本文系融 360 專欄作者 " 祝偉明 " 原創作品,僅代表作者個人觀點,不代表融 360 官方立場,轉載請聯系作者授權。
據新聞報道,近期黑市上出現一份數據,稱是 " 趣店學生用戶數據 ",包含瞭百萬的學生信息。該數據維度極細,除學生借款金額、滯納金等金融數據外,甚至還包括學生父母電話、男女朋友電話、學信網賬號密碼等隱私信息。
這個事,再次對所有的互聯網金融從業者、對個人投資者,敲響瞭警鐘。
數據安全與客戶隱私的保護,是新金融企業的立身之本,馬虎不得。
沒有出現安全問題的,不代表自己的制度、流程和技術措施就已經很到位瞭,隻是沒有碰到而已。
縱觀以往見諸於報道的各種數據泄露事件,其原因無法以下四種:
1、內部人竊取數據
這種是比較常見的,也是性質最惡劣的。內部的人員,最有機會接觸企業的重要業務數據,而且層級越高、接觸的機密越多。一旦有人為利益或者怨恨所驅,就很容易在數據上做文章。
例如這次的趣店的泄密事件,按照多位趣店離職員工的說法," 很多員工都可導出數據,這極可能是內鬼外泄 "。
竊取的方式也多種多樣,能夠批量導出當然最好 ; 不能導出或者怕留下痕跡,可以拍照 ; 也可以內外勾結,植入病毒。
最近熱播的胡歌主演的電視劇《獵場》,其中一幕就是胡歌作為第三方的臥底入職到一傢外資銀行,然後借機打開主管的電腦,調出理財客戶的名單,準備用手機拍照,盜取數據。
內部有人要作惡,是防不勝防的。
2、網站存在安全漏洞,被外部人侵入
老祝認識的一傢電商網站,就曾經因為 SQL 註入 ( 通過把 SQL 命令插入到 Web 表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的 SQL 命令 ) ,被人從數據庫盜取瞭大量數據。
尤其初創的互聯網企業,各方面都是剛起步,在安全防護的軟硬件設施、代碼規范上,都還比較粗糙的,此類問題更為嚴重,一旦被人盯上,很容易出現數據安全事件。
3、管理疏忽,暴露於外
其實所有的安全問題,最終都可以歸結為管理的問題。
管理的問題,又包括意識的問題、制度和流程設計的問題、執行的問題等等。安全意識淡漠、對客戶隱私保護的覺悟不高,又是管理問題的根源。
例如,對互聯網金融企業來說,如果操作後臺,隨便一個人都能查看客戶列表,客戶列表可以直接顯示手機號,那說明根本沒有任何的安全管理。
4、被第三方機構截取
曾經有公司號稱可以獲得各大 P2P 平臺的精準用戶手機號,並進行定向推送,例如某金所的用戶定向短信推送。深入瞭解,實際上也並不算太精準,大致是知道某個手機號訪問過哪些網站或者 App。要做到這點,必須基於電信或移動的網絡,進行用戶行為的跟蹤。這種不是一般人能夠搞得的定的。
現在很多金融科技企業也都會使用第三方提供的反欺詐服務,在使用時,比如會需要向服務商提供用戶的手機號信息,這裡也涉及數據安全的問題。如果選擇瞭一個技術實力不強、管理不嚴格的服務商,同樣也存在數據泄露的風險。
要有效地對企業數據尤其是客戶信息,進行有效的保護,必須從理念、人員、制度、流程、技術、績效等多個方面入手,形成嚴密的體系,否則,任何一個環節的疏忽,都會導致全局的潰敗。
第一,觀念先行,必須將數據安全提高到關系企業生死的高度。
企業中的每個部門、每個崗位、每個員工,都要有安全意識,都要重視對客戶的信息安全的保護。貫徹安全意識,不能光靠口號,而要通過具體的事例來傳達。可以是圍繞某個排查出來的安全隱患,進行獎懲,對補救措施進行大范圍討論等等。具體生動的實例,在企業內部流傳、激發最大程度的參與,最能有效地將一種觀念植入人心。
其次,選對人,安全的問題就解決瞭一大半。
