日前瑞典媒體報(bào)道中提到，瑞典數(shù)以百萬計(jì)運(yùn)輸人員的敏感信息和個(gè)人數(shù)據(jù)以及瑞典的軍事機(jī)密已遭泄露，導(dǎo)致瑞典公民及國家安全處于風(fēng)險(xiǎn)之中。而泄露這些敏感數(shù)據(jù)的竟然是瑞典政府自己!

[[198152]]

瑞典政府不慎泄露大量公民的個(gè)人信息

瑞典媒體報(bào)道稱瑞典交通局發(fā)生大規(guī)模數(shù)據(jù)泄露事件，原因是該機(jī)構(gòu)跟IBM錯(cuò)誤地處理了一次外包交易，導(dǎo)致瑞典的所有車輛的隱私信息遭泄露，包括警察和軍人使用的車輛信息。

被暴露的數(shù)據(jù)包括數(shù)以百萬計(jì)的瑞典公民姓名、照片和家庭住址，包括瑞典空軍戰(zhàn)斗機(jī)飛行員、瑞典軍方敏感部門成員、犯罪嫌疑人、證人遷移計(jì)劃涉及人員、所有道路和橋梁的承重能力等信息。這起事件被認(rèn)為是史無前例的最糟糕的政府信息安全災(zāi)難。

[[198153]]

2015年，瑞典交通局交給IBM一份IT維護(hù)合同以管理其數(shù)據(jù)庫和網(wǎng)絡(luò)。然而，瑞典交通局將IBM的整個(gè)數(shù)據(jù)庫上傳到云服務(wù)器中。數(shù)據(jù)庫中包含瑞典所有的車輛信息，包括警察和軍事注冊以及參加見證保護(hù)計(jì)劃的個(gè)人。隨后交通局將整個(gè)數(shù)據(jù)庫通過郵件發(fā)送給訂閱服務(wù)的營銷人員。更糟糕的是這些信息以明文數(shù)據(jù)發(fā)送。當(dāng)交通局發(fā)現(xiàn)這個(gè)錯(cuò)誤時(shí)，僅新發(fā)送了一份含有新列表的新郵件并告知用戶刪除之前發(fā)送的列表。

更讓人揪心的是，這次外包交易能讓不在瑞典境內(nèi)的IBM員工訪問瑞典交通局的系統(tǒng)，而無需經(jīng)過適當(dāng)?shù)陌踩珯z查。位于捷克共和國的IBM管理人員也能完全訪問所有數(shù)據(jù)和日志。

Pirate Party的創(chuàng)始人兼VPN提供商Private Internet Access的隱私負(fù)責(zé)人Rick Falkvinge詳細(xì)說明了這起丑聞事件，他指出該事件“披露并泄露了所有能想象到的機(jī)密數(shù)據(jù)庫信息：戰(zhàn)斗機(jī)飛行員、SEAL團(tuán)隊(duì)運(yùn)營人員、警方嫌疑人、見證遷移計(jì)劃人員的信息。”

個(gè)人及國家基礎(chǔ)設(shè)施信息遭泄露

Falkvinge指出，被泄數(shù)據(jù)包括：

所有道路以及橋梁的承重能力(它是重要的戰(zhàn)爭信息，能讓人們了解到戰(zhàn)時(shí)會(huì)使用哪些道路)?？哲姂?zhàn)斗機(jī)飛行員的姓名、照片和家庭住址，在警署注冊過的個(gè)人姓名、照片和家庭住址，據(jù)悉這些信息屬于機(jī)密信息。軍方最機(jī)密部門等同于SAS或SEAL團(tuán)隊(duì)的所有運(yùn)營人員的姓名、照片和住址。見證遷移計(jì)劃中每個(gè)人的姓名、照片和地址，出于某種原因這些人的身份受到保護(hù)。所有政府和軍事車輛的類型、型號(hào)、重量以及所有缺陷問題，包括能夠披露軍事支持部門結(jié)構(gòu)的運(yùn)營人員信息。

盡管這起數(shù)據(jù)泄露事件發(fā)生于2015年，但瑞典秘密服務(wù)機(jī)構(gòu)在2016年才發(fā)現(xiàn)并開始調(diào)查此事。此事導(dǎo)致交通局局長Maria Agren在2017年1月被解雇。Agren也被罰款8500美元，理由是她“對秘密信息的處理粗心大意”。

[[198154]]

事件觀察：基礎(chǔ)設(shè)施信息安全

關(guān)鍵信息基礎(chǔ)設(shè)施，指的是面向公眾提供網(wǎng)絡(luò)信息服務(wù)或支撐能源、通信、金融、交通、公用事業(yè)等重要行業(yè)運(yùn)行的信息系統(tǒng)或工業(yè)控制系統(tǒng)，這些系統(tǒng)一旦發(fā)生網(wǎng)絡(luò)安全事故，可能影響重要行業(yè)正常運(yùn)行，對國家政治、經(jīng)濟(jì)、科技、社會(huì)、文化、國防、環(huán)境及人民生命財(cái)產(chǎn)造成嚴(yán)重?fù)p失。

瑞典此次事件，正是由于之前疏于對基礎(chǔ)設(shè)施信息安全的防護(hù)，員工進(jìn)行了不安全的操作，資料信息服務(wù)器進(jìn)行了不正確的設(shè)置，以及事后沒有進(jìn)行積極處理，致使造成了現(xiàn)在的嚴(yán)重后果。

這起事件給我們的啟示是，對于關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行重點(diǎn)保護(hù)勢在必行，我國網(wǎng)信辦也因此制定了《基礎(chǔ)信息設(shè)施保護(hù)安全條例(意見征求稿)》向社會(huì)大眾征求意見。《信息設(shè)施保護(hù)條例(意見征求稿)》首先確定了保護(hù)關(guān)鍵信息基礎(chǔ)措施的主體和相應(yīng)責(zé)任主體，并從下列方面進(jìn)行了相關(guān)細(xì)則描述。

• 支持與保障
• 關(guān)鍵信息基礎(chǔ)設(shè)施范圍
• 運(yùn)營者安全保護(hù)
• 產(chǎn)品和服務(wù)安全
• 監(jiān)測預(yù)警、應(yīng)急處置和檢測評估
• 法律責(zé)任

相信這部法律能和網(wǎng)絡(luò)安全法一樣，在社會(huì)廣征意見中不斷完善自身，從信息安全的根本，基礎(chǔ)信息安全設(shè)施進(jìn)行信息安全防護(hù)。

【本文為51CTO專欄“柯力士信息安全”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者(微信號(hào)：JW-assoc)】

戳這里，看該作者更多好文