40萬條客戶信息被泄露，企業如何有效防範員工成內鬼？

據新京報報道，邯鄲市公安局近期偵辦的一塊兒案件中，發現不法分子與快遞企業多位「內鬼」勾結，經過有償租用快遞企業員工系統帳號，盜取公民我的信息，再層層倒賣公民我的信息至不一樣下游犯罪人員。

據警方透露，犯罪嫌疑人實際上是直接以每日500元的費用租用某物流公司內部員工系統帳號，再僱人登陸帳號進入快遞企業後臺物流系統，進行快遞信息的批量導出。這些竊取的快遞信息被從新打包以後，經過各類渠道銷售給東南亞電信詐騙團伙。

實際參與這起案件的企業「內鬼」共有5人，分佈在邯鄲和邢臺兩市的5個網點。被泄露的信息包括髮件人和收件人地址、姓名、電話共六個維度。不過，幸運的是，被泄露的信息大部分是以「」來匿去的「不徹底信息」，例如發件人爲「張三」，發件電話卻爲「」。

根據快遞企業公佈的官方信息：早在7月，就已發現了相關犯罪事實，是快遞企業內部的「物流風險控制系統」發現了員工帳號存在高危操做，即「對應網點員工帳號頻繁查詢其餘網點運單信息」。快遞企業隨即關閉了風險帳號，而且成立了包括業務、安保、信息技術在內的調查組，最終經過相關調查取證，於9月成功捕獲相關嫌疑人。

據統計，在這起安全事件中，共有超過40萬條的信息數量被泄露，六個維度中包含的完整信息約爲4.5萬條。據不法分子供述，收集到的信息被打包以大約單價1元賣出。涉案金額總計約120萬元。

01

安全不該成爲企業數字化的「攔路虎」

快遞運單信息泄露問題由來已久，尤爲是在紙質機打甚至手寫面單的年代，面單的回收管理極難實現，信息的隱私性壓根沒法保證。伴隨着快遞企業的高速數字化，電子面單的出現實際上已經解決了至關多的問題。簡單來講，數字化的面單不存在是否須要回收的問題，收件人的相關信息也能夠利用數字化的手段，以不完整但可確認的形式出現。2014年加入騰訊安全，擁有多年移動安全實踐，專一企業移動化業務安全的騰訊安全專家楊啓波表示：

在此次的事件中，數字化讓企業可以創建「物流風控系統」這樣的安全系統，發現跨網點查詢面單信息這樣的異常操做，並在過後固定證據並幫助抓捕不法分子，都是巨大的進步。可是，在推動數字化的同期，如何作好安全建設將是更爲關鍵的一點。

在談及目前快遞行業還在持續推動的隱私信息加密處理時，楊啓波表示：

這種方式可以實現對用戶數據必定程度上的保護，其核心在於企業數據安全治理方案可否根據數據的敏感程度進行分層分級，以及可否經過產生於不一樣業務場景下的數據是實現對用戶信息的完整拼湊。這其實代表了一個事實：快遞企業除了須要創建嚴密的風險控制系統以外，還須要對數據安全進行加固，保障數據風險的可控及可審計。

02

企業數字化建設須要重視零信任機制

楊啓波指出，企業除了合規建設和系統預警等常態機制外，還須要關注企業業務系統訪問鏈條的動態鑑權和動態行爲監控、預警、阻斷，這也是形成這次事件的主要緣由之一。不法分子以多個網點爲據點的散佈攻擊形式，使其有機會在不觸動相關高危操做警報的前提下，完成各個網點內信息的收集，企業每每只能過後審計發現問題。

對於可能出現的更爲狡猾的不法攻擊，楊啓波表示：

要真正保障快遞企業隱私信息的安全， 除了基礎合規體系之外，企業應該採用「零信任」安全機制。不信任任何訪問，對每次訪問作到嚴格鑑權監控。經過多因素認證驗證訪問者真實身份以後，再開放系統訪問權限，並作好全程訪問過的實時風控，對訪問者真實身份（身份識別/多因素認證）、訪問頻次/地點/行爲特徵等進行實時預判，以在第一時間發現風險並切斷訪問來源。

技術的發展，以及企業業務複雜程度的提高，勢必將衍生出愈來愈多的安全風險。在這過程當中，企業應當更加關注業務全流程中的風險點，最大限度地減小攻擊面。而這一目標的實現須要的是一個系統的規劃和設計，即在安全頂層設計時，就將使用者身份可信、應用鏈接安全、雲應用安全控制等一併考慮在內，從而打造出一個貫穿整個業務流程的安全控制閉環。