公共企事業(yè)單位內(nèi)部人員借職務(wù)之便,盜取公民個(gè)人信息�����;技術(shù)防范手段落后��,被“黑客”輕易攻入……越城區(qū)人民檢察院近日發(fā)布《涉公共企事業(yè)單位信息安全犯罪典型案例》白皮書���,揭示了公民個(gè)人信息頻遭泄露的原因。
白皮書顯示����,2015年以來(lái)��,越城區(qū)檢察機(jī)關(guān)共辦理侵犯公民個(gè)人信息案件37件92人�,其中非法侵入計(jì)算機(jī)信息系統(tǒng)�、非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)���、破壞計(jì)算機(jī)信息系統(tǒng)案件17件72人���。案件之多、問(wèn)題之嚴(yán)重令人擔(dān)憂��。
一些公共企事業(yè)單位已認(rèn)識(shí)到問(wèn)題的嚴(yán)重性����,有的限制非本崗位人員訪問(wèn)終端IP,有的對(duì)單次導(dǎo)出個(gè)人信息數(shù)量設(shè)限����,超過(guò)50人需審批,但許多單位仍行動(dòng)遲緩�����。
加強(qiáng)內(nèi)部防范���、扎緊織密制度籬笆已成當(dāng)務(wù)之急���。
對(duì)內(nèi)部員工不設(shè)防
公共企事業(yè)單位因?yàn)槁毮苄枰莆盏男畔?shù)量龐大���、全面����、準(zhǔn)確��。因?yàn)椤昂鹆俊备�,成為不法分子獲取信息的目標(biāo)對(duì)象。越城區(qū)人民檢察院通過(guò)對(duì)近年來(lái)涉公共企事業(yè)單位信息安全犯罪案件的梳理�����,發(fā)現(xiàn)通訊公司�、醫(yī)院����、公共文化單位���、公共服務(wù)單位乃至行政部門均存在信息泄露現(xiàn)象。
陳某甲是某公共企業(yè)袍江分公司員工��,2017年至2018年�,他利用從事業(yè)務(wù)受理的工作便利,多次非法獲取單位計(jì)算機(jī)系統(tǒng)內(nèi)的居民個(gè)人信息(包含用戶姓名��、居住地址�����、固定電話和手機(jī)號(hào)碼等)�,提供給陳某乙。陳某乙利用這些信息推銷二手房��。經(jīng)查證����,陳某甲非法提供給陳某乙的公民個(gè)人信息數(shù)量累計(jì)達(dá)1.5萬(wàn)余條。目前�,陳某甲案件已辦結(jié)。
“一些單位對(duì)個(gè)人信息的保護(hù)意識(shí)不強(qiáng)���,制度不健全���,如對(duì)信息查詢�����、獲取的權(quán)限不加限制����,查詢結(jié)果不留痕�����,導(dǎo)致非本崗位員工也能接觸并導(dǎo)出個(gè)人信息數(shù)據(jù)���������!痹匠菂^(qū)人民檢察院第一檢察部主任潘亞鵬告訴記者,作為一名普通員工���,陳某甲輕而易舉可以獲取1.5萬(wàn)條信息�,說(shuō)明部分公共企事業(yè)單位對(duì)信息安全的管理沒(méi)有引起足夠重視��。
記者在幾起典型的涉罪案件中發(fā)現(xiàn)����,行為人為單位內(nèi)部職工的居多。在2018年偵破的一起侵犯公民個(gè)人信息案件中���,紹興一通訊公司政企部校園中心負(fù)責(zé)人利用職務(wù)之便�,將5688條校訊通數(shù)據(jù)無(wú)償提供給某教育培訓(xùn)機(jī)構(gòu)��;紹興一文化單位內(nèi)部技術(shù)員工將8萬(wàn)條公民個(gè)人信息從電腦導(dǎo)出后��,提供給某培訓(xùn)機(jī)構(gòu)�����。
“大數(shù)據(jù)時(shí)代��,我們收到一些推銷信息不足為奇��,但奇怪的是�,一些完全陌生的人居然準(zhǔn)確掌握我們家的情況���!狈脚康暮⒆釉诮B興一所小學(xué)讀四年級(jí)�����,她告訴記者�����,從孩子上學(xué)開始���,她就一直收到詐騙信息和房產(chǎn)中介推薦學(xué)區(qū)房的電話�。
“不少案件中的犯罪嫌疑人都是在朋友的‘求助’下�,將信息泄露了出去����!痹匠菂^(qū)公安分局網(wǎng)警大隊(duì)民警單鐘穎告訴記者,這些信息比較精準(zhǔn)��,若被轉(zhuǎn)手用于非法用途�����,不僅可以引發(fā)電信詐騙案件���,還可能引發(fā)綁架����、敲詐勒索等惡性犯罪活動(dòng)�。
安全防范技術(shù)粗淺
