超30省市曝管理漏洞 “重建輕維”危及網(wǎng)路安全
數(shù)千萬社保用戶資訊或遭洩露
□記者 楊燁 京報(bào)道
社保系統(tǒng)已經(jīng)成為個人資訊洩露“重災(zāi)區(qū)”?�!督?jīng)濟(jì)參考報(bào)》記者獨(dú)家獲悉,目前重慶�、上海、山西���、瀋陽��、貴州�����、河南等省市衛(wèi)生和社保系統(tǒng)出現(xiàn)大量高危漏洞����,數(shù)千萬用戶的社保資訊可能因此被洩露��。
記者從補(bǔ)天漏洞響應(yīng)平臺獲得的數(shù)據(jù)顯示����,目前圍繞社保系統(tǒng)、戶籍查詢系統(tǒng)�����、疾控中心�、醫(yī)院等大量曝出高危漏洞的省市已經(jīng)超過30個,僅社保類資訊安全漏洞統(tǒng)計(jì)就達(dá)到5279.4萬條���,涉及人員數(shù)量達(dá)數(shù)千萬�����,其中包括個人身份證�、社保參保資訊��、財(cái)務(wù)����、薪酬、房屋等敏感資訊���。
例如��,滄州市社保局某系統(tǒng)存在漏洞��,270萬醫(yī)療����、養(yǎng)老、社保參保人員敏感資訊疑遭洩露��;陜西省人力資源和社會保障廳社保系統(tǒng)漏洞可能洩露全省至少213萬農(nóng)村參與社保人員的資訊��,駭客可利用漏洞隨意修改社保待遇����,停發(fā)社保金;浙江省永康市社保網(wǎng)上辦事大廳存在漏洞��,上萬單位企業(yè)資訊或遭洩露����,其中包括上百萬員工社保資訊;江蘇省省級機(jī)關(guān)住房資金管理中心繫統(tǒng)出現(xiàn)漏洞�,可能導(dǎo)致江蘇省2510個單位10萬公務(wù)員的姓名�、身份證、社保資訊遭泄漏�。
補(bǔ)天是目前全球最大的漏洞響應(yīng)平臺,漏洞數(shù)據(jù)同步公安部�����、網(wǎng)信辦和國家漏洞庫?��!督?jīng)濟(jì)參考報(bào)》記者同時獲悉����,針對目前社保系統(tǒng)�、戶籍查詢系統(tǒng)、疾控中心����、醫(yī)院等爆發(fā)大量高危漏洞的情況,補(bǔ)天已經(jīng)將詳細(xì)數(shù)據(jù)和情況匯總報(bào)送國家主管部門�����。
“各省市目前發(fā)現(xiàn)的漏洞僅是冰山一角����,被洩露個人資訊的人數(shù)可能比我們想像得還要多?!?/p>
補(bǔ)天漏洞響應(yīng)平臺安全專家鄧煥表示,社保系統(tǒng)裏的資訊包括了居民身份證、社保�����、薪酬等敏感資訊���,這些資訊一旦洩露�����,造成的危害不僅是個人隱私全無�,還會被犯罪分子利用��,例如複製身份證���、盜辦信用卡���、盜刷信用卡等一系列刑事犯罪和經(jīng)濟(jì)犯罪。
鄧煥同時指出����,以省或市為單位的資訊洩露�����,有可能被大致匡算出當(dāng)?shù)氐拿咳似骄杖?���、社保金額等國家經(jīng)濟(jì)數(shù)據(jù),危害極大����,僅河北省計(jì)生委的一個漏洞就涉及7000萬居民詳細(xì)資訊,山東省某衛(wèi)生系統(tǒng)漏洞導(dǎo)致全省600萬兒童���、1200萬父母詳細(xì)資訊洩露�。
公安部第三研究所所長嚴(yán)明在接受《經(jīng)濟(jì)參考報(bào)》記者採訪時表示����,社保系統(tǒng)包含個人非常隱私的資訊,同時也是國家宏觀調(diào)控的重要資訊和數(shù)據(jù)來源�����,一旦系統(tǒng)資訊被不法分子進(jìn)行篡改��,後果不堪設(shè)想��。與此同時,大量個人隱私資訊可能被一些人員倒賣獲利��,造成經(jīng)濟(jì)方面的損失����。
國家資訊技術(shù)安全研究中心專家曹岳表示,類似地方社保等很多部門和公司�����,實(shí)際上對網(wǎng)路資訊安全保護(hù)意識非常缺乏�,也沒有太重視對於相關(guān)人才的培養(yǎng),很多時候即使出現(xiàn)了資訊洩露問題���,也僅僅是“捂蓋子”�����,不會進(jìn)行太多的補(bǔ)救���。
他認(rèn)為,目前資訊安全已經(jīng)成為個人資訊洩露重災(zāi)區(qū)����,而我國在網(wǎng)路安全人才方面的培養(yǎng)和儲備還遠(yuǎn)遠(yuǎn)不夠�����。國家除了需要啟動更加實(shí)質(zhì)性的監(jiān)管工作外����,還需要加快對相關(guān)人才的培養(yǎng)���,佈局資訊安全産業(yè)。
“這充分説明���,地方社保等部門對於資訊安全方面投入不足���,監(jiān)管不力?���!眹?yán)明説,社保系統(tǒng)暴露的資訊安全問題�����,僅僅是我國資訊安全發(fā)展過程中的一個縮影��。一直以來,我國很多部門和産業(yè)都存在“重建設(shè)輕運(yùn)維”�、“重管理輕安全”的情況,無論是資金還是技術(shù)和人才方面的投入都大大低於歐美國家�。如果這個趨勢不改變,隨著網(wǎng)際網(wǎng)路經(jīng)濟(jì)的爆發(fā)性發(fā)展���,類似的事件將會繼續(xù)暴露出來����。
嚴(yán)明説����,我國現(xiàn)在缺乏對資訊安全洩露的問責(zé)機(jī)制,缺少法律依據(jù)����,為此,我國要加快建立“首席安全官”制度�,把資訊安全責(zé)任落實(shí)到相關(guān)部門和企業(yè)的負(fù)責(zé)人。
