公共企事業(yè)單位內(nèi)部人員借職務(wù)之便,盜取公民個(gè)人信息;技術(shù)防范手段落后,被“黑客”輕易攻入……越城區(qū)人民檢察院近日發(fā)布《涉公共企事業(yè)單位信息安全犯罪典型案例》白皮書,揭示了公民個(gè)人信息頻遭泄露的原因。
白皮書顯示,2015年以來(lái),越城區(qū)檢察機(jī)關(guān)共辦理侵犯公民個(gè)人信息案件37件92人,其中非法侵入計(jì)算機(jī)信息系統(tǒng)、非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)、破壞計(jì)算機(jī)信息系統(tǒng)案件17件72人。案件之多、問(wèn)題之嚴(yán)重令人擔(dān)憂。
一些公共企事業(yè)單位已認(rèn)識(shí)到問(wèn)題的嚴(yán)重性,有的限制非本崗位人員訪問(wèn)終端IP,有的對(duì)單次導(dǎo)出個(gè)人信息數(shù)量設(shè)限,超過(guò)50人需審批,但許多單位仍行動(dòng)遲緩!
加強(qiáng)內(nèi)部防范、扎緊織密制度籬笆已成當(dāng)務(wù)之急。
對(duì)內(nèi)部員工不設(shè)防
公共企事業(yè)單位因?yàn)槁毮苄枰莆盏男畔?shù)量龐大、全面、準(zhǔn)確。因?yàn)椤昂鹆俊备撸蔀椴环ǚ肿荧@取信息的目標(biāo)對(duì)象。越城區(qū)人民檢察院通過(guò)對(duì)近年來(lái)涉公共企事業(yè)單位信息安全犯罪案件的梳理,發(fā)現(xiàn)通訊公司、醫(yī)院、公共文化單位、公共服務(wù)單位乃至行政部門均存在信息泄露現(xiàn)象。
陳某甲是某公共企業(yè)袍江分公司員工,2017年至2018年,他利用從事業(yè)務(wù)受理的工作便利,多次非法獲取單位計(jì)算機(jī)系統(tǒng)內(nèi)的居民個(gè)人信息(包含用戶姓名、居住地址、固定電話和手機(jī)號(hào)碼等),提供給陳某乙。陳某乙利用這些信息推銷二手房。經(jīng)查證,陳某甲非法提供給陳某乙的公民個(gè)人信息數(shù)量累計(jì)達(dá)1.5萬(wàn)余條。目前,陳某甲案件已辦結(jié)。
“一些單位對(duì)個(gè)人信息的保護(hù)意識(shí)不強(qiáng),制度不健全,如對(duì)信息查詢、獲取的權(quán)限不加限制,查詢結(jié)果不留痕,導(dǎo)致非本崗位員工也能接觸并導(dǎo)出個(gè)人信息數(shù)據(jù)!痹匠菂^(qū)人民檢察院第一檢察部主任潘亞鵬告訴記者,作為一名普通員工,陳某甲輕而易舉可以獲取1.5萬(wàn)條信息,說(shuō)明部分公共企事業(yè)單位對(duì)信息安全的管理沒(méi)有引起足夠重視。
記者在幾起典型的涉罪案件中發(fā)現(xiàn),行為人為單位內(nèi)部職工的居多。在2018年偵破的一起侵犯公民個(gè)人信息案件中,紹興一通訊公司政企部校園中心負(fù)責(zé)人利用職務(wù)之便,將5688條校訊通數(shù)據(jù)無(wú)償提供給某教育培訓(xùn)機(jī)構(gòu);紹興一文化單位內(nèi)部技術(shù)員工將8萬(wàn)條公民個(gè)人信息從電腦導(dǎo)出后,提供給某培訓(xùn)機(jī)構(gòu)。
“大數(shù)據(jù)時(shí)代,我們收到一些推銷信息不足為奇,但奇怪的是,一些完全陌生的人居然準(zhǔn)確掌握我們家的情況!狈脚康暮⒆釉诮B興一所小學(xué)讀四年級(jí),她告訴記者,從孩子上學(xué)開始,她就一直收到詐騙信息和房產(chǎn)中介推薦學(xué)區(qū)房的電話。
“不少案件中的犯罪嫌疑人都是在朋友的‘求助’下,將信息泄露了出去!痹匠菂^(qū)公安分局網(wǎng)警大隊(duì)民警單鐘穎告訴記者,這些信息比較精準(zhǔn),若被轉(zhuǎn)手用于非法用途,不僅可以引發(fā)電信詐騙案件,還可能引發(fā)綁架、敲詐勒索等惡性犯罪活動(dòng)。
安全防范技術(shù)粗淺
