电信精准诈骗大都来源于准确的个人信息,而企业“内鬼”往往是敏感个人信息的兜售者,因为他们具有先天的便利性,以及极高的信任度。
近日,台州市中级人民法院披露,中国电信的2亿条客户信息被内部员工在网络上出售,累计获利金额达人民币2000余万元。目前,这一贩卖信息团伙已全数落网。
经法院查明:2013年至2016年9月27日,被告人陈亚华从号百信息服务有限公司(为中国电信股份有限公司的全资子公司)数据库获取区分不同行业、地区的手机号码信息提供给陈德武,被告人陈德武以人民币0.01元/条至0.2元/条不等的价格在网络上出售,获利金额高达人民币2000余万元,涉及公民个人信息2亿余条。
据官方统计,截止2016年底中国电信移动用户数达2.15亿户。也就是说,出售的2亿条数据几乎是中国电信所有用户信息。
其实,“内鬼”是整个灰色产业的主角,他们通常会隐藏身份寻找客户,一旦有购买意向的客户出现,他们会为了获取信任先提供部分数据让买家核验,如无异议便进行大批量兜售。
此次事件暴露出部分国企对敏感数据管理缺失,对员工监管不力,才能让“内鬼”潜伏3年之久,期间不断获取出售数据。
部分企业往往忙于业务开展,更多精力用于经营,却忽视了内部管理和数据保护,才导致“内鬼”的出现。而电信运营商、金融、互联网企业以及国企掌握着大量公民重要信息,更应做好数据防护表率,制定严谨的保护策略。
信息安全无小事。政企敏感数据一旦泄露,往往造成的社会影响和损失是无法计算的。企业级数据保护,不仅是对自身核心价值的维护,更是对客户和用户的责任。所以,企业不能仅依靠制度约束作为管理手段,应该通过“制度+技术”的管理策略来提升内部数据的安全性。
企业如何通过技术措施对数据进行保护?
1.数据加密:对交换数据进行加密,避免他人窥视。
当下企业核心资料越来越成为竞争主体的情况下,对企业核心数据进行加密显得尤为重要。
2.确保数据完整:保证数据交换的完整性。
数据加密传输,第三方无法通过技术等工具篡改已受保护的信息数据,确保数据准确和完整,避免欺诈、钓鱼等事件的发生。
3.权限管控:有效管控内部数据,不外泄。
内部泄密是企业数据泄露的根源之一,内部员工可能有意或无意的不当行为,是造成数据泄露的关键原因。研究显示,74%的数据泄露和内部员工有关。
企业机构应制定严谨详细的管理制度并严格执行,同时从安全技术上进行数据管理,如数据加密、数据防泄漏、数据溯源、访问权限管控等。同时,数据进行分级分权管理,划分数据等级后加密存储,员工等级不同访问权限不同,普通员工不能越级接触敏感数据,不同部门不能跨部门查看数据,尽可能降低核心数据泄露的风险。