公共企事业单位内部人员借职务之便,盗取公民个人信息;技术防范手段落后,被“黑客”轻易攻入……越城区人民检察院近日发布《涉公共企事业单位信息安全犯罪典型案例》白皮书,揭示了公民个人信息频遭泄露的原因。
白皮书显示,2015年以来,越城区检察机关共办理侵犯公民个人信息案件37件92人,其中非法侵入计算机信息系统、非法获取计算机信息系统数据、非法控制计算机信息系统、破坏计算机信息系统案件17件72人。案件之多、问题之严重令人担忧。
一些公共企事业单位已认识到问题的严重性,有的限制非本岗位人员访问终端IP,有的对单次导出个人信息数量设限,超过50人需审批,但许多单位仍行动迟缓。
加强内部防范、扎紧织密制度篱笆已成当务之急。
对内部员工不设防
公共企事业单位因为职能需要,掌握的信息数量庞大、全面、准确。因为“含金量”高,成为不法分子获取信息的目标对象。越城区人民检察院通过对近年来涉公共企事业单位信息安全犯罪案件的梳理,发现通讯公司、医院、公共文化单位、公共服务单位乃至行政部门均存在信息泄露现象。
陈某甲是某公共企业袍江分公司员工,2017年至2018年,他利用从事业务受理的工作便利,多次非法获取单位计算机系统内的居民个人信息(包含用户姓名、居住地址、固定电话和手机号码等),提供给陈某乙。陈某乙利用这些信息推销二手房。经查证,陈某甲非法提供给陈某乙的公民个人信息数量累计达1.5万余条。目前,陈某甲案件已办结。
“一些单位对个人信息的保护意识不强,制度不健全,如对信息查询、获取的权限不加限制,查询结果不留痕,导致非本岗位员工也能接触并导出个人信息数据。”越城区人民检察院第一检察部主任潘亚鹏告诉记者,作为一名普通员工,陈某甲轻而易举可以获取1.5万条信息,说明部分公共企事业单位对信息安全的管理没有引起足够重视。
记者在几起典型的涉罪案件中发现,行为人为单位内部职工的居多。在2018年侦破的一起侵犯公民个人信息案件中,绍兴一通讯公司政企部校园中心负责人利用职务之便,将5688条校讯通数据无偿提供给某教育培训机构;绍兴一文化单位内部技术员工将8万条公民个人信息从电脑导出后,提供给某培训机构。
“大数据时代,我们收到一些推销信息不足为奇,但奇怪的是,一些完全陌生的人居然准确掌握我们家的情况。”方女士的孩子在绍兴一所小学读四年级,她告诉记者,从孩子上学开始,她就一直收到诈骗信息和房产中介推荐学区房的电话。
“不少案件中的犯罪嫌疑人都是在朋友的‘求助’下,将信息泄露了出去。”越城区公安分局网警大队民警单钟颖告诉记者,这些信息比较精准,若被转手用于非法用途,不仅可以引发电信诈骗案件,还可能引发绑架、敲诈勒索等恶性犯罪活动。
安全防范技术粗浅
除了对内部员工不设防,一些单位维护信息安全的技术手段也比较粗浅,犯罪嫌疑人仅通过基础的黑客软件、程序代码就轻而易举地攻破单位计算机防御系统。越城区检察机关通过梳理案件发现,许多公共企事业单位均存在计算机系统被攻击破坏的情况。
“如果是简单信息,损失还小点;如果是涉及知识产权或者机密文件,就会给单位带来巨大损失,后果不堪设想。”承办检察官冯丽君说,在他们所办的案件中,就有一起是市区3家医院的“统方”数据被医院内部医生盗取并贩卖牟取利益,“如果有专门的后端技术维护人员,可能就不会轻易被盗取。”
采访中,不少市民都有类似信息泄露被多次侵扰的经历。一些单位没有设置“防火墙”,也不设置访问权限,导致单位内部人员可以轻易获取信息。
记者从我市公安机关获悉,当前在校外培训、房产中介及物业等领域,利用网络非法采集、窃取、贩卖和利用用户信息已形成黑色产业链。用户信息泄露呈现渠道多、窃取违法行为成本低、追查难度大等特点,而且不法分子使用的手段不断升级,因用户信息泄露引发的“精准诈骗”案件增多,给人民群众财产安全造成严重危害。
分级保护亟待建立
如何提升公共企事业单位信息安全管理水平?越城区人民检察院在白皮书中也提了一些意见建议,其中最重要一条就是,要求公共企事业单位落实信息分级保护制度,加强身份认证、查询权限设置,确保信息查询留痕迹、可追溯。
在发出检察建议后不久,我市某公共事业单位就信息安全问题进行了专题培训,对存在的问题进行了整改。记者了解到,该单位根据国家有关法律要求,与全部员工签订了《员工信息安全保密协议》。同时,对用户信息导出进行了限制,对单次导出公民个人信息数量在50人以上的,需要向部门负责人以及不同层级领导申请,获得批准后才可以执行导出行为。
日前,我市某文化单位也对信息安全管理漏洞进行了整改。记者了解到,该单位首先对内部网络安全状况进行了一次“大体检”,同时落实核心岗位人员保密责任,建立了信息审批权限以及数据输出的审批流程,对技术人员相关的管理权限实行了分块、分级管理。同时,企业内部服务器的群访问方式被调整,限制访问终端IP。
“我们知道,现在公安机关的信息不能随便查询,更不能越权导出,一旦查询都会留下痕迹。”检察官建议我市公共企事业单位向公安机关学习,实行信息查询“分级留痕”方式,同时落实追责机制和倒查机制,即对于违规违纪泄露内部信息甚至涉密信息者,除了追究当事人的相关责任外,对其分管和主管领导也要一并追责,形成强有力的倒查机制。
来源:绍兴日报 作者: 编辑:徐晓