个人信息遭境外IP窃取,上海医疗企业被处罚,数据泄露何以频发?
21世纪经济报道记者肖潇北京报道
近日,上海市网信办发布消息称,属地某医疗科技公司所属系统存在网络安全漏洞,致使系统大量个人信息数据发生泄漏,被境外IP访问窃取。
根据网信办的调查结果,涉事医疗科技公司为民营医疗机构,主要从事医疗领域教育培训的技术开发服务,涉事系统为该企业内部生产测试系统,部署于云服务平台,系统数据库内存储大量个人信息数据,包含姓名、单位名称、所属省市、所在乡镇/街道、手机号等。
上海网信办表示,该系统未采取有效网络安全防护措施,造成数据泄漏被窃取,违反了《数据安全法》第二十七条规定。网信办依法对该医疗科技公司给予警告,并处以罚款的行政处罚,具体处罚金额未透露。
《数据安全法》第二十七条,是近年数安法违规的高发区。第二十七条规定:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。简单来说,企业有保护数据安全的基本义务,否则可以被追责。
在南财合规科技研究院此前的统计中,从《数据安全法》施行的2021年到2023年间,公开的28份数据泄露行政处罚案例里,超过50%的案例(15起)违反的都是《数据安全法》第二十七条。可见目前数据安全在我国仍面临挑战,各企业和个人的数据安全意识不足,数据安全保护技术和管理上都存在漏洞。
具体看本次数据泄露的技术原因——相关数据上传云端且未做安全防护,近年愈加频繁发生。比如2020年,上海公安上亿条数据被曝在暗网出售,原因是托管在阿里云服务器上的数据库管理界面并未设置密码,导致数据被窃取。
2023年,浙江温州发生一起严重的数据泄露事件。某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中,在未经建设单位同意的情况下,将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上,且没有采取有效的安全措施,最终导致泄露。
当时由浙江公安的网安部门执法,对公司作出了100万元的行政处罚。当地纪委也进行介入,对相关负责人追究问责。
法国公司泰雷兹在去年一份报告中,严厉警告了云安全问题。《2023年泰雷兹云安全研究》对3000名IT和安全业内人士调查发现,去年有超过三分之一(39%)的企业在云环境中经历了数据泄露事件。
值得注意的现象是,选择在云端存储敏感数据的企业数量大幅增加。去年75%的企业表示,超过四成的敏感数据存储在云上,而2022年只有49%的企业会这样做。
尽管存储上云的敏感数据有所上升,但加密处理的使用率并不高。研究结果显示,目前平均只有45%的云数据进行了加密处理。报告认为,云安全的主要问题正是缺乏加密和密钥控制。
报告因此建议,身份和访问管理(IAM)是缓解数据泄露的关键措施。有必要更加注重采取全面的安全措施,以更有效地保护敏感数据,并增强整体网络安全弹性。