公共企事業(yè)單位內(nèi)部人員借職務(wù)之便,盜取公民個人信息;技術(shù)防范手段落后,被“黑客”輕易攻入……越城區(qū)人民檢察院近日發(fā)布《涉公共企事業(yè)單位信息安全犯罪典型案例》白皮書,揭示了公民個人信息頻遭泄露的原因。
白皮書顯示,2015年以來,越城區(qū)檢察機(jī)關(guān)共辦理侵犯公民個人信息案件37件92人,其中非法侵入計算機(jī)信息系統(tǒng)、非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計算機(jī)信息系統(tǒng)、破壞計算機(jī)信息系統(tǒng)案件17件72人。案件之多、問題之嚴(yán)重令人擔(dān)憂。
一些公共企事業(yè)單位已認(rèn)識到問題的嚴(yán)重性,有的限制非本崗位人員訪問終端IP,有的對單次導(dǎo)出個人信息數(shù)量設(shè)限,超過50人需審批,但許多單位仍行動遲緩!
加強(qiáng)內(nèi)部防范、扎緊織密制度籬笆已成當(dāng)務(wù)之急。
對內(nèi)部員工不設(shè)防
公共企事業(yè)單位因為職能需要,掌握的信息數(shù)量龐大、全面、準(zhǔn)確。因為“含金量”高,成為不法分子獲取信息的目標(biāo)對象。越城區(qū)人民檢察院通過對近年來涉公共企事業(yè)單位信息安全犯罪案件的梳理,發(fā)現(xiàn)通訊公司、醫(yī)院、公共文化單位、公共服務(wù)單位乃至行政部門均存在信息泄露現(xiàn)象。
陳某甲是某公共企業(yè)袍江分公司員工,2017年至2018年,他利用從事業(yè)務(wù)受理的工作便利,多次非法獲取單位計算機(jī)系統(tǒng)內(nèi)的居民個人信息(包含用戶姓名、居住地址、固定電話和手機(jī)號碼等),提供給陳某乙。陳某乙利用這些信息推銷二手房。經(jīng)查證,陳某甲非法提供給陳某乙的公民個人信息數(shù)量累計達(dá)1.5萬余條。目前,陳某甲案件已辦結(jié)。
“一些單位對個人信息的保護(hù)意識不強(qiáng),制度不健全,如對信息查詢、獲取的權(quán)限不加限制,查詢結(jié)果不留痕,導(dǎo)致非本崗位員工也能接觸并導(dǎo)出個人信息數(shù)據(jù)!痹匠菂^(qū)人民檢察院第一檢察部主任潘亞鵬告訴記者,作為一名普通員工,陳某甲輕而易舉可以獲取1.5萬條信息,說明部分公共企事業(yè)單位對信息安全的管理沒有引起足夠重視。
記者在幾起典型的涉罪案件中發(fā)現(xiàn),行為人為單位內(nèi)部職工的居多。在2018年偵破的一起侵犯公民個人信息案件中,紹興一通訊公司政企部校園中心負(fù)責(zé)人利用職務(wù)之便,將5688條校訊通數(shù)據(jù)無償提供給某教育培訓(xùn)機(jī)構(gòu);紹興一文化單位內(nèi)部技術(shù)員工將8萬條公民個人信息從電腦導(dǎo)出后,提供給某培訓(xùn)機(jī)構(gòu)。
“大數(shù)據(jù)時代,我們收到一些推銷信息不足為奇,但奇怪的是,一些完全陌生的人居然準(zhǔn)確掌握我們家的情況!狈脚康暮⒆釉诮B興一所小學(xué)讀四年級,她告訴記者,從孩子上學(xué)開始,她就一直收到詐騙信息和房產(chǎn)中介推薦學(xué)區(qū)房的電話。
“不少案件中的犯罪嫌疑人都是在朋友的‘求助’下,將信息泄露了出去!痹匠菂^(qū)公安分局網(wǎng)警大隊民警單鐘穎告訴記者,這些信息比較精準(zhǔn),若被轉(zhuǎn)手用于非法用途,不僅可以引發(fā)電信詐騙案件,還可能引發(fā)綁架、敲詐勒索等惡性犯罪活動。
安全防范技術(shù)粗淺
除了對內(nèi)部員工不設(shè)防,一些單位維護(hù)信息安全的技術(shù)手段也比較粗淺,犯罪嫌疑人僅通過基礎(chǔ)的黑客軟件、程序代碼就輕而易舉地攻破單位計算機(jī)防御系統(tǒng)。越城區(qū)檢察機(jī)關(guān)通過梳理案件發(fā)現(xiàn),許多公共企事業(yè)單位均存在計算機(jī)系統(tǒng)被攻擊破壞的情況。
“如果是簡單信息,損失還小點;如果是涉及知識產(chǎn)權(quán)或者機(jī)密文件,就會給單位帶來巨大損失,后果不堪設(shè)想!背修k檢察官馮麗君說,在他們所辦的案件中,就有一起是市區(qū)3家醫(yī)院的“統(tǒng)方”數(shù)據(jù)被醫(yī)院內(nèi)部醫(yī)生盜取并販賣牟取利益,“如果有專門的后端技術(shù)維護(hù)人員,可能就不會輕易被盜取!
