“冬天就是要和所有毛茸茸的公仔打卡合照。”北京国贸LINEFRIENDSminini全国首展前,一位顾客抱住成员布尼尼说。展览未撤,LINE(日本通讯应用程序)背后企业却再陷“数据安全门”。
近日,LINE母公司LYCorporation(以下简称LY)公告披露,内部系统于10月9日遭遇未经授权第三方访问,已经或可能泄露44万余条信息。
国内外企业信息泄露事件多发。11月30日,公安部表示,2023年第三季度共办理网络和数据安全行政执法案件1.4万起,其中,网络运营者不履行网络安全保护义务案件占86%。
对此,接受新京报贝壳财经采访的网络安全专家表示,企业不能只防范网络安全大门风险,也要从安全设备利用、员工安全意识培养等方面建构内部安全网。
据LY统计,截至11月27日,已经或可能外泄44万余条信息。其中,302569条属于用户信息,86105条来自合作伙伴信息,51353条与员工及其他人员有关。
据公告,本次信息泄露事件可溯源为LY与其关联的韩国NAVER Cloud(NAVER旗下的云和信息技术服务公司,以下简称NAVER Cloud)公司所共用的人事信息处理系统。该系统身份验证相通,导致原LINE公司系统可以通过网络途径访问。在LY和NAVER Cloud共同外包商的员工个人电脑感染恶意软件后,第三方未经授权经由NAVER Cloud系统访问并存取LY系统数据。
官网显示,LY是一家主营搜索引擎、门户网站和电子商务业务的日本科技公司。2023年10月,LY由LINE公司和Yahoo Japan(日本搜索引擎)公司等合并组成。LINE由韩国NAVER(韩国ICT企业)在日子公司NHNJapan推出,2013年又以LINE公司名义独立运营,2019年并入Yahoo Japan母公司ZHoldings(日本软银集团子公司)。
“它们可能采用接口形式进行数据交互和传输,使整个网络变成一个局域网,外包员工电脑所中的病毒能够触达系统每个服务器和网站。”网络安全研究专家、北京汉华飞天信安科技有限公司总经理彭根向贝壳财经解释。他表示,企业内部网络结构边界不清,将留下病毒渗透和黑客横向扩展的隐患。
他认为LY信息泄露事件暴露出两个网络权限方面的问题:一是传统网络安全边界划分不清晰,“两边员工都能访问系统,但分属不同公司”;二是在数据安全层面,对个人返回数据权限控制不足,可返回数据数量过多,“可能一次返回1万条数据,查询次数多,数据也就全给推走了”。
“该事件也表明,企业对外包商等第三方人员的管理存在疏忽。”安恒信息技术股份有限公司首席技术官刘博补充道。
关于LY本次数据安全风险能否采取事前检测,刘博认为,难以从技术层面规避管理制度疏忽造成的安全漏洞,但从数据安全体系出发,企业管理人员配合技术人员进行深度数据安全分析、评估,依然存在风险检测可能性。
彭根也认为,检测技术不难实现,企业检测能力和防范意识更重要。“网络是否互通,员工机器是否具备读取所有数据的权限,现有技术都能检测出来。”他说。
“恶意软件、第三方访问和网络共享导致的泄露,是企业数据泄露常见形式之一。”刘博在采访中提出,“还有网络攻击、内部人员失误、社交工程、物理安全漏洞等其他形式”。
LY公告称,目前已采取阻断从NAVERCloud访问内部系统的措施,未来也将和NAVER Cloud分割人事信息管理系统。刘博认为,即便如此仍存在二次泄露可能。“攻击者也许在LY系统留下后门或其他隐藏访问通道,以便未来再次访问并获取信息。此外,如果员工处理敏感信息时仍然存在疏忽或失误,也可能导致二次泄露。”他说。彭根则认为,二次泄露风险是否存在需要综合评估,“与企业网络结构有关,可能存在其他相似的系统关联性漏洞”。
2021年,LINE曾被曝信息泄露传闻。当年10月18日,时任LINE母公司ZHoldings的报告证实韩国数据中心储存了部分LINE数据,但截至公告发表之日,LINE公司确认已按计划实施数据迁移。
Ponemon Institute(信息资产和IT基础设施安全问题研究机构)研究表明,企业应对数据泄露事件的响应速度和效率将影响总体成本。
刘博解释,企业数据泄露影响时间、经济、声誉、法律等成本,随着事件发酵,后续各类成本也越高,严重还可能导致企业破产倒闭。“发现越快、处理越及时、效率越高,成本往往越可控。”彭根说。刘博提出,企业需要建立有效的应急响应计划,并提高员工应急响应能力。
LY并未公布此次损失和处理成本。Ponemon Institute和IBM Security调研去年3月至今年3月涉及数据泄露的553家组织后得出,2023年数据泄露平均成本高达445万美元。
根据公告的时间线日,外包员工电脑感染恶意软件,第三方未经授权,通过NAVER Cloud系统访问并存取LY内部系统数据。10月17日,LY资安团队检测到这一可疑记录,并于27日下了最终判定。11月27日,LY公开数据泄露调查和统计结果。
“纵观近年全球数据泄露事件,LY本次的反应速度和效率较快,但从数据泄露的影响和后果看,又远远不够。”刘博总结。
“不太好评估效率好坏,但至少证明有人查看日志信息,内部存在一定的网络信息安全管理。”彭根说。“好多企业可能数据被偷完了都还不知道。”
公告显示,截至目前,LY尚未收到包括滥用用户或合作伙伴信息在内的二次损害报告。LY表示,将继续跟进调查并采取必要措施。据NHK报道,11月28日,日本总务大臣铃木淳司表示,将根据LINE雅虎公司提交的事件原因等详细报告,要求其采取行动,切实防止同类事态再次发生。
“大家的网络安全意识停留在‘把大门守好’层面,内部安全防范措施较少。”彭根说。他认为,虽然大部分企业购置许多安全设备,却只发挥它们在VPN、防火墙和入侵检测等方面的作用,可能不知道“核心交换设备具有划分网络边界的功能,防火墙也是隔离网络边界的产品”。他提出,用好这些设备将促使企业网络安全防范能力呈指数级增长。
刘博认为,企业可以从加强系统身份验证、加密敏感数据、定期进行安全审计等方面提升数据安全管理能力,也应该注重培训员工安全意识,还需要关注安全领域最新动态和威胁,及时更新安全策略和措施。
《关键信息基础设施安全保护条例》规定,公共通信和信息服务等行业具有维护关键信息基础设施网络安全的义务,《网络安全法》《个人信息保护法》《数据安全法》对企业数据安全义务亦有规定。