lái)全國(guó)公安機(jī)關(guān)嚴(yán)打侵犯公民個(gè)人信息違法犯罪活動(dòng)���,重拳打擊行業(yè)“內(nèi)鬼”����,共抓獲各行業(yè)“內(nèi)鬼”2300余名���,覆蓋政府���、醫(yī)療�、教育�、房地產(chǎn)、物流�、電商等多個(gè)行業(yè)。
?
以下為部分侵犯公民個(gè)人信息犯罪典型案例:
?
2023年2月���,安徽某縣人民法院以侵犯公民個(gè)人信息罪判處甲某有期徒刑一年四個(gè)月�����,并處罰金人民幣兩萬(wàn)五千元���。經(jīng)查,被告人甲某系某縣公安局交通警察大隊(duì)秩序科警務(wù)輔助人員����,在職期間,甲某利用同事的公安數(shù)字證書(shū)在公安網(wǎng)查詢公民個(gè)人信息�����,并以每條5-10元不等的價(jià)格出售給多人�,共計(jì)出售公民個(gè)人信息約3000條,非法獲利22145元����。
?
2023年5月,新疆和田某縣住房公積金辦工作人員努某利用職務(wù)便利����,非法獲取并向和田某房地產(chǎn)開(kāi)發(fā)公司栗某等人出售大量公民信息,栗某等人將上述信息分別轉(zhuǎn)賣(mài)至建材家居�、裝修設(shè)計(jì)等公司,并雇傭人員向受害人進(jìn)行精準(zhǔn)營(yíng)銷����。2023年6月,和田地區(qū)公安機(jī)關(guān)將努某和栗某抓獲�����,查獲非法收集公民個(gè)人信息1萬(wàn)余條�。
?
2023年7月,北京某大學(xué)碩士畢業(yè)生馬某某因在校期間盜取校內(nèi)數(shù)據(jù)���,收集學(xué)生個(gè)人信息����,被當(dāng)?shù)毓簿忠婪ㄐ淌戮辛?。?jù)了解���,馬某某所收集的信息包括照片、姓名�����、學(xué)號(hào)�、籍貫、生日等����,并公開(kāi)發(fā)布在網(wǎng)站上。據(jù)同學(xué)反饋�����,馬某某就讀期間曾在學(xué)校信息中心勤工儉學(xué)���,有機(jī)會(huì)使用高權(quán)限賬號(hào)����,推測(cè)是那時(shí)通過(guò)超級(jí)管理員登錄并獲取到學(xué)生信息���。目前案件正在進(jìn)一步調(diào)查中�����。
?
2022年4月����,麥某利用從事衛(wèi)生院防疫工作職務(wù)便利����,非法收集公民個(gè)人信息,再將上述信息出售給墨玉縣某房地產(chǎn)公司員工布某非法牟利���,布某雇傭人員通過(guò)撥打騷擾電話進(jìn)行精準(zhǔn)營(yíng)銷���。今年5月,和田地區(qū)公安機(jī)關(guān)將麥某����、布某抓獲,查獲非法收集公民個(gè)人信息1.6萬(wàn)余條����。
?
2023年3月,福建省莆田某區(qū)人民法院判決陳某犯侵犯公民個(gè)人信息罪,判處有期徒刑二年六個(gè)月�����,處罰金5萬(wàn)元�,沒(méi)收違法所得4萬(wàn)元,上繳國(guó)庫(kù)�。據(jù)悉,陳某將自己在銀行履職過(guò)程中獲得的客戶銀行賬戶名�����、賬戶余額�、賬戶掛失狀態(tài)等公民個(gè)人財(cái)產(chǎn)信息逾558條出售給周某某,非法獲利4萬(wàn)元�����。
?
2023年8月�����,廣東省佛山市某區(qū)人民法院通報(bào)了一起高鐵站員工利用職務(wù)便利�����,有償代查或出售明星隱私行程的案件。法院判定被告人的行為已構(gòu)成侵犯公民個(gè)人信息罪����,除應(yīng)承擔(dān)刑事責(zé)任外,還應(yīng)支付共計(jì)56萬(wàn)余元的侵害社會(huì)公共利益賠償金�����。
?
2023年6月���,昌平網(wǎng)安部門(mén)發(fā)現(xiàn)某科技公司存在數(shù)據(jù)泄露隱患。經(jīng)查�,該科技公司一款A(yù)PP產(chǎn)品后臺(tái)存儲(chǔ)大量客戶信息,系統(tǒng)服務(wù)器未采取任何網(wǎng)絡(luò)防護(hù)和技術(shù)防護(hù)措施���,導(dǎo)致公民姓名�����、手機(jī)號(hào)����、微信賬號(hào)���、郵箱等46萬(wàn)余條�、19.1GB隱私數(shù)據(jù)被暴露在互聯(lián)網(wǎng)。公安部門(mén)根據(jù)法律規(guī)定�,對(duì)該公司處罰款五萬(wàn)元,責(zé)令限期改正����。
?
個(gè)人敏感信息從內(nèi)部泄露的成因
?
隨著數(shù)字化業(yè)務(wù)的持續(xù)開(kāi)展,各單位內(nèi)部數(shù)據(jù)流通量增大�,各系統(tǒng)間的數(shù)據(jù)頻繁交互。
?