對會接觸重要數據的崗位,其人員招募、選拔,非常關鍵。隻有具有良好品行、專業自律的團隊成員,才能查詢或者操作有關數據。
第三,數據安全的管理制度和內部控制體系需要建立和健全。
權限管理制度、保密制度、數據備份制度、安全審計制度等基本的制度體系,必須建立起來。
企業應設立數據安全與保護的專崗,定期對整個安全體系進行審視,排查隱患,建立控制節點,持續地改進。
CEO,就應該是最大的安全管理員,審視內部的數據安全管理規程、推動各項措施的落地。例如,關於數據導出,一個非常基本的原則,就是無特殊情況,各個列表均不應設置導出按鈕 ; 必須要用到導出的,權限隻給特定的管理員,要進行脫敏處理,且導出的數據不得拷貝。
又比如,金融科技企業,很多用戶會涉及到更換銀行卡,一般都要提交很多個人資料,例如身份證正反面照片、手持身份證的照片,這些都是敏感數據。除瞭權限控制,也需要建立定期的銷毀機制,對已經過瞭時效,及時清除,這也是對用戶隱私的一種保護。
第四,做好定期的安全測評。
公安部的 " 等保三級 " 測評和工信部的安全防護測評,各有側重,是非常有效的安全保護和改進機制。按照監管的要求,實際上對網貸平臺來說,要備案、要申請 ICP,這些都是必須經歷的程序。
這樣從一個側面說明,監管落地後的網絡借貸企業,確實在各個方面都更加規范和可信賴瞭。
第五,規范與第三方的合作機制。
在與外部機構合作時,首先要選擇專業的、具有公信力的品牌機構,不能因為價格原因,而降低供應商的選擇標準,因小失大。
合作過程中,對數據提供的范圍要進行嚴格的限定,不能把非必要的數據都提供給對方 ;
同時,進行有效的監控,一旦發生數據泄露事件,可以快速地定位到泄露的源頭。
對在互聯網上理財投資的個人而言,也要非常註意個人信息的保護。
與其寄托於別人,不然先把自己的工作做到位。
1、不要輕易 " 出售 " 自己的個人信息。
現在各種商傢,都會在營業網點、微信朋友圈、今日頭條廣告等各個地方,以紅包、抵扣券等等方式,誘導個人關註微信公眾號、留下個人手機號,甚至身份信息。
實際上,這就是一種交易。
你領到一個紅包 5 元,掂量瞭一下,決定輸入手機號領取,說明你願意 " 出售 " 自己手機號的價格,就是 5 元。
如果這 5 元要提現,還需綁定銀行卡,你可能會放棄 ;
但如果是 20 元,你可能就願意綁卡瞭。
這說明,你願意交出自己身份信息和銀行信息的價格,是 20 元。
當然,這裡的交易是有前提的,你是假設商傢會嚴格保護你的隱私,否則給 200 元你也不一定願意。
這就要求,在面對各種羊毛時,我們要謹慎地評估對方是否是可信賴的,是否會遵守基本的商業道德,隻選擇靠譜的參加,或者幹脆不參加。
2、保持必要的安全敏感度。
在手機上進行某個操作前,要仔細想想,這裡面是不是有什麼坑 ? 會不會被 App 運營方獲得隱私數據 ? 是不是一定要給 ?
例如,前段時間瀏覽新聞時,會經常出來廣告,說提供 " 公積金查詢 " 工具,然後你去查詢瞭,公積金賬號、數據實際上都給瞭某個放貸公司。
還有你的通訊錄權限,也不要輕易點擊同意,一旦同意對方就可以獲得通訊錄中的所有手機號和姓名。
有瞭安全意識,隱私暴露的風險也會減小很多。
這個年代,對個人信息的保護,整體上是非常槽糕的。
立足長遠發展的企業,必須從起步階段,就要重視數據安全,高度自律,並建立配套的制度、流程和技術措施,讓客戶可信賴。
而對這些互聯網產品的用戶而言,除瞭提高安全意識外,關鍵還是在於選擇,不短視、不輕信,把信息托付給可以托付的企業。
作者:祝偉明 微信公眾號:老祝說
將花唄額度提升至 5 萬的最全攻略,關註:融 360 財秘,回復 "1" 獲取。
