外包运维人员下载核心数据提供给间谍被抓 国安部门披露

随(sui)着数字政务、智慧办公的深入推进,为(wei)提升(sheng)工(gong)作质效(xiao),越(yue)来越多的单位选择第三方外包服务开(kai)展(zhan)系统(tong)运维、数据归(gui)集、信息整(zheng)理(li)、平(ping)台(tai)保障等工作(zuo)????。在实际运(yun)行中,个别单位和个人存在(zai)监管弱化、思想松懈等问题,简(jian)单(dan)将(jiang)业务、数据、权限(xian)一并交给服务承包商,当起了“甩(shuai)手掌柜”????。殊不知,这种缺乏(fa)有效监(jian)管的粗(cu)放模式,可能引发系统性安全风险????。

近年来,国家安(an)全机关与有(zuozhe)关部(bu)门(men)先(xian)后通(tong)报多起“数据外包”失泄密的典型案件,暴露出部分单位重业务推进(jin)、轻安(an)全管(guan)控,重服务效率、轻(qing)风险(xian)防(fang)范的问题,应(ying)引起高(gao)度重(zhong)视(shi)????。

·案例一:国家安全机(ji)关工作发(fa)现,某(mou)科研(yan)单(dan)位(wei)将实验数(shu)据(ju)库(ku)运维外包给第三方企(qi)业,但未建立驻场人员(yuan)背景(jing)审查、数据调取(qu)留痕等(deng)安全防(fang)范机制????。一外包运维人员受境(jing)外间谍情报机关(guan)利(li)诱(you)拉拢,利用(yong)远程运维权限下载海量(liang)核心(xin)科研数(shu)据,跨(kua)境提(ti)供给境(jing)外(wai)间(jian)谍情(qing)报机关(guan),后被国家安全机关(guan)抓获????。该(gai)科研单位相关责任人员也(ye)被依法追责问责????。

·案例二:最高(gao)人民法院(yuan)公开案例显示,某公司在为(wei)某医院提(ti)供“数据外包”服务过(guo)程中(zhong),暗中从后台收集该医(yi)院(yuan)挂号(hao)用(yong)户相关个人(ren)信息,并导入公司自建数据库,数据去重后(hou)合计28万余条????。涉事公司已构(gou)成侵犯公民个人信息罪,被依法惩(cheng)处(chu)????。

·案(an)例三:央视新闻公开案例显示,某机构将门户网站外包给第三方公司(si)建设维护,却(que)未建立安(an)全管理制度,仅“一(yi)托了之”????。该公(gong)司未(wei)落实(shi)基本网络(luo)安全(quan)防护措施,未修复已知漏洞,未履(lu)行风(feng)险告知义(yi)务,将(jiang)存在安全隐患的(de)系统交付上线后,遭(zao)网络攻击并被植入违(wei)法(fa)内容(rong),造成(cheng)不(bu)良影响(xiang)????。涉事双(shuang)方均被依法(fa)责令限期(qi)改(gai)正????。

“数据(ju)外包(bao)”风(feng)险高发点

综(zong)合(he)相关案例(li)来(lai)看,各类(lei)“数据外包”失(shi)泄密风险点高度趋(qu)同,主要集中在准入把(ba)关、权限管控、闭环管理(li)三个(ge)方面????。

——准入把关不(bu)严????。对(dui)服务商资(zi)质、股权(zuozhe)背(bei)景、安全(quan)信用、从(cong)业人员(yuan)背景审查流于形式(shi),将(jiang)服务外包给问题企业(ye)、问题人员,放(fang)大(da)了失泄密(mi)风险????。

——权限(xian)管控松软(ruan)????。未实(shi)行“最小(xiao)授权”,过度下放数据(ju)查询、下载、导(dao)出、远(yuan)程运维等权限(xian);未严格落(luo)实操作日志、访问审计、离岗(gang)注销等(deng)要求????。

——闭环管(guan)理缺失????。缺少专(zhuan)项保密协议、数(shu)据(ju)安全条款(kuan),项目结(jie)束后未(wei)严格核(he)验销毁数据、回收权(zuozhe)限、清(qing)退人员,导致数据长期被第三方(fang)留存????。

筑牢“数据外(wai)包”的安全防线

《数据安全法》《网络数据安全(quan)管理条例》等法律法规明确规(gui)定,数(shu)据(ju)服务委托第三方处理,必(bi)须通过(guo)合同(tong)明确处理目的(de)、期(qi)限、方式(shi)、数据范围、保护措施及(ji)双方责任义(yi)务(wu)????。委托(tuo)外(wai)包不免除发包单(dan)位数据安全主体责(ze)任,发(fa)包单位(wei)应严格(ge)落实外(wai)包(bao)管理(li)各项合规(gui)要求,坚决守(shou)住(zhu)数据安全底线????。

——关口前(qian)移????。委托涉(she)密(mi)数据处(chu)理应坚持“安(an)全(quan)为先(xian)、合规准入”原则,建立(li)严格的外包服务商准(zhun)入审查机(ji)制,不仅要审查合作(zuo)企(qi)业保(bao)密资(zi)质、安全(quan)能力,更要对从业(ye)人员进行背景核查????。对涉密“数据外包”项目(mu)开展专项安全(quan)评估,从(cong)源头上隔绝(jue)“带(dai)病上岗”????。

——严管权限????。严格(ge)执行“最小权限”原则(ze),按需授权、分(fen)级赋(fu)权(zuozhe),关闭(bi)批量导出、全(quan)量下(xia)载等高风险(xian)功能????。所有数据访(fang)问、运维操作全程留痕、定期审计????。严禁外包人员使用私人设备、外网终端处(chu)理(li)内部数(shu)据????。

——压实责任????。委托数据处理应当建立全流程数(shu)据安全(quan)管理制度,明确外包数据边界(jie)、操作权限(xian)、流转范围,严禁越(yue)权访问????。合同中需细(xi)化(hua)保密(mi)责任、追责(ze)条(tiao)款,压实(shi)甲乙双方安全主体责任(ren)????。

——闭环管理????。服务到期或项(xiang)目(mu)结束后,必须监督(du)第(di)三方彻底销毁全部缓存、备份、中间数据,回(hui)收(shou)全(quan)部(bu)账号权限,出(chu)具数据销毁证明,形(xing)成闭(bi)环(huan)台账存(cun)档(dang)备查????。

数据安全无小事(shi),“数据外包(bao)”须尽责????。如在“数据外包”过程中发现危害国家(jia)安全(quan)的可疑线索,请(qing)及时通过(guo)12339国家安全机关(guan)举报(bao)受理(li)电话、网络举(ju)报受理(li)平台(www.12339.gov.cn)、国家安全部微信公众号举报受理渠道或者(zhe)直接向当地(di)国家安全机(ji)关进行(xing)举报????。

来源:国家安全部微信公众号【编(bian)辑:付子豪】