企业数据安全“乌云”密布：难以估量的“未来”危机

数据安全正在将越来越多的企业推向风口浪尖。

10月19日，乌云网发布消息称，网易的用户数据库疑似泄露，引发了与后者的口水战。而网易并不是第一个被“乌云”盯上的企业，此前，腾讯、携程、支付宝都曾登上过乌云网的“黑名单”。

在业内人士看来，这些已然暴露出来的问题还只是冰山一角，更多企业的数据泄露还处于秘而不宣的状态;实际上的数据安全威胁无孔不入，甚至连专业的安保机构都表示“损失已经难以弥补”。

“这些泄露的数据大量流入数据黑市，造成了用户安全、企业安全甚至国家安全方面的连锁反应，但是国内企业在经营状况、预算、意识等方面的问题，在数据安全这方面的投入还远远不够。”亚信安全业务发展总监童宁对《中国经营报》记者表示。

而对于很多企业而言，数据安全保护是基于一个投入产出比的商业考量。但无疑，未来日益趋严的法律环境以及可能带来的巨额赔偿会让他们重新思考这个天平两端的筹码。

潜滋暗长的数据“黑市”

数据安全事件正在接连爆发。网易邮箱所引发的争执尚没有平息，互联网巨头百度又步其后尘。

10月28日，乌云网曝出百度全系的安卓APP存在安全漏洞，只要安卓设备连接网络，黑客就能对设备实现远程操控，安装指定应用。随后，百度官方回应称：已经发现并确认了该漏洞，目前产品团队已经紧急修复了该漏洞。

尽管事后补救是必要之举，却无法弥补损失。就像潘多拉的盒子一样，系统漏洞一旦产生，灾难就已经无可遏制地广泛散播了。正如绿盟科技深圳互联网金融安全研究负责人赖东方所说的，在漏洞和数据被披露之前，影响就可能早已扩散出去了。

2011年，知名网站CSDN证实600余万用户资料被泄露，卷入其中的还有人人网、多玩网等，涉及数百万用户数据资料。而经过调查发现，此次泄露的数据信息源于2009年的黑客攻击，也就是说，这些数据“应用”早已暗中发酵了2年多的时间，而当事人却一无所知。

乌云网创始人方小顿(剑心)曾公开指出，互联网模式下企业内部IT系统一打开，外面就是一群狼。事实也确实如此，童宁就指出，那些黑客以每天不间断的方式长期，甚至贴身对企业进行系统攻击，这种情况在国际大型金融公司已司空见惯。

“具有商业价值，尤其是掌握大量用户信息的，比如一些互联网巨头和使用率极高的在线公众平台，更加容易遭遇黑客攻击”，赖东方说，互联网金融企业面临的问题尤为严重，因为他们目前的安全水平比银行低很多，又涉及金融类的敏感信息和敏感操作，“只要是我们检测过的平台，都发现有各种漏洞。”

根据《2014年互联网金融行业安全漏洞分析报告》不完全统计，截至2014年底，已有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空。2015年4月，乌云网也发布警示称，芝麻金融P2P网站遭遇数据库泄露，造成逾8000名用户资料泄露，涉及金额高达3000万元有余。

除了这些显而易见的损失外，大量的敏感信息流入到业内人士所称的“数据黑市”里。据赖东方了解，在这个灰色产业链条中，负责网络入侵、数据窃取、网络钓鱼、网络敲诈等各个虚拟单元以松散的形式结合，他们大多不使用实名，而以网络代号相称。

这些数据“黑手”就像是在暗中静候时机扑向猎物，攻其不备。比如一些黑客即便窃取到用户的账户数据，但并不会马上盗取，而要守株待兔以获取更大的数目;而一些企业则会在上市备战之际收到黑客的“敲诈电话”，后者以此前窃取到的公司机密为要挟，而在这种命中要害的“节骨眼”上，企业多半会选择“破财消灾”。

不仅如此，据童宁透露，许多数据会经由“地下黑市”辗转售卖至其他国家，这也就意味着，企业和用户的数据风险暴露在全球的犯罪“平台”上，甚至一些非常敏感的信息会进一步引发国家安全问题。

“根据中国现行的法律，任何个人信息的买卖都是违法的。”上海泛洋律师事务所高级合伙人刘春泉说，但是在现实的执法中却面临种种困境，因为数据的溯源，问责都很难取证，而在大数据时代面临的问题就更为复杂。

正因如此，这些数据长期以来被肆无忌惮地窃取、流传甚至利用。“目前国内企业的网络安全防护还处于刚刚起步阶段，安全防护的意识还比较淡薄。国内企业的安全防护驱动主要来自两个方面，一方面是行业监管要求，另一个方面则是事件驱动，即感受到切肤之痛后才强化安全防护。”赖东方指出。

经济考量下的两难

事实上，中国企业不仅没有在数据泄露方面体会到真正的“痛点”，却往往由于忌讳数据安保方面的巨大投入而裹足不前。

童宁给出的一组数字显示，国外的企业在数据安保方面的投入会占到IT预算的5%~10%，国内企业一般都在5%以下。

相比于传统企业，互联网公司在某些层面对用户信息更加疏于保护。童宁指出，对于前者来说，客户信息成为竞争的核心要素;而对于互联网企业来说，是利用大数据而建立地群体画像，所以缺乏动力去进行个体用户的信息保护。