当下,人们在进行网购、寄递包裹、挂号就医等活动时,不可避免要向相关企业提供个人信息。由于个人信息与个人生活安宁、财产生命安全息息相关,一旦被泄露或者非法使用,不仅容易导致公民人格尊严受到侵害,还有可能成为电信网络诈骗、敲诈勒索等违法犯罪的精准靶心,因此我国民法典、个人信息保护法、刑法等法律法规均亮明了严格保护公民个人信息权益的鲜明态度。
人们常说,堡垒最容易从内部被攻破,这句话也适用于个人信息保护领域。从公安部此次发布的典型案例来看,公民个人信息遭泄露或被非法使用,除了不法分子使用黑客手段非法窃取外,多与企业“内鬼”密切相关。这些“内鬼”了解企业内部规章制度,熟悉企业个人信息保存方式,拥有查阅个人信息的权限,本应承担起保护公民个人信息安全的职责,结果却在非法利益的驱使下,利用职务便利倒卖起了个人信息。
对于此类问题,公安机关通过开展专项行动,锚定行业内部泄露源头,对行业“内鬼”予以重拳打击,有力震慑了此类违法犯罪。但要从源头上遏制此类乱象,还需要企业依法建立完善个人信息采集、存储、使用制度,采取相应的技术手段,确保相关制度得到有效落实,以严密防范“内鬼”监守自盗。
在安全419之前的采访报道中,多位数据安全领域专家都曾表示,内鬼泄密正在成为企业数据安全防护的最大缺口。从安全防护的技术实现路径上看,将数据脱敏保护与零信任、多因素身份认证、最小权限访问控制等安全机制相融合,正在成为一条得以验证的有效路径。
具体而言,不信任任何访问,对每次访问做到严格鉴权监控。通过多因素认证验证访问者真实身份之后,再开放系统访问权限,并做好全程访问过的实时风控,对访问者真实身份(身份识别/多因素认证)、访问频次/地点/行为特征等进行实时预判,以在第一时间发现风险并切断访问来源。
安全419了解到,目前,业内主流的零信任厂商和数据安全厂商已围绕内部数据泄露场景打造了相关成熟的解决方案,零信任厂商如持安科技(持安零信任数据安全解决方案)、易安联(核心数据防泄漏解决方案),数据安全厂商如美创科技(数据防泄漏系统)、数安行(零信任数据运营安全平台)、熠数信息(内部数据泄露审计方案)等,推荐相关甲方用户了解参考。
保护公民个人信息安全,不只是企业基于社会责任要做的选择题,而是基于法律义务要做的必答题。企业只有既防“外贼”,又防“内鬼”,尤其是要筑牢个人信息安全制度堡垒,才能让内部人员不敢当、不能当,也不想当“内鬼”,从而从源头上杜绝内部人员倒卖个人信息的可能性,切实维护好公民个人信息权益。
京公网安备 11010802033237号
