英国航空公司违反“通用数据保护条例”(GDPR),拟罚款1.8339亿英镑(约合15.8亿人民币),同周华住集团也因数据泄露时间被罚巨款。Facebook与美国联邦贸易委员会(FTC)达成和解,以50亿罚款的代价为其在2018年轰动一时的信息泄露案买单,当然这相对于Facebook市值下降近800亿美元来说似乎较小,但是此次罚款给信息泄露的企业敲响了一次警钟。
据中国消费者协会的一项调查报告显示,中国85.2%的APP用户曾遭遇数据泄露。常见现象为:推销电话、信息骚扰、垃圾邮件、非法链接、账号密码被盗等。
在中国,信息泄露的情况可能比想象的更严重。姓名、电话、家庭住址以及在网上进行的一切衣食住行等活动可能都在别人的掌控之中。所以这就是为什么经常接到推销电话、诈骗电话的原因所在。
2018年华住酒店信息泄露案就是如此,竟然将公司数据库连接方式以及密码都上传到GitHub中,可见其对这些关键信息不重视。保护用户信息安全这是一个基本的要求,如果企业不进行重视的话那么就会受到用户的反弹,Facebook就是最好的典型。
除了企业对用户信息保护力度不够之外,信息泄露还有一大原因就是贩卖用户信息具有相当大的利益存在。很多信息在网上明码标价进行售卖,由于流通性较强且隐蔽性较高,信息贩卖已经形成了一条产业链,这更加剧了信息泄露情况的严重性。
自信息泄露的情况越来越严重,中国已经出台相关法律法规来保护公民的个人信息,但理想很丰满,现实很骨感。实际上即使发生了信息泄露,我们也很难发现自己的信息被泄露了,找不到泄露的源头,更无从取证进行诉讼,捍卫自己的利益。这是一个矛盾点,如果针对个人来说,是很难实现保护自己的信息的,虽然我们现在保护个人信息的意识越来越强。下面是给企业保护用户数据的小建议:
1、 企业应部署SSL证书。为了防止用户误入假冒网站/钓鱼网站的陷阱,企业网站应部署数安时代SSL证书或更高级别的EV SSL证书,将企业网站和钓鱼网站区分开,网址栏展示HTTPS、安全锁以及证书中的网站真实身份信息,让用户拥有足够的信息判断网站真实性,对比之下,假冒网站立显原形。
2、 企业应为软件进行代码签名证书。合法APP应使用代码签名证书签名软件程序,签名后的软件,可展示软件开发者的真实身份,同时证明软件在传输过程中没有被非法篡改或植入病毒木马,用户可通过证书,判断软件来源的真实性及软件程序的完整性。
3、企业应为员工通讯邮箱部署电子邮件证书,为保护客户的利益,维护客户数据安全。邮件用户使用GDCA邮件证书对电子邮件进行数字签名并加密传输,一方面可以保证邮件发送者身份真实性,另一方面保障了邮件传输过程中不被他人阅读及篡改,并由邮件接收者进行验证,确保电子邮件内容的完整性。
