技术可以“打补丁”,可怎么堵上“人的漏洞”
中消协的上述调查结果显示,个人信息泄露后,受访者会采取多种措施维护自身权益,但最终有大约三分之一的受访者选择“自认倒霉”。这一方面可能是基于无力应对做出的选择,另一方面也可能是应对无效后不得不接受现状。
“能力越大,责任越大。”这是许多互联网企业常标榜自我的一句话。作为用户个人信息最直接的利用者和保护者,企业应该怎么弥补过去在这方面的欠账?
360网络安全响应中心负责人蔡玉光表示,数据泄露事件发生时,涉事企业要第一时间开展事件应急处置,包括事件回溯和负责任的影响面评估等,也要及时对外披露各种进展。而在安全事件发生前,应该开展渗透测试, 及时对有漏洞的网络服务“打补丁”(修补网络安全漏洞)。
作为服务众多企业信息安全的一线技术专家,蔡玉光建议,其他企业可以从华住事件中吸取教训,做好完整可靠的数据安全措施, 杜绝明文密码存储, “这样即便被黑也能降低损失”;对用户数据交互点进行防御, 如注册登录点加验证码等二步验证方式, 增加不法分子“撞库”(通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站)攻击的成本。
不过,不同于技术问题,企业在个人信息管理方面“人的漏洞”,并不是通过“打补丁”就可以解决的。
“我们研究过所有安全事件,最后归根到底天大的事件都是从攻击一个很小的终端开始。”周鸿祎表示,在很多网络安全事件中,“人的漏洞”是很大的问题,即使病毒被检测到,很多企业和机构依然不修补漏洞。
周鸿祎认为,企事业机构应该建立健全其内部网络安全制度,尤其重视涉及个人信息安全的人员管理。他举例称,前段时间某省不动产登记中心遭到“WannaCry勒索病毒”攻击,而此前许多安全厂商早已发布相关的漏洞补丁,但包括该中心在内的许多单位,依然没有及时修补自身的网络安全漏洞。
“他不采取行动,确实我们也没有办法。”周鸿祎强调,相比病毒、黑客等攻击,“人的漏洞”需要花费很多精力去修补,尤其是要建立健全企业自身的网络安全制度。