重磅|2018年上半年信息安全風險預警研究報告

#文章僅代表作者觀點，未經作者許可，禁止轉載，文章不代表IPRdaily立場#

來源：IPRdaily中文網（IPRdaily.cn）

作者：華泰君 深圳市華夏泰和科技有限公司

原標題：重磅|2018年上半年信息安全風險預警研究報告

一、信息安全事件迭出

1、韓國最大虛擬幣交易平臺被黑，約2億元資產被盜

中新網6月20日電 據韓聯社報道，韓國最大虛擬貨幣交易平臺Bithumb遭黑客入侵，約350億韓元(約合人民幣2.04億元) 的加密貨幣資產被盜，平臺暫停交易和加密貨幣的存取服務。消息傳出后，幣價較前一交易日下滑4.25%，其他虛擬貨幣也應聲齊跌。

2、美國安局、中情局前員工被控向維基解密泄露機密信息

北京時間6月18日，美國司法部宣布稱，前國安局、中情局員工、現年29歲的紐約人Joshua Adam Schulte 被控控非法收集國家國防信息；非法傳播合法持有的國防信息；非法傳播非法持有的國防信息；越權訪問計算機獲取機密信息；竊取政府財產；越權訪問計算機從美國國家部門或機構獲取信息；并傳播計算機有害程序、信息、代碼或命令等13項罪名。其中，Schulte 向維基解密提供中情局黑客工具作為 Vault 7 泄密文檔的一部分。

3、特斯拉起訴前員工：黑進內部生產系統，盜取并泄露機密數據

北京時間6月21日凌晨消息，據美國內華達州聯邦法庭公布的訴訟文件顯示，特斯拉起訴了前過程技術人員馬丁·特里普，稱其盜取了該公司的商業機密并向第三方泄露了大量公司內部數據。該名員工承認曾開發惡意軟件安裝在了三臺不同員工的電腦上，在他離開特斯拉后，借機進入特斯拉內部生產操作系統，偷取大量數據并交給第三方，還向媒體發表不實言論。這些被泄露的數據包括“數十份有關特斯拉的生產制造系統的機密照片和視頻”。電腦被安裝該惡意軟件的員工也將受到牽連。

4、美國 Uber 因侵犯隱私 20 年內將受監督

據外媒報道，美國政府聯邦貿易委員會（FTC）因Uber隨意采集消費者和專車司機的個人隱私數據，并沒有做好保護措施對其展開調查。有消息稱，近日，Uber和美國政府達成和解協議，美政府要求Uber公司解決現有全部產品和服務中的個人隱私風險，另外要確保個人隱私信息的保密工作。在未來180天以及20年之內（每隔兩年），Uber必須接受第三方機構對于個人隱私和數據保護措施的審核和監督。

5、交易1800余條公民房屋產權信息，一征信公司被公訴

6月12日下午，虹口區人民檢察院召開新聞發布會透露，一家企業征信公司購買個人房屋產權信息，也就是俗稱的“產調信息”，然后出售給小貸公司等客戶。這些信息均能明確識別房屋產權人、產權情況等財產狀況內容，共計1814條，該類信息的泄露可能對產權人等造成安全隱患。檢察機關認為，該征信公司及其負責人潘某、員工蔡某、凌某購買公民的敏感信息并予以出售，情節特別嚴重，應當依照《刑法》的規定，以侵犯公民個人信息罪追究刑事責任。

6、網游宕機8小時1700萬人上不了，上海警方赴青島抓獲黑客

2月18日，總部坐落于張江高科技園區的一家網游公司旗下一款游戲產品服務器突然無法打開，造成約1700萬用戶無法登陸，持續時間長達8小時之久，公司損失難以估量。經警方偵察，始作俑者為該公司的離職人員馬某。據馬某交代，其為報復前公司，于2月18日在青島家中筆記本電腦上，利用前公司后臺服務器漏洞進行入侵，惡意刪除游戲數據，導致約1700萬用戶無法登陸。目前，馬某已因涉嫌破壞計算機信息系統罪被依法逮捕并移送起訴。

7、A站近千萬條用戶數據外泄！含賬戶密碼，稱受黑客攻擊已報警

6月13日凌晨，AcFun彈幕視頻網（俗稱：A站）在其官網發布《關于AcFun受黑客攻擊致用戶數據外泄的公告》稱，AcFun受黑客攻擊，近千萬條用戶數據外泄，包含用戶ID、用戶昵稱、加密存儲的密碼等信息。A站稱，已經搜集了相關證據并報警。