除了對(duì)內(nèi)部員工不設(shè)防,一些單位維護(hù)信息安全的技術(shù)手段也比較粗淺,犯罪嫌疑人僅通過(guò)基礎(chǔ)的黑客軟件、程序代碼就輕而易舉地攻破單位計(jì)算機(jī)防御系統(tǒng)。越城區(qū)檢察機(jī)關(guān)通過(guò)梳理案件發(fā)現(xiàn),許多公共企事業(yè)單位均存在計(jì)算機(jī)系統(tǒng)被攻擊破壞的情況。
“如果是簡(jiǎn)單信息,損失還小點(diǎn);如果是涉及知識(shí)產(chǎn)權(quán)或者機(jī)密文件,就會(huì)給單位帶來(lái)巨大損失,后果不堪設(shè)想!背修k檢察官馮麗君說(shuō),在他們所辦的案件中,就有一起是市區(qū)3家醫(yī)院的“統(tǒng)方”數(shù)據(jù)被醫(yī)院內(nèi)部醫(yī)生盜取并販賣牟取利益,“如果有專門的后端技術(shù)維護(hù)人員,可能就不會(huì)輕易被盜取。”
采訪中,不少市民都有類似信息泄露被多次侵?jǐn)_的經(jīng)歷。一些單位沒(méi)有設(shè)置“防火墻”,也不設(shè)置訪問(wèn)權(quán)限,導(dǎo)致單位內(nèi)部人員可以輕易獲取信息。
記者從我市公安機(jī)關(guān)獲悉,當(dāng)前在校外培訓(xùn)、房產(chǎn)中介及物業(yè)等領(lǐng)域,利用網(wǎng)絡(luò)非法采集、竊取、販賣和利用用戶信息已形成黑色產(chǎn)業(yè)鏈。用戶信息泄露呈現(xiàn)渠道多、竊取違法行為成本低、追查難度大等特點(diǎn),而且不法分子使用的手段不斷升級(jí),因用戶信息泄露引發(fā)的“精準(zhǔn)詐騙”案件增多,給人民群眾財(cái)產(chǎn)安全造成嚴(yán)重危害。
分級(jí)保護(hù)亟待建立
如何提升公共企事業(yè)單位信息安全管理水平?越城區(qū)人民檢察院在白皮書中也提了一些意見建議,其中最重要一條就是,要求公共企事業(yè)單位落實(shí)信息分級(jí)保護(hù)制度,加強(qiáng)身份認(rèn)證、查詢權(quán)限設(shè)置,確保信息查詢留痕跡、可追溯。
在發(fā)出檢察建議后不久,我市某公共事業(yè)單位就信息安全問(wèn)題進(jìn)行了專題培訓(xùn),對(duì)存在的問(wèn)題進(jìn)行了整改。記者了解到,該單位根據(jù)國(guó)家有關(guān)法律要求,與全部員工簽訂了《員工信息安全保密協(xié)議》。同時(shí),對(duì)用戶信息導(dǎo)出進(jìn)行了限制,對(duì)單次導(dǎo)出公民個(gè)人信息數(shù)量在50人以上的,需要向部門負(fù)責(zé)人以及不同層級(jí)領(lǐng)導(dǎo)申請(qǐng),獲得批準(zhǔn)后才可以執(zhí)行導(dǎo)出行為。
日前,我市某文化單位也對(duì)信息安全管理漏洞進(jìn)行了整改。記者了解到,該單位首先對(duì)內(nèi)部網(wǎng)絡(luò)安全狀況進(jìn)行了一次“大體檢”,同時(shí)落實(shí)核心崗位人員保密責(zé)任,建立了信息審批權(quán)限以及數(shù)據(jù)輸出的審批流程,對(duì)技術(shù)人員相關(guān)的管理權(quán)限實(shí)行了分塊、分級(jí)管理。同時(shí),企業(yè)內(nèi)部服務(wù)器的群訪問(wèn)方式被調(diào)整,限制訪問(wèn)終端IP。
“我們知道,現(xiàn)在公安機(jī)關(guān)的信息不能隨便查詢,更不能越權(quán)導(dǎo)出,一旦查詢都會(huì)留下痕跡!睓z察官建議我市公共企事業(yè)單位向公安機(jī)關(guān)學(xué)習(xí),實(shí)行信息查詢“分級(jí)留痕”方式,同時(shí)落實(shí)追責(zé)機(jī)制和倒查機(jī)制,即對(duì)于違規(guī)違紀(jì)泄露內(nèi)部信息甚至涉密信息者,除了追究當(dāng)事人的相關(guān)責(zé)任外,對(duì)其分管和主管領(lǐng)導(dǎo)也要一并追責(zé),形成強(qiáng)有力的倒查機(jī)制。
來(lái)源:紹興日?qǐng)?bào) 作者: 編輯:徐曉