🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

DBA删除公司9TB数据被判7年

白话数据安全 2022-09-24
在家中坐,删库天上来。这一次,倒霉的是链家网(北京)科技有限公司(简称“链家网”)。
据了解,链家网员工韩某利用其担任公司数据库管理员,并掌握公司财务系统root权限的便利,登录公司财务系统服务器删除了9TB财务数据及相关应用程序,对链家财务系统业务造成影响,为恢复数据及重新构建财务系统共计花费18万元。因情节严重,该员工最终被判处7年有期徒刑。


01

什么仇什么怨?9TB财务数据一键清空

事情要从2018年2月1日说起。【注:根据中国裁判文书网(2019)京0108刑初398号、2020)京01刑终490号文书整理】

当天,韩某入职链家网,负责财务系统数据库管理。按公司规定,其只能有数据库操作权限,但因管理混乱,入职后便获得了登陆管理系统权限,能够在系统上安装和删除相关应用程序。

据链家网数据库管理员张某描述,2018年5月韩某在财务线工作的部门被划到了信息线,几天后又被转到了技术线工作。链家网职业道德建设中心总监周某在证言中提到,韩某对组织调整有意见,觉得自己不受重视,调整之后消极怠工,经常迟到早退,也有旷工现象。

2018年7月12日,链家网到公安机关报案称,公司技术保障部杨某发现,公司财务系统服务器应用程序出现故障无法登录,就派技术人员到机房进行检查,发现财务系统服务器(EBS系统)应用程序及9TB的数据被恶意删除。

值得一提的是,当天正是链家网财务月结的关键时期,如果EBS系统不可用将直接导致当月无法月结,如财务系统数据被删除无法恢复将危及公司的正常运营,将令公司蒙受损失和风险。此后,链家公司紧急恢复数据及重新构建财务系统,共计花费人民币18万元。

经过一系列监控调取、证据搜集、司法鉴定后,现有证据足以证实韩某实施了删除链家公司财务系统服务器程序数据9TB的行为。2018年7月31日,韩某被公安机关抓获归案。

02

删库容易,跑路难


北京市海淀区人民法院认为,被告人韩某违反国家规定,对计算机信息系统中存储的数据和应用程序进行删除,造成计算机信息系统不能正常运行,后果特别严重,其行为已构成破坏计算机信息系统罪,依法应予惩处。

在一审判决中,依照《中华人民共和国刑法》第二百八十六条第一款、第二款之规定,判决韩某犯破坏计算机信息系统罪,判处有期徒刑七年。2020年12月29日,北京市一中院二审维持原判。

删库一时爽,事后反思超悲凉。依据我国相关法律,“删库跑路”相关事件对技术人员来说,不仅面临锒铛入狱,还有可能将来失去饭碗。

《刑法》第二百八十六条【破坏计算机信息系统罪】规定:
违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。 违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
除去入狱、巨额罚款之外,新修订的刑法还规定“职业禁止”,针对犯罪行为人利用职务所从事犯罪,可以附加判决的惩罚措施,如程序员开发恶意软件、利用黑客技术干扰、破坏网络安全、泄露公司商业机密等等,可以判决其几年禁止从事相关行业。

近年来,《数据安全法(草案)》、《个人信息保护法(草案)》正处于广泛征求意见阶段,《信息安全技术 电信领域大数据安全防护实现指南(征求意见稿)》、《电信和互联网行业数据安全标准体系建设指南(征求意见稿)》等垂直细分行业规范的征求意见稿也均已出炉、静待发布。这些法律、指南,将进一步健全数据安全管理制度,让整个行业良性发展迎来曙光。

03

数据丢失,企业不能承受之痛

财务系统宕机,公司运营突遭影响,数据恢复蒙受资金损失……链家网的“无妄之灾”,引人深思。为何数据库删除操作没有审核流程?为何数据库管理人员和操作系统管理人员没有权限分离?为何应急处置艰难(大规模、重要级数据容灾机制缺失)?

诸如“删库跑路”“数据泄露”等相关事件背后,揭露出的是内部威胁已经成为数据安全防护机制中的薄弱环节。据美国Verizon 2020年《数据泄露调查报告》统计,70%的数据泄漏是由于拥有数据访问权限的内部人员窃取、滥用造成的。

对于内部威胁与风险,数据安全保护又将何去何从?

企业的有序发展,离不开一个健全的数据安全内部控制体系。它贯穿于企业经营活动的各个方面,渗透于企业各个阶层和各职能部门。企业需要从制度安全、管理安全、技术安全、人员安全等着手,防止数据被破坏、被泄露、被篡改、被非法访问。其中,数据安全内控管理作为重中之重,需要包含数据分类分级、账号与权限管理、数据安全评估等方面。

数据分类分级为精细化安全管控提供依据。企业需逐步建立数据保护清单,依据数据重要性和敏感程度,以及发生数据安全事件后可能造成的危害,稳步实施数据资源清单式管理。针对大数据分析和挖掘等方式得到的衍生数据,需列入数据保护清单一并进行保护。可结合内部数据类型特点、业务运营需求等,明确数据分类分级策略,明确关键数据保护范围,细化实施细则,实施数据分级管理及差异化安全技术管控。

账号与权限管理保障对敏感数据按既定策略访问。企业在数据安全管理中,要加强账号权限管理,各系统及业务的主管部门需遵循“权限明确、职责分离、最小特权”的原则明确岗位角色和权限的匹配规则,建立所管辖系统的账号权限申请审批流程,指定专人作为管理员,按照权限最小化原则、依据人员岗位角色进行账号授权。针对账号与权限管理,可采取如下具体措施:
(1)严格限制系统超级账号的授权。前台操作角色与后台操作角色职责分离。账号权限管理操作角色与具有业务操作权限的角色职责分离。
(2)定期组织系统账号使用情况的审核,确认系统中用户身份的有效性、账号创建的合法性、权限的合理性,对离职人员账号及时停止授权,对存在的问题提出整改要求。
(3)严格控制涉及敏感信息操作人员(简称涉敏人员)的范围,建立涉敏人员名单库,将所有涉敏人员进行集中化管理。
(4)对涉敏人员库进行严格管控和动态维护,对发生离职、岗位变化等人员的权限进行及时调整,停止涉敏相关授权。

数据安全评估是定位数据安全能力短板的有效手段。企业应按照相关部门及标准规范要求,定期(至少每年开展一次)及在数据安全管理环境发生重大变更时,对数据安全管理情况开展合规性评估。可采取如下具体措施:

(1)定期开展数据评估,评估情况包括:

  • 数据安全相关法律法规发生变化时;

  • 涉及个人信息等关键数据的新业务上线前;

  • 向合作方提供个人信息等关键数据前;

  • 因业务终止等涉及数据的承接、转移及销毁时;

  • 其他数据安全管理环境重大变更的情况。


(2)编制细化数据安全评估要点,从机构人员、基本制度、技术能力、重点环节等方面进行评估,评估内容需覆盖数据安全风险情况、数据收集使用合规情况、数据安全保障措施完善程度、合作方数据安全保护水平等。

(3)对评估结果进行总结,生成评估报告并向上级单位报备,对发现的问题及时进行整改,防范数据泄露风险。

数据不翼而飞,是企业不能承受之痛。删库事件的发生对系统运行的安全保障敲响了警钟,相关企业应对照事件反映出的可能存在的问题,重新审视系统部署,不断提升数据安全防护能力,加强企业内控建设,让“删库”事件的悲剧不再上演。

- END-

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存