在国家安全日来临之际,国家安全机关破获了一起为境外刺探、非法提供高铁数据的重要案件。
这起案件是因为企业违规泄露买卖国家基础信息和核心数据,导致公司法定代表人、销售主管及相关销售人员被上海市国家安全局以涉嫌为境外刺探、非法提供情报罪依法逮捕。
2020年底,上海某信息科技公司受西方境外公司委托,在中国公司开展信息采集业务。
主要搜集中国铁路信号数据,包括物联网、蜂窝和 GSM-R ,也就是轨道使用的频谱等数据。
合作之初,企业负责人对该项目的合法性产生过怀疑,数据境外传输可能会面临侵犯国家安全、知识产权、商业秘密的风险,但相较于高达 80%-90% 的合作利润,企业选择了无视法律法规红线,铤而走险非法跨境传输高铁数据信息。
经国家安全部鉴定,此次涉案高铁数据为铁路 GSM-R 敏感信号, GSM-R 是高铁移动通信专网,直接影响高铁列车运行控制和行车调度指挥,是高铁的「千里眼、顺风耳」。
虽然从表面看这些数据的泄露不会导致高铁运行的瘫痪,也不会导致铁路运输安全事故。
但如果不法分子恶意利用这些数据干扰和攻击传输信号,将会导致高铁运行秩序混乱,同时通过对数据分析,可以获得我国地理外貌、关键设施、城市发展等状况的精准画像。
国务院公布的《关键信息基础设施安全保护条例》明确了公共通信和信息服务、能源、交通、水利、金融、公共服务、国防科技工业等重要行业和领域的网络设施及信息系统,被称之为关键信息基础设施。
同时《中华人民共和国国家安全法》第五十九条规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
铁路 GSM-R 信号可被认定为关键信息基础设施,一旦发生信息泄露,可能会引发危害国家安全、国计民生、公共利益的事件。
监管部门怎么可能容忍这些海量的隐私数据在无监管的状态下,被私自贩卖到海外市场?
数据跨境的概念最早出现在1980年,由经济合作与发展组织在个人数据保护的国际纲领性文件《关于保护隐私和个人数据跨境流动指南》中提出,其含义为「个人数据的移动跨越了国家边界」。
自2009至2018年,数据跨境流动对全球经济增长贡献度高达 10.1% ,预计2025年有望突破 11 万亿美元。
中国数字经济的飞速发展以及「一带一路」政策促进了跨境电子贸易的繁荣,数据跨境流动日益频繁,对数据跨境流动规则的需求也更为迫切。
数据流动推动全球经济飞速发展,同时也兼具风险,数据跨境流动涉及国家利益、产业利益、风险控制等各方面的动态平衡。
近几年,许多跨国企业在我国境内寻找合作伙伴,通过日常业务搜集大量敏感数据出境,对我国政治、经济、军事、国土、社会、数据安全均构成严重威胁。
然而我国的关键信息基础设施,涉及的角色环节众多、结构复杂、流程链条较长,暴露给网络攻击者的攻击面也越来越多。
同时随着互联网的智能化和数字化升级转型,越来越多的网络设备可以肆意接入关键信息基础设施。
供应链的薄弱环节便给了不法之徒可趁之机,通过技术手段利用系统漏洞、非后门植入、软件预装等窃取关键信息,这些关键信息基础设施领域的核心敏感数据一旦被不法分子获取,尤其是境外国家机构利用,极有可能危害到国家安全、社会稳定和关键信息基础设施的正常运行。
2021年2月,国家工业信息安全发展研究中心发布的《2020年工业信息安全态势报告》显示,随着工业互联网、智能制造加速发展,海量工业设备泛在互联,我国工业信息安全呈现风险威胁扩散化、攻击手段智能化等特点,传统信息安全技术在风险识别、威胁发现、安全防护等方面难以有效发挥很好的作用。
2021年网络黑客攻击的重点目标就是物联网、工业互联网、人工智能、区块链等。而此次境外企业要求搜集的信息也是物联网、蜂窝和我国高铁移动通信专网的数据信号。
