12月8日,国家互联网信息办公室发了一个关于《网络安全事件报告管理办法(征求意见稿)》公开征求意见的通知,里面提到对重大、特别重大网络安全事件都要求1小时内报告。从这个征求意见稿中可以看出,基本上等同于安全生产事故,避免谎报、瞒报,减少网络安全事件造成的损失和危害,维护国家网络安全。
在网络安全事件分级指南中,重大、特别重大网络安全事件里提到关于个人信息泄露的标准,分别是1000万人和1亿人以上,还有较大网络安全事件是100万人以上。通过这些描述,我想到如何来调查取证关于个人信息泄露,这个难度还是挺大的。因为信息被泄露了,也可能信息被分解或加工,这个就真的没法取证了。特别在国内,个人信息泄露的太严重了。比如,今天有的学校要家长填个什么信息,明天就有相关机构给你打电话。特别是疫情这几年,各种实名要求,信息泄露太严重了。那个人信息被泄露的传播交易方式是怎样的了,结合个人经验和调查,列举了以下途径。
小范围同行传播
特别是一些对获客要求的服务行业,一般通过线下方式传播,或网上分散交易传播,并且规避相关法律法规中的下限要求,这种方式取证都没办法,也是主要的扩散办法。
暗网传播
通过在暗网上发布相关信息,比如某某省学生家长数据、某某省车主销售数据等诸如此类的,然后通过比特币交易,这种也有很大欺骗性,一般售卖者都会注水。一些安全公司会通过此方法购买一些数据,作为情报数据。
社群传播
有的售卖者主要通过蝙蝠群、微博群、QQ群组、微信群等国内即时通讯工具发布售卖信息,然后通过其它方式进行交易躲避监管。有的售卖者通过telegram、whatsapp、line、instagram、twitter等境外即时通讯工具发布售卖信息,再通过境外第三方平台进行交易。
专门网站传播
黑客组织有的会自建信息售卖网站,类似电商网站一样,实现售卖信息展示和交易的一体化。
基于这些,也在思考如何调查取证,也看了一些外部攻击面厂商、开源情报厂商相关宣传和思路讲解,其实还是停留在信息搜集层面,无法做到调查取证层面,没法核实真实信息来源,即使售卖者说有1000万数据,也不能光依靠这条售卖信息作为证据来作为发生重大安全事件的依据,所以说这些厂商获取的情报信息只能作为基本情报数据参考。
那怎么才能证明数据泄露多少了,我觉得调查取证的关键在于数据安全这块,就是针对数据泄露方面,审计日志是否完善,有没有强大的数据审计日志系统,通过建立健全日志审计系统,为数据安全保驾。除了日志审计这块,是否还有更好的取证办法,这块也值得深思,因为被攻击造成信息泄露之后,一是立即修复安全问题,二是需要调查取证,追究责任。
说了这么多,在个人信息保护方面,特别是政府的信息系统、大型互联网厂商的系统等如何保障个人信息非常重要。