8 、智利銀行被黑：近萬臺電腦癱瘓，被盜千萬美元

智利銀行承認在五月份的黑客攻擊中損失大約1,000萬美元；在這次攻擊中，大約9.000臺電腦和服務器的MBR被破壞，造成這些設備無法啟動。黑客將全國的電腦系統崩潰，卻使在線系統保持運行——從而在一片混亂中，通過銀行的SWIFT國際轉賬系統將1,000萬美元轉出。這個被稱為Kill MBR的病毒是攻擊者的障眼法，在銀行忙于處理MBR被破壞的問題時，攻擊者瞞天過海成功轉賬。

9、深圳樂行天下公司主要創始人均成通緝犯

5月30日，東莞市公安局正式對深圳樂行科技有限公司創始人周偉、郭蓋華、閆學凱等三人采取刑事強制措施，將上述三人正式列入在逃的通緝犯。歷經6年，東莞易步機器人有限公司控訴前技術骨干、深圳樂行天下科技有限公司主要創始人周偉等十數人侵犯商業秘密罪一案，終于迎來了新的進展。但在該事件尚未成功解決之前，曾經的中國最大的兩輪平衡車生產企業東莞易步機器人早已被“后來者”干掉了。一場由技術團隊發起的“兵變”過后，江山卻早已不在。

二、信息安全政策漸完善

1、《網絡安全法》實施一周年來全國各地執法案例匯總

2018年6月1日，《網絡安全法》正式實施一周年。

在這一年中，網絡安全法律及配套制度逐步完善，逐漸形成了綜合法律、單行條例及標準指引的立體規范體系。網絡安全監管與執法案件頻現報端，各執法機關也進一步強化了日常監管巡查：從最初看到的2017年7月25日汕頭某單位違反網絡安全法的全國第一案（被報道的），到新浪、騰訊、阿里巴巴、京東等互聯網大佬被不同程度的處罰；從一開始的責令整改，到停機整頓，再到對單位對個人的直接罰款；監管越來越嚴，處罰越來越重。未來肯定會有一些網絡運營者需要承擔相應的民事責任甚至刑事責任，這不是危言聳聽，這一定會出現。網絡安全工作早已是法治下的工作，網絡安全工作一定要做到合規合法。

2、GDPR生效當日谷歌和Facebook等就被“抓典型”

史無前例最為嚴厲的個人隱私保護法——GDPR生效第五天，施行效果顯著?！兑话銛祿Ｗo條例》(General Data Protection Regulation，簡稱“GDPR”)5月25日正式生效。

普華永道的調查數據顯示，68%的美國公司預計將花費100萬到1000萬美元的投入來滿足GDPR的合規要求，另有9%企業預計將花費超過1000萬美元。

GDPR生效第一天，谷歌和Facebook涉嫌違規分享用戶數據，遭遇奧地利的隱私活動家Max Schrems法律訴訟， Schrems的訴訟特別針對兩家公司獲得隱私政策同意的方式，即要求用戶選擇“同意”選項以獲取服務，否則就不能使用服務，這違反了GDPR關于獲取同意的規定。雙方面臨的罰金總額分別為37億歐元和39億歐元(總額約為88億美元)。

3、《網絡安全等級保護條例》征求意見稿發布，等保2.0到來

6月27日，由公安部牽頭，會同中央網信辦、國家保密局、國家密碼管理局聯合制定的《網絡安全等級保護條例（征求意見稿）》（以下簡稱“條例”）正式發布，面向社會公開征求意見的截止期為7月27日。

公安部網絡安全保衛局總工郭啟全在6月25日的發言中表示，網絡安全等級保護制度是基本國策、基本制度和基本方法，是對過去二十年經驗的總結和創新，而關鍵信息基礎設施保護是等保2.0的重點，目前中央網信辦和公安部雙牽頭制定的《關鍵信息基礎設施保護條例》起草工作已經完成，正在走司法程序。

那么，網絡安全等級保護制度1.0和2.0有什么區別？郭啟全透露，首先，制度2.0納入了《中華人民共和國網絡安全法》規定的重要事項；其次，制度1.0只針對網絡和信息系統，2.0則把云計算、大數據、物聯網等新業態也納入了監管；此外，制度2.0把監管對象從體制內拓展到了全社會

4、美國白宮欲推出類似GDPR的隱私保護法案

據可靠信源, 目前白宮正處于探索推出類似于歐盟《一般數據保護條例》（GDPR）的聯邦隱私保護法案的早期階段。

有消息人士指出, 美國總統特朗普在白宮科技、電信和網絡政策方面的特別助理目前就該問題已與相關行業組織進行了會面, 討論利用個人數據可能的“防護欄”, 并且會見了代表包括蘋果、谷歌、Facebook、IBM以及微軟等科技公司在內的信息技術產業委員會的首席執行官，探討歐盟《一般數據保護條例》的實施情況和隱私保護問題。談話初步表明白宮想要在全球范圍內有關消費者隱私保護方面的爭議發出自己的聲音。

