瑞典敏感數據泄露事件引發深思,強化關鍵信息基礎設施保護勢在必行
日前瑞典媒體報道中提到,瑞典數以百萬計運輸人員的敏感信息和個人數據以及瑞典的軍事機密已遭泄露,導致瑞典公民及國家安全處于風險之中。而泄露這些敏感數據的竟然是瑞典政府自己!
瑞典政府不慎泄露大量公民的個人信息
瑞典媒體報道稱瑞典交通局發生大規模數據泄露事件,原因是該機構跟IBM錯誤地處理了一次外包交易,導致瑞典的所有車輛的隱私信息遭泄露,包括警察和軍人使用的車輛信息。
被暴露的數據包括數以百萬計的瑞典公民姓名、照片和家庭住址,包括瑞典空軍戰斗機飛行員、瑞典軍方敏感部門成員、犯罪嫌疑人、證人遷移計劃涉及人員、所有道路和橋梁的承重能力等信息。這起事件被認為是史無前例的最糟糕的政府信息安全災難。
2015年,瑞典交通局交給IBM一份IT維護合同以管理其數據庫和網絡。然而,瑞典交通局將IBM的整個數據庫上傳到云服務器中。數據庫中包含瑞典所有的車輛信息,包括警察和軍事注冊以及參加見證保護計劃的個人。隨后交通局將整個數據庫通過郵件發送給訂閱服務的營銷人員。更糟糕的是這些信息以明文數據發送。當交通局發現這個錯誤時,僅新發送了一份含有新列表的新郵件并告知用戶刪除之前發送的列表。
更讓人揪心的是,這次外包交易能讓不在瑞典境內的IBM員工訪問瑞典交通局的系統,而無需經過適當的安全檢查。位于捷克共和國的IBM管理人員也能完全訪問所有數據和日志。
Pirate Party的創始人兼VPN提供商Private Internet Access的隱私負責人Rick Falkvinge詳細說明了這起丑聞事件,他指出該事件“披露并泄露了所有能想象到的機密數據庫信息:戰斗機飛行員、SEAL團隊運營人員、警方嫌疑人、見證遷移計劃人員的信息。”
個人及國家基礎設施信息遭泄露
Falkvinge指出,被泄數據包括:
所有道路以及橋梁的承重能力(它是重要的戰爭信息,能讓人們了解到戰時會使用哪些道路)。空軍戰斗機飛行員的姓名、照片和家庭住址,在警署注冊過的個人姓名、照片和家庭住址,據悉這些信息屬于機密信息。軍方最機密部門等同于SAS或SEAL團隊的所有運營人員的姓名、照片和住址。見證遷移計劃中每個人的姓名、照片和地址,出于某種原因這些人的身份受到保護。所有政府和軍事車輛的類型、型號、重量以及所有缺陷問題,包括能夠披露軍事支持部門結構的運營人員信息。
盡管這起數據泄露事件發生于2015年,但瑞典秘密服務機構在2016年才發現并開始調查此事。此事導致交通局局長Maria Agren在2017年1月被解雇。Agren也被罰款8500美元,理由是她“對秘密信息的處理粗心大意”。
事件觀察:基礎設施信息安全
關鍵信息基礎設施,指的是面向公眾提供網絡信息服務或支撐能源、通信、金融、交通、公用事業等重要行業運行的信息系統或工業控制系統,這些系統一旦發生網絡安全事故,可能影響重要行業正常運行,對國家政治、經濟、科技、社會、文化、國防、環境及人民生命財產造成嚴重損失。
瑞典此次事件,正是由于之前疏于對基礎設施信息安全的防護,員工進行了不安全的操作,資料信息服務器進行了不正確的設置,以及事后沒有進行積極處理,致使造成了現在的嚴重后果。
這起事件給我們的啟示是,對于關鍵信息基礎設施進行重點保護勢在必行,我國網信辦也因此制定了《基礎信息設施保護安全條例(意見征求稿)》向社會大眾征求意見。《信息設施保護條例(意見征求稿)》首先確定了保護關鍵信息基礎措施的主體和相應責任主體,并從下列方面進行了相關細則描述。
- 支持與保障
- 關鍵信息基礎設施范圍
- 運營者安全保護
- 產品和服務安全
- 監測預警、應急處置和檢測評估
- 法律責任
相信這部法律能和網絡安全法一樣,在社會廣征意見中不斷完善自身,從信息安全的根本,基礎信息安全設施進行信息安全防護。
【本文為51CTO專欄“柯力士信息安全”原創稿件,轉載請聯系原作者(微信號:JW-assoc)】