为了加强数据安全的立法监管,2021年我国相继出台了数份重磅级数据安全法律法规。
4月,交通运输部发布了《交通运输政务数据共享管理办法》,明确要求监管部门应建立健全政务数据安全保障机制,切实做到数据安全管理和数据分类分级。
6月,《数据安全法》出台,确立了「国家核心数据」的概念,明确了关乎国家安全、经济命脉、国计民生、公共利益等数据属于核心数据,同时,再一次明确数据分类分级保护制度,重点加强数据信息跨境流动的安全管理,从法律规制层面和发展规划与安全角度进一步完善了我国数据安全治理体系。
10月,国家网信办公开征求《数据出境安全评估办法》意见,该办法是在《网络安全法》《数据安全法》《个人信息保护法》的基础上,细化和明确了我国跨境数据安全自由流动的具体规则,完善了数据跨境流动的管理要求。
11月,国家网信办公开征求《网络数据安全管理条例》的意见,该条例对网络数据处理活动中涉及的个人信息保护、重要数据安全管理、跨境数据流动规范等内容进行了全方位、多层次的细化规定,是对我国数据跨境安全的进一步规范。
2021年,国家采取的一系列组合拳措施,无疑是向外界释放了一个信号:网络不安全,国家就不安全。
加强对重要敏感数据的安全监管、严防数据跨境流动风险势在必行,然而再坚牢的数据安全屏障都无法阻挡被利欲蒙蔽了双眼的不法之徒,将邪恶之手伸向数据买卖。
传统的边界防护模式已不能完全满足互联网技术的安全需求,网络安全防御工作要求更加精细化和场景化,以空间网络资源测绘为基础,面对数字资产发现困难、漏洞发现和分级困难等问题,通过欺骗防御(蜜罐)技术和失陷模拟( BAS )等更具场景化防御特性的产品与服务应对未知威胁。
新兴技术规避了安全运营人员不足、时间相应不及时、处置不够迅速等问题,采取对安全事件进行分类分级评估,结合威胁和弱点管理,采用模板化的脚本就行自动响应。
随着云计算、 5G 和物联网技术的发展,海量终端设备接入到网络,攻击面不断被拓宽,对于手中掌握大量信息数据的关键信息基础设施应在企业内部建立具有实操性的数据保护合规体系。
对获取的信息从收集、存储、处理、传播等全流程进行合规管理。
首先,信息收集的目的与方式必须合规,要明确告知并征得被收集人同意,且不能过度收集或通过不正规的第三方收集。
对于收集的信息要合规存储,境内收集的信息应当境内存储。
未经网信部安全评估,该信息不得擅自向国外执法机构提供。
企业应当设置信息访问权限,将访问权限与工作职责相挂钩,非关键岗位不得接触访问大量信息数据。
同时要在企业内部建立数据安全管理机构,进入管理机构的负责人员和关键岗位人员需要进行严格的安全背景审查,对已实现使用目的的数据信息应当建立合规的销毁删除程序,以防接触信息数据的人员非法买卖及泄露。
其次,在企业内部建立数据跨境监管体系,在实施跨境流动时进行风险评估,是否需要跨境漏洞以及跨境流动产生风险进行等级评定,针对不同风险等级制定应对策略,在数据流动的全流程控制泄露风险。
同时应在企业内部建立重要数据分级分类管理制度,将重要数据和个人信息分类管理,重要数据根据数据特性及出境影响采取多样化的控制措施。
对涉及国家基础信息,核心技术的数据,严格禁止跨境或在需要跨境之前由监管部门审计检查;政府和公共部门的信息数据,严格限制数据跨境流动的条件;个人信息,通过落实数据控制主体的安全责任及合同监管实施保护。
最后,应加强数据安全培训,并在企业内部设置自查自纠机制,根据国家法律法规及监管政策设定数据跨境流动合规安全阀,对于数据传输、跨境进行实时监控,一旦发现供应链薄弱环节被侵入,及时采取维护和防御措施。
是谁撬动了我们的数据安全防线?
作者:臧嘉琪来源:iLaw合规

在国家安全日来临之际,国家安全机关破获了一起为境外刺探、非法提供高铁数据的重要案件。