沃尔玛的信息泄漏事件虽然是很早以前的事情了,但是却给我们很多关于加强内部安全的深刻启示 。其实,很多企业内部的安全防护意识和能力都是很差的,对于那些掌握大量有价值信息的公司而言,面临着越来越大的风险。
从美国发生的一系列信息泄漏事件看, 包括TJX和哈特兰支付公司等等在内,***大都是为了获取支付卡的帐号信息,即个人用户的信用卡帐号信息。这也很容易理解,因为这些信息的价值含量很高,足以支撑后续的***产业链的循环。
我们知道,有价值的个人信息一般就存在两个地方,一处是个人那里,另一处就是服务商(例如邮件提供商、支付卡公司、金融公司等)那里。***获取信息的来源也无外乎此两处。
针对个人,比较容易,因为一般个人安全意识差,但是收益较低,因为一次***只能获得一个人的信息。于是,***往往采用大范围的***,例如钓鱼,所谓“姜太公钓鱼,愿者上钩”也。这种招数就是将小概率事件乘以一个巨大的基数,得到一个可观的成功目标数。这种方式在生活中很常见,并不是Internet的专利,例如电话、短信诈骗等。我觉得网络钓鱼可以属于诈骗的范畴了。
针对服务商,一般较难,因为服务商多少都有安全防护措施,虽然有漏洞,一般情况下,如果你对服务商的内部情况不太了解,要发起暴力***(强行踹门)还是不太容易的。因此,得手的***往往都是对服务商的弱点有所了解的人,甚至就是内部人员,或者伴随着内外勾结的行为。因为一旦知道这个弱点(并且一般很弱),***就变得极富有成效了。对服务商的***代价较高,但是收益也很高,因为一旦得手,获得的不是一个人的信息,而是海量的个人信息。
所以,我认为,对于那些保有大量个人隐私信息的公司有义务保障个人信息安全。如果发生损失,有必要承担相应的民事甚至刑事责任,尽管目前为止对此还无法律规定。
目前,在国际上,一些行业开始了自律,例如涉及支付卡信息的行业有一个VISA联盟,就提出了PCI DSS的规范,不过,即便违反了,最多也就是被VISA除名,不会因此导致直接的法律后果。
我们颁布了新的刑法第七修正案,加入了某些重要机关对于其内部工作人员泄漏重要信息所要承担的法律后果,对***也有法律约束,但是对于发生信息泄漏的单位却没有提及相应的法律责任,包括连带责任。我想,这方面以后应该加强,从而更好的促进服务商和企业保障好个人隐私。不能因为是被******了就扮无辜。
从美国发生的一系列信息泄漏事件看, 包括TJX和哈特兰支付公司等等在内,***大都是为了获取支付卡的帐号信息,即个人用户的信用卡帐号信息。这也很容易理解,因为这些信息的价值含量很高,足以支撑后续的***产业链的循环。
我们知道,有价值的个人信息一般就存在两个地方,一处是个人那里,另一处就是服务商(例如邮件提供商、支付卡公司、金融公司等)那里。***获取信息的来源也无外乎此两处。
针对个人,比较容易,因为一般个人安全意识差,但是收益较低,因为一次***只能获得一个人的信息。于是,***往往采用大范围的***,例如钓鱼,所谓“姜太公钓鱼,愿者上钩”也。这种招数就是将小概率事件乘以一个巨大的基数,得到一个可观的成功目标数。这种方式在生活中很常见,并不是Internet的专利,例如电话、短信诈骗等。我觉得网络钓鱼可以属于诈骗的范畴了。
针对服务商,一般较难,因为服务商多少都有安全防护措施,虽然有漏洞,一般情况下,如果你对服务商的内部情况不太了解,要发起暴力***(强行踹门)还是不太容易的。因此,得手的***往往都是对服务商的弱点有所了解的人,甚至就是内部人员,或者伴随着内外勾结的行为。因为一旦知道这个弱点(并且一般很弱),***就变得极富有成效了。对服务商的***代价较高,但是收益也很高,因为一旦得手,获得的不是一个人的信息,而是海量的个人信息。
所以,我认为,对于那些保有大量个人隐私信息的公司有义务保障个人信息安全。如果发生损失,有必要承担相应的民事甚至刑事责任,尽管目前为止对此还无法律规定。
目前,在国际上,一些行业开始了自律,例如涉及支付卡信息的行业有一个VISA联盟,就提出了PCI DSS的规范,不过,即便违反了,最多也就是被VISA除名,不会因此导致直接的法律后果。
我们颁布了新的刑法第七修正案,加入了某些重要机关对于其内部工作人员泄漏重要信息所要承担的法律后果,对***也有法律约束,但是对于发生信息泄漏的单位却没有提及相应的法律责任,包括连带责任。我想,这方面以后应该加强,从而更好的促进服务商和企业保障好个人隐私。不能因为是被******了就扮无辜。
5749
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
