◎ 文《法人》记者 马丽
网民规模突破6亿人,手机用户超过12亿,拥有400万家网站,电子商务市场交易规模达10万亿元。作为名符其实的网络大国,中国的信息安全问题面临着前所未有的新挑战,其或将成为“大数据”发展的基础条件和成功因素
一天早晨,公司美丽的前台小姐收到一份神秘人送来的生日礼物,打开一看是时下最流行的三星GalaxyS4手机;两周后,公司价值千万的用户数据被盗。当然,你或许已经猜出,作案工具就是这部手机。
这是林伟在7月18日由法制日报社中国公司法务研究院举办的“走近安全,走进360”公司法务沙龙上所讲的真实案例,台下是来自30多家知名企业的总法律顾问,包括中国移动通信集团公司总法律顾问陈丽洁、中国人民保险集团股份有限公司法律总监李祝用等人。林伟是奇虎360网络攻防实验室副主任,在开场白中,他自称是一名真正的黑客。
在一个“黑客”眼中,网络世界里有两种人,一种是被黑过的人,另一种是被黑过却还不自知的人。你可以想象一下这个画面,一个带黑框眼镜的瘦弱大男孩面对一群70后、60后的法律界资深人士,轻描淡写地讲述一个又一个惊心动魄的商业情报刺探故事,对后者来说,这似乎是电影里才有的情节。
“在座的各位,你们的单位也是黑客非常垂涎的攻击目标。”当林伟话锋一转,你能想象台下总法们瞪大的双眼和起伏不定的内心吗?
大约十年前,那是大小黑客们玩网民于股掌的逍遥日子。技术水平高或烂都有肆意挥洒的空间,随便发挥就能攻击成千上万台电脑,因为那时没有免费杀毒软件,中国境内大量装载盗版杀毒软件的电脑由于无法更新补丁,对新型病毒的防护能力等同于零。由于没有明确的攻击目标,彼时黑客的盈利模式被称为“薄利多销”式,有些黑客的攻击行为根本没有经济目的,纯粹是为了狂拽酷炫地玩一把。
免费杀毒软件普及后,黑客们被迫升级换代,低级黑客被逐出市场,高手们开始精准的打击模式。与过去“薄利多销”的攻击模式相比,定向精准攻击模式下的黑客攻击造成的损失更加巨大,动辄以千万计。美国网络安全公司FireEye2014年初发布的《2013年度APT攻击报告(Advanced Threat Report)》显示,除政府和服务类机构外,与企业密切相关的高科技行业、金融行业、通信产业都是黑客青睐的攻击目标。
“这个世上没有百分百安全的电脑,只有百分百被入侵的电脑。”林伟并没有耸人听闻,打开国内知名漏洞报告网站乌云网,仅7月31日当天提交的漏洞就有9个,涉及中国移动、百度、腾讯、安居客、租租车、新网华通信技术有限公司等多家企业。这个结果是否让你有些吃惊,黑客们可以发现漏洞,就可以利用漏洞攻击企业。
在严峻的信息安全形势下,一些公司的法律顾问还有些茫然不知所措。是的,大家都感到自己应该做些什么,当企业投入大量人力、物力、财力为信息保护打造技术屏障,而信息泄露风险依然防不胜防时,是法务该出手的时候了。
但是如何下手,对中国公司法务人员来说还是个全新的问题。在信息风险防控领域,他们往往是在风险出现后的诉讼阶段才粉墨登场,而且表现还不尽如人意。他们通常会陷于证据难以追踪的苦恼,再加上法律的不完善,企图用法律手段遏制黑客吃力不讨好。
法务与黑客一次有名的过招最终沦为黑客界的笑柄。一名黑客在网上公布了国内一家知名电商的漏洞,据传会涉及上亿损失,企业高管出马洽谈,先以百万年薪诱惑,自以为是地录音并以涉嫌敲诈勒索举报。如果对手是个普通人,我们可以为这家企业的策略叫好,但是他却是一名黑客。在黑客的世界里,企业破坏了规矩,被黑客唾弃的企业遭遇了多次客户信息被拖库事件。
事实上,把风险损失降到最低的方法就是不让风险发生。在这一点上信息泄露风险与其他传统法律风险并无二致。国外一项2013年发布的在安全问题方面的重大调查研究表明,数据泄露成本最小化的三个最重要方法是:(1)创建和维持一项数据泄漏应急预案;(2)保持较强的安全态势;(3)聘请首席信息安全官。
中外企业法律顾问在信息安全管理上面临的问题几乎同步。但不得不承认的是,国外一些企业的法律顾问在应对黑客攻击、保护信息安全方面还是走在了前面。对于企业法律顾问在信息安全防控上发挥何种作用这个问题,海外的同行们已经给出了明确的答案:公司内部法律顾问应在制订安全计划和打造安全态势方面扮演关键角色。
为了有效应对网络攻击,海外企业法律顾问会为企业制订一份具有持久性和适应性的计划,并付诸实施。这份计划从营造企业安全文化、制定安全政策,到参与安全政策规划委员会,再到如何获得安全情报、怎样转移风险,内容详尽而具有操作性。他们还提倡一定要制定一份详尽的信息安全事故的应急预案,这份预案要详尽到一旦被攻击要先给律师还是安全人员打电话这个细节上。
俗话说,知己知彼,百战不殆。法务不懂“黑客”的黑,是很可怕的。在防范信息泄露风险上,法务人员要了解技术世界,有的放矢才能制订一份具有持久性和适应性的安全计划。当然,你并不需要为此去攻读一个计算机科学学位,你只须学习基本的知识,以便弄懂基本的问题和可能的解决方案。
当你服务的企业不幸地被网络攻击,老板打电话向你寻求建议时,你能很快给出解决方案并胸有成竹地向老板保证说,一切尽在掌握之中。那么,恭喜你,你将很快在企业法律顾问中脱颖而出,成为企业新的英雄。
链接:“走近安全,走进360”公司法务沙龙
沙龙主题为“企业信息安全风险控制与法务管理”,主办方为法制日报社于2014年5月成立的中国公司法务研究院。法制日报社社长、总编辑雷晓路,奇虎360总裁齐向东,以及中国移动总法律顾问陈丽洁,中国人民保险集团股份有限公司法律总监李祝用,中国航空油料集团公司总法律顾问徐永建,中国建筑副总法律顾问兼法律部总经理秦玉秀,360公司总法律顾问傅彤,中国钢研科技集团有限公司总法律顾问汤建新,中国中材集团有限公司副总裁,总风险管理师金乐永,机械科学研究总院总会计师李劲松,北京仲裁委员会秘书长林志炜等法律实务界同仁,参加了沙龙。