采訪中,不少市民都有類似信息泄露被多次侵?jǐn)_的經(jīng)歷。一些單位沒有設(shè)置“防火墻”,也不設(shè)置訪問權(quán)限,導(dǎo)致單位內(nèi)部人員可以輕易獲取信息。
記者從我市公安機(jī)關(guān)獲悉,當(dāng)前在校外培訓(xùn)、房產(chǎn)中介及物業(yè)等領(lǐng)域,利用網(wǎng)絡(luò)非法采集、竊取、販賣和利用用戶信息已形成黑色產(chǎn)業(yè)鏈。用戶信息泄露呈現(xiàn)渠道多、竊取違法行為成本低、追查難度大等特點,而且不法分子使用的手段不斷升級,因用戶信息泄露引發(fā)的“精準(zhǔn)詐騙”案件增多,給人民群眾財產(chǎn)安全造成嚴(yán)重危害。
分級保護(hù)亟待建立
如何提升公共企事業(yè)單位信息安全管理水平?越城區(qū)人民檢察院在白皮書中也提了一些意見建議,其中最重要一條就是,要求公共企事業(yè)單位落實信息分級保護(hù)制度,加強(qiáng)身份認(rèn)證、查詢權(quán)限設(shè)置,確保信息查詢留痕跡、可追溯。
在發(fā)出檢察建議后不久,我市某公共事業(yè)單位就信息安全問題進(jìn)行了專題培訓(xùn),對存在的問題進(jìn)行了整改。記者了解到,該單位根據(jù)國家有關(guān)法律要求,與全部員工簽訂了《員工信息安全保密協(xié)議》。同時,對用戶信息導(dǎo)出進(jìn)行了限制,對單次導(dǎo)出公民個人信息數(shù)量在50人以上的,需要向部門負(fù)責(zé)人以及不同層級領(lǐng)導(dǎo)申請,獲得批準(zhǔn)后才可以執(zhí)行導(dǎo)出行為。
日前,我市某文化單位也對信息安全管理漏洞進(jìn)行了整改。記者了解到,該單位首先對內(nèi)部網(wǎng)絡(luò)安全狀況進(jìn)行了一次“大體檢”,同時落實核心崗位人員保密責(zé)任,建立了信息審批權(quán)限以及數(shù)據(jù)輸出的審批流程,對技術(shù)人員相關(guān)的管理權(quán)限實行了分塊、分級管理。同時,企業(yè)內(nèi)部服務(wù)器的群訪問方式被調(diào)整,限制訪問終端IP。
“我們知道,現(xiàn)在公安機(jī)關(guān)的信息不能隨便查詢,更不能越權(quán)導(dǎo)出,一旦查詢都會留下痕跡。”檢察官建議我市公共企事業(yè)單位向公安機(jī)關(guān)學(xué)習(xí),實行信息查詢“分級留痕”方式,同時落實追責(zé)機(jī)制和倒查機(jī)制,即對于違規(guī)違紀(jì)泄露內(nèi)部信息甚至涉密信息者,除了追究當(dāng)事人的相關(guān)責(zé)任外,對其分管和主管領(lǐng)導(dǎo)也要一并追責(zé),形成強(qiáng)有力的倒查機(jī)制。
來源:紹興日報 作者: 編輯:徐曉