三、信息安全風險提示

1、信息安全對業務的影響將更深入、更長遠

1.1 信息的現代價值凸顯，內部泄密的比率將繼續上升

隨著互聯網信息技術的進一步發展，信息的價值越來越高，信息黑色產業鏈已經形成，信息泄露已成為信息安全的最大痛點。

企業信息安全最大的挑戰是人，包括內鬼和事實上的臥底，以及獲取機密后轉投競爭對手或自立門戶的員工。過去一些年，商業秘密訴訟案件此起彼伏，在2018年中美貿易戰基本聚焦于知識產權的背景下，商業秘密的保護已不僅僅關系到個體企業的命運，甚至于整個行業、整個國家的創新保護及發展戰略。

1.2 信息安全攻擊成為常態，物聯網也將成為重災區

2017年，我們已經見識過物聯網攻擊，成功的物聯網攻擊不會很高級，而是有意利用物聯網設備在安全方面的基本漏洞去進行攻擊的可能性會較高，如共享密碼或加密通信方面。不安全的設備很多，對黑客們而言是極易攻擊的目標。

2018年，各種各樣的攻擊以及采取的預防攻擊的技術和措施也將越來越引人注目，這將為企業帶來更多麻煩。

1.3 企業將開始更加重視信息安全，從“風險保護”轉變成“預防”

多年的災難性攻擊及安全事件表明，信息風險現在是一個重大威脅。一次信息安全事件不僅會嚴重損害公司的底線，也會嚴重損害商業信譽和消費者信任。

企業將從高層領導開始，自上而下會開始更加重視信息安全，將開始把信息安全視為一項重要的商業風險，而不僅僅是一個影響其業務的“IT問題”。

2、政策與監管將進一步加強，信息安全合規成為頭等大事

2.1 國內信息安全立法、行政條例等已多管齊下

網絡安全執法檢查工作正在全國各地開展?？梢韵胂笙?，今年的執法檢查工作將會做的更加全面也會更加嚴格，今年網絡安全行業將會有重要的政策發布：

首先是《網絡安全等級保護條例（征求意見稿）》已經正式發布，以后等保工作將把監管對象從體制內拓展到了全社會，會更具有影響力與可操作性，條例也會規范得更加細致；

其次，說了很久的等保2.0相關標準預計也會在不久的未來正式發布，大數據、云計算、物聯網、工控、移動互聯等領域將會全面納入等保范疇；

再者，《關鍵信息基礎設施保護條例》目前也在走司法程序，“關基”的保護將會是未來網絡安全保護重點中的重點；

最后，《網絡安全法》實施已經滿一周年了，期間各地各種相關案例都有，執法經驗積累很快，所以往后的執法檢查中對于各類違法行為一定會嚴懲不貸。

2.2 七大關鍵點，避免踏入GDPR的雷區

雖然大型互聯網科技公司已經提早對GDPR做了準備，但有研究人員指出一些中國企業并沒有對GDPR做出足夠的重視，或者采取的措施并不盡人意。未來GDPR肯定會成為歐盟與境外企業合作的標準法規之一，如果中國企業如果不盡快進行GDPR全面合規，可能會在違規處罰中被“抓典型”，也將面臨失去歐盟市場的風險。GDPR條款提及的幾個關鍵點，值得引起注意：

法案使用范圍：所有在歐盟境內經營、或是搜集和處理歐盟公民數據需要存檔的外國企業。

罰款程度：輕者處以1000萬歐元(約合人民幣0.75億元)或者上一年度全球營收的2%(兩者取其高)的罰款;重者處以2000萬歐元(約合人民幣1.5億元)或者企業上一年度全球營收的4%(兩者取其高)的罰款。

GDPR強調數據所有者的知情權，規定數據使用必須事先征得數據主體的同意，而且“同意”必須是具體的、清晰的，是用戶在充分知情的前提下自由做出的。如果數據使用范圍擴大，都必須重新獲取數據主體的授權和同意；數據主體還可以隨時撤回同意權利。

GDPR強調了使用者在使用數據時，需表明其特定的使用目的，不得收集提供服務必需之外的數據，收集之后不得濫用用戶數據，同時還必須履行保護用戶數據的義務;處理數據時，要求數據控制者說明如何收集處理個人數據，包括數據接受者類型、個人數據保留周期及采取該周期的理由等。