在此過(guò)程中�,往往會(huì)因?yàn)閱挝粌?nèi)部的數(shù)據(jù)管理制度不健全、防護(hù)手段不足等原因�����,讓“內(nèi)鬼”有機(jī)可乘����。他們?cè)诶媸召I(mǎi)或情緒化報(bào)復(fù)等原因驅(qū)使下,利用職務(wù)之便非法竊取企業(yè)機(jī)密數(shù)據(jù)�����。當(dāng)然�,也存在部分員工因缺乏專業(yè)知識(shí)�、誤操作等原因�,導(dǎo)致系統(tǒng)內(nèi)部信息暴露。
?
但無(wú)論有意或無(wú)意���,均會(huì)對(duì)單位的名譽(yù)與權(quán)益構(gòu)成嚴(yán)重侵害����,直接或間接造成重大安全事故和損失����。
目前,針對(duì)敏感信息的管理�,通常采用定期開(kāi)展保密檢查�,并配合信息化系統(tǒng)中的敏感信息檢測(cè)及防泄露模塊來(lái)進(jìn)行實(shí)時(shí)的監(jiān)控。
?
當(dāng)前信息化系統(tǒng)中的敏感信息監(jiān)控主要采用的是關(guān)鍵詞檢索以及密級(jí)模板檢索這兩種方式����。這些方式對(duì)于普通敏感信息的監(jiān)控而言是有一定成效的,但在個(gè)人敏感信息監(jiān)控方面���,它的全面性與準(zhǔn)確性仍存在一些不足之處:
?
當(dāng)違規(guī)人員通過(guò)非法手段獲取大量個(gè)人敏感數(shù)據(jù)���,例如身份證號(hào)���、手機(jī)號(hào)、郵箱�����、銀行卡號(hào)時(shí)����,是很難直接通過(guò)關(guān)鍵詞詞庫(kù)以及密級(jí)方式監(jiān)控到的。
?
如果通過(guò)關(guān)鍵詞來(lái)篩選個(gè)人敏感信息����,通常會(huì)存在大量錯(cuò)誤的數(shù)據(jù)結(jié)果(例如把一串普通數(shù)字判定為手機(jī)號(hào)、身份證號(hào)等)���。這樣會(huì)導(dǎo)致在出現(xiàn)大量告警后還需要管理員額外的時(shí)間精力去進(jìn)行二次研判����,最終告警泛濫�����、研判疲勞����,許多真實(shí)的個(gè)人敏感數(shù)據(jù)仍舊會(huì)被泄露���。
?
針對(duì)以上個(gè)人敏感信息的監(jiān)控痛點(diǎn),世安智慧對(duì)公司自研產(chǎn)品“終端安全管理系統(tǒng)”進(jìn)行了全新升級(jí)�����,重磅推出“敏感字典”功能�!
“敏感字典”基于世安團(tuán)隊(duì)對(duì)前沿算法與技術(shù)的鉆研打磨����,可提前將身份證號(hào)、手機(jī)號(hào)���、銀行卡等個(gè)人信息檢測(cè)的規(guī)則模板內(nèi)置在系統(tǒng)中,管理員通過(guò)內(nèi)置模板來(lái)創(chuàng)建字典檢測(cè)策略�,例如配置單個(gè)信息檢測(cè)或者組合多個(gè)信息進(jìn)行檢測(cè),或是自定義命中次數(shù)等����,以此達(dá)到準(zhǔn)確、全面監(jiān)控終端的敏感信息情況的效果�。
?
當(dāng)員工有意或無(wú)意獲取到客戶的個(gè)人敏感數(shù)據(jù)保存到終端電腦的某份文檔中���,如符合敏感策略,系統(tǒng)會(huì)進(jìn)行實(shí)時(shí)告警�,監(jiān)測(cè)結(jié)果也將實(shí)時(shí)上報(bào)給安全保密管理員。幫助各單位及時(shí)發(fā)現(xiàn)終端用戶違規(guī)存儲(chǔ)或操作個(gè)人敏感信息的情況并進(jìn)行處理�����,防止信息泄露���。
?
當(dāng)前版本的敏感字典可支持檢測(cè)身份證號(hào)�、手機(jī)號(hào)�����、銀行卡�、郵箱、IP地址�����、MAC地址�����、hash密文等敏感信息,同時(shí)支持WORD����、PPT、XLS�、文本、PDF等多種文件類型���,更多新的敏感信息類型也正在緊鑼密鼓解鎖中����。
?
另外�,除了敏感信息檢測(cè)及防泄露的能力之外,世安終端安全管理系統(tǒng)還具備外設(shè)端口及存儲(chǔ)介質(zhì)管控����、非法外聯(lián)監(jiān)控、系統(tǒng)軟件使用控制�����、終端防泄密水印���、實(shí)時(shí)監(jiān)控與違規(guī)告警等安全防護(hù)及監(jiān)管審計(jì)能力����,可幫助企事業(yè)單位對(duì)終端實(shí)現(xiàn)全方位的管控及防御�����,保障終端信息安全����。
?
目前,敏感字典支持限時(shí)免費(fèi)體驗(yàn)���,只要是部署了世安內(nèi)網(wǎng)終端安全管理系統(tǒng)的客戶�����,可以在原系統(tǒng)基礎(chǔ)上直接升級(jí)敏感字典功能�;即使沒(méi)有部署世安內(nèi)網(wǎng)終端安全管理系統(tǒng)�,也可以聯(lián)系世安總部及各分公司相關(guān)人員獲取免費(fèi)體驗(yàn)名額哦!
在線咨詢