除了對(duì)內(nèi)部員工不設(shè)防,一些單位維護(hù)信息安全的技術(shù)手段也比較粗淺��,犯罪嫌疑人僅通過(guò)基礎(chǔ)的黑客軟件�、程序代碼就輕而易舉地攻破單位計(jì)算機(jī)防御系統(tǒng)。越城區(qū)檢察機(jī)關(guān)通過(guò)梳理案件發(fā)現(xiàn)���,許多公共企事業(yè)單位均存在計(jì)算機(jī)系統(tǒng)被攻擊破壞的情況��。
“如果是簡(jiǎn)單信息�����,損失還小點(diǎn)�;如果是涉及知識(shí)產(chǎn)權(quán)或者機(jī)密文件����,就會(huì)給單位帶來(lái)巨大損失,后果不堪設(shè)想���!背修k檢察官馮麗君說(shuō)���,在他們所辦的案件中,就有一起是市區(qū)3家醫(yī)院的“統(tǒng)方”數(shù)據(jù)被醫(yī)院內(nèi)部醫(yī)生盜取并販賣牟取利益�,“如果有專門的后端技術(shù)維護(hù)人員,可能就不會(huì)輕易被盜取�。”
采訪中�,不少市民都有類似信息泄露被多次侵?jǐn)_的經(jīng)歷。一些單位沒(méi)有設(shè)置“防火墻”�����,也不設(shè)置訪問(wèn)權(quán)限����,導(dǎo)致單位內(nèi)部人員可以輕易獲取信息。
記者從我市公安機(jī)關(guān)獲悉��,當(dāng)前在校外培訓(xùn)��、房產(chǎn)中介及物業(yè)等領(lǐng)域�,利用網(wǎng)絡(luò)非法采集、竊取�����、販賣和利用用戶信息已形成黑色產(chǎn)業(yè)鏈。用戶信息泄露呈現(xiàn)渠道多����、竊取違法行為成本低、追查難度大等特點(diǎn)�,而且不法分子使用的手段不斷升級(jí)�,因用戶信息泄露引發(fā)的“精準(zhǔn)詐騙”案件增多,給人民群眾財(cái)產(chǎn)安全造成嚴(yán)重危害����。
分級(jí)保護(hù)亟待建立
如何提升公共企事業(yè)單位信息安全管理水平?越城區(qū)人民檢察院在白皮書中也提了一些意見(jiàn)建議�����,其中最重要一條就是��,要求公共企事業(yè)單位落實(shí)信息分級(jí)保護(hù)制度�����,加強(qiáng)身份認(rèn)證�、查詢權(quán)限設(shè)置����,確保信息查詢留痕跡���、可追溯���。
在發(fā)出檢察建議后不久,我市某公共事業(yè)單位就信息安全問(wèn)題進(jìn)行了專題培訓(xùn)���,對(duì)存在的問(wèn)題進(jìn)行了整改�����。記者了解到����,該單位根據(jù)國(guó)家有關(guān)法律要求���,與全部員工簽訂了《員工信息安全保密協(xié)議》����。同時(shí),對(duì)用戶信息導(dǎo)出進(jìn)行了限制����,對(duì)單次導(dǎo)出公民個(gè)人信息數(shù)量在50人以上的,需要向部門負(fù)責(zé)人以及不同層級(jí)領(lǐng)導(dǎo)申請(qǐng)�����,獲得批準(zhǔn)后才可以執(zhí)行導(dǎo)出行為��。
日前�����,我市某文化單位也對(duì)信息安全管理漏洞進(jìn)行了整改�。記者了解到���,該單位首先對(duì)內(nèi)部網(wǎng)絡(luò)安全狀況進(jìn)行了一次“大體檢”�����,同時(shí)落實(shí)核心崗位人員保密責(zé)任��,建立了信息審批權(quán)限以及數(shù)據(jù)輸出的審批流程���,對(duì)技術(shù)人員相關(guān)的管理權(quán)限實(shí)行了分塊�����、分級(jí)管理���。同時(shí),企業(yè)內(nèi)部服務(wù)器的群訪問(wèn)方式被調(diào)整��,限制訪問(wèn)終端IP�����。
“我們知道�,現(xiàn)在公安機(jī)關(guān)的信息不能隨便查詢,更不能越權(quán)導(dǎo)出���,一旦查詢都會(huì)留下痕跡���!睓z察官建議我市公共企事業(yè)單位向公安機(jī)關(guān)學(xué)習(xí)���,實(shí)行信息查詢“分級(jí)留痕”方式�,同時(shí)落實(shí)追責(zé)機(jī)制和倒查機(jī)制,即對(duì)于違規(guī)違紀(jì)泄露內(nèi)部信息甚至涉密信息者�,除了追究當(dāng)事人的相關(guān)責(zé)任外,對(duì)其分管和主管領(lǐng)導(dǎo)也要一并追責(zé)�����,形成強(qiáng)有力的倒查機(jī)制�����。
作者:
編輯:雷彥平
來(lái)源:紹興網(wǎng)-紹興日?qǐng)?bào)
