最近,上海网信发布了一则《上海某政务系统承包商因公民个人信息泄露遭境外兜售被处罚》的内容,在跟踪调查中发现,上海市某政府信息系统技术承包商违规将政务数据置于互联网进行测试期间,相关存储端存在高危漏洞,导致大量公民数据泄露,以致成为境外不法分子窃取政务数据的“供应链”入口,2022年7月,相关公民个人信息在境外黑客论坛被披露兜售。
经查,该公司主要从事政务信息系统技术支撑工作。2022年,该公司租用1台私有云服务器用于对未交付政务系统的研发测试和演示验收工作,存储了大量公民信息和政务信息,涉及公民个人信息数据1.5万余条。
现场检查发现,该公司在开展数据处理活动中未能有效履行数据安全和个人信息保护义务,没有建立全流程数据安全管理制度,未采取技术防护措施保障数据安全和公民个人信息安全,导致平台频繁遭受境外远程访问和数据泄露风险。
有理由相信,很多技术支撑服务企业,在网络安全和数据安全方面存在着粗放式管理的问题,往往只考虑功能完成,而对过程性安全缺乏管控,究其原因是犯了“经验主义”,认为以往未发现问题就是安全的,但是是否未发生问题对于这些企业来说其实是一个未知数,而错误的认为自己的做法是无瑕疵的,安全意识严重缺失。结合国外一则报告称,数据泄露到数据泄露被发现平均时长接近一年。
可以想象,随着网络安全和数据安全的要求越来越高,供应链安全也不断被强化,政务系统建设单位在履行法定义务过程中,势必会对服务于政务系统的各个单位加强供应链安全管控。
最近在学习河南省数字政府建设工作领导小组办公室在年初印发的《河南省非涉密政务信息系统安全建设指南(试行)》过程中,发现第十二条、第十六条对开发和测试安全提出了要求,明确了“承建单位应当建立完善的安全管理机制,确保政务信息系统开发过程安全可靠”及“第三方软件测试机构在开展政务信息系统测试工作时,应当确保测试环境、测试人员、测试工具及终端等的独立性。测试过程应当留存记录,严禁泄露测试数据。测试完毕后,应当及时删除测试数据。承建单位应当对测试中发现的安全问题或不符合选项及时进行整改。”
其中,第十二条第二项,明确要求“开发、调试、实施和数据传输必须在开发环境中进行,开发环境应当与互联网、生产网隔离,防止源代码和数据泄露。”
很多开发单位或多或少的存在“重功能,轻安全”的问题,有可能在一开始规划设计阶段就没有做到安全与系统的“同步”,未按照“同步规划”要求开展工作,而作为产品经理在催进度过程中,往往犯了“我要的是葫芦”的毛病,“蚜虫长满葫芦秧”,不注重过程安全,致使对过程安全未能全面考虑,最终存在过多的开发安全隐患。
而上海这则行政处罚只是冰山一角,作为承建或开发单位必须考虑信息系统全生命周期的安全,结合前段时间四川依据《网络安全法》第二十二条对产品存在漏洞的处罚,那么后期结合供应链安全要求,技术开发单位在粗放式开展工作,必然会为企业自身发展带来巨大隐患。详见:“一案双查”!网络设备产品服务商这项义务要履行!
如果是上市公司,则可能影响自身股票在股市的波动,最终影响股东信心。所以,开展工作各司其职,先各自寻找国家有关要求做到充分合规,才能为客户提供合规服务,客户单位(政务部门)才能切实开展好其合规工作,这些工作从一开始到系统废弃,都是一环套一环,环环相扣的,指望着亡羊补牢式的开展工作,后期将事倍功半让客户单位疲于奔命,自己心力憔悴。
在很多文件中做了要求,但是这些开发服务单位是否能够重视,还是视而不见,非要等到像上海这家单位这样被处罚后再重视,该做的工作一点也不能少,最终好似脸面多了一块灰斑,永远擦不掉。那就看其各家老板的是否能够真诚的面对现实和问题了。
原文始发于微信公众号(祺印说信安):由上海政务系统数据泄露引发的一点点感慨
评论