GDPR強調數據主體的“被遺忘權”和“數據可攜權”，前者是指用戶提出數據刪除要求時，企業需要在數據庫內找到數據并刪除，如果數據已傳播或提供給第三方使用，企業還有責任通知使用者予以刪除。

如涉及自動化數據處理(如數據畫像等)，數據控制者還需要提供基本的算法邏輯及針對個人的運算結果。

在數據泄露事件發生時，根據GDPR的數據泄露通知要求，企業必須在發現數據泄露的72小時內通知相關部門。

四、信息安全應對之道

1 、盡快明確信息安全方針目標

從國際的最佳實踐經驗中可以得出，信息安全工作落地的關鍵性成功因素是：高層牽頭、領導負責、專人管理、全員參與。其中“高層牽頭”是最根本的條件，例如：為了推動我國的網絡安全立法及各項工作的部署，在全國網絡安全和信息化工作會議上，習近平總書記不但親自出席，還每次都發表重要講話，從黨和國家事業全局出發，科學分析了信息化變革趨勢和肩負的歷史使命，系統闡述了網絡強國戰略思想，深刻回答了事關網信事業發展的一系列重大理論和實踐問題，為加快推進網絡強國建設指明了前進方向、提供了根本遵循。

所以，有效開展商業秘密保護和信息安全落實工作的前提是盡快明確信息安全的方針目標，解決信息安全建設的費用，方能加快部署啟動各項工作，達成最大程度的保護創新成果等無形資產，降低企業經營及業務開展的信息安全風險，提升商業競爭能力等目標。

2 、盡快推進信息安全保障工作

在信息安全工作方針與目標確定后，必須由領導負責，專人管理，盡快推進各項信息安全保障工作，主要推進思路可提供以下參考：

首先，優先健全頂層設計。定崗定責是做事的前提。首先是建立信息安全管理組織架構，明確責任分工，為專崗人員授予管理權限，并列入日常管理工作，讓信息安全工作得到有計劃、分步驟的推進。

其次，盡快建立體系制度。團體活動，規矩先行。創新型企業一般或多或少都已經建立起自己的一些體系，如質量管理等，因此，在信息安全工作的執行過程中，優先把現有的體系制度修訂、增補完善，是后續推動技術措施及進行稽查考核的基礎工作。

再次，重點主抓研發部門。商業秘密的主體是技術秘密，其源頭在研發，加強研發部門的信息安全管理是重中之重。所以針對研發部門的特殊性，對研發資料、樣品等的生成、流轉、報廢等管理流程及制度進行完善，盡快開展信息安全意識培訓，在該過程中不斷審視、稽查信息安全的管理要求是否落實到位，確保關鍵信息的保密性、可用性及完整性。

最后，技術措施配套落實。重要的防泄密、防病毒、歸檔備份等終端及數據安全問題需要采取技術手段方能確保有效、快速落地，同時，這些技術措施也需要在制度流程的配合下，為考核、獎懲服務，方能發揮威懾、控制等作用。

來源：IPRdaily中文網（IPRdaily.cn）

作者：華泰君 深圳市華夏泰和科技有限公司

編輯：IPRdaily趙珍          校對：IPRdaily縱橫君

推薦閱讀

鏈接未來！「2018全球區塊鏈知識產權峰會」重磅來襲！

2018年“中國好專利”評選工作正式開啟（報名通道）

2018中國·海淀高價值專利培育大賽正式開啟?。▓竺斍椋?/span>

“投稿”請投郵箱“iprdaily@163.com”

「關于IPRdaily」

IPRdaily成立于2014年，是全球影響力的知識產權媒體+產業服務平臺，致力于連接全球知識產權人，用戶匯聚了中國、美國、德國、俄羅斯、以色列、澳大利亞、新加坡、日本、韓國等15個國家和地區的高科技公司、成長型科技企業IP高管、研發人員、法務、政府機構、律所、事務所、科研院校等全球近50多萬產業用戶（國內25萬+海外30萬）；同時擁有近百萬條高質量的技術資源+專利資源，通過媒體構建全球知識產權資產信息第一入口。2016年獲啟賦資本領投和天使匯跟投的Pre-A輪融資。

（英文官網：iprdaily.com  中文官網：iprdaily.cn） 

本文來自IPRdaily.cn 中文網并經IPRdaily.cn中文網編輯。轉載此文章須經權利人同意，并附上出處與作者信息。文章不代表IPRdaily.cn立場，如若轉載，請注明出處：“http://www.meihaolucy.com/”