企业动态

    每年盗取、滥用个人敏感信息的犯罪事件并不罕见，到底是谁在背后收集这些数据？这些数据又是怎么流出的？12月22日，央视《财经调查》起底非法贩卖个人信息黑色产业链条。专家指出，个人信息泄露的“问题就出在API上，它也被称为应用程序接口，其中与开放、传输数据相关的则被称为数据接口。”

    奇安信数据安全专家认为，数字化转型推动API高速发展，企业要发展就需要通过API对外提供服务，API爆发式增长的同时也导致数据泄露事件频发。对于API的安全防护而言，传统的安全防护设备无法解决API安全的问题，因为从防护的维度和防护的模型均已发生了质的变化。更重要的是，目前大多数用户对于API安全的建设均处于一个盲区，如何梳理清楚API资产，看清API风险、如何进行防护是迫切需要解决的难题。

    停个车数据就泄露了？“罪魁”竟是API

    央视曝光因为API数据接口导致个人信息泄露之后，该话题迅速登上百度等平台的热搜榜。    

    央视《财经调查》调查发现，这几年，市场上一种被称为“智慧停车”的新业态应运而生。它依托于物联网和大数据技术，覆盖各种类型的停车场，大大提升了居民出行的便利度。停车信息包括了车辆进入和离开某个地点的完整闭环，属于《个人信息保护法》规定的敏感个人信息中的行踪轨迹信息。

    《财经调查》记者请专家对北京两个采用了“智慧停车”系统的停车场进行了技术检测。驾驶员将车驶入停车场，远在几公里外的专业技术人员，输入车辆的车牌号后，无需身份验证，轻而易举就获得了车辆所在停车场、车辆入场时间等敏感信息。

    在记者采用同样的方式测试第三个“智慧”停车场时，并没有直接显示出车辆的敏感信息，但经过技术专家的辨别，发现该停车场只是没有在前台显示信息，后台实际上有了应答，返回的数据包里同样有着车辆敏感信息。专家告诉记者，这样的招数只是让消费者无法直接看到。但是，不法分子依然能轻易获取这些敏感的个人信息。

    《财经调查》还披露，2023年，安徽砀山网警破获了一起非法获取计算机信息系统数据，侵犯公民个人信息的案件。犯罪分子的突破口，就是全国数千个智慧停车服务系统中的数据接口漏洞。犯罪分子的聊天群里每天在滚动发布着各种车辆的实时停车信息，包括了车牌号、停车场具体地址、进场时间等等。

    律师指出，案件中犯罪分子的行为涉嫌非法侵入计算机信息系统，或者是非法获取计算机信息系统数据这样的罪名，那么同时也有可能涉嫌侵犯公民个人信息罪。    

    眼下，骚扰电话和各类骚扰信息一直是困扰广大消费者的一个问题。最值得注意的是这些推销对消费者的选择，也异常精准。中国电子技术标准化研究院网安中心的何延哲表示，问题就出在API上，它也被称为应用程序接口，其中与开放、传输数据相关的则被称为数据接口。

    专家告诉记者，眼下消费市场上的网站和应用程序，存在着海量的数据接口。仅一个简单的App应用，平均就拥有成百上千个数据接口，一个小型平台，就可能拥有上万个数据接口。恰恰这些承载着海量数据流转和交互的数据接口正是不法分子眼中的薄弱环节，也逐步成为他们主要攻击的目标。

    API安全关乎海量个人信息，如何筑牢安全防线？

    根据奇安信集团发布的《2023中国政企机构数据安全风险分析报告》（以下简称《报告》显示：API安全是数据安全的重要一环，也是最容易被忽视的薄弱环节，已经成为黑客入侵系统和窃取数据的重要渠道。在对128家大型政企机构的抽样分析发现，平均每家机构约有206个API接口会用来传输敏感数据，约占API接口总数的2.5%。其中，汽车制造业的“潜在”数据安全风险最大，其传输敏感数据的API接口数平均超过900个，传输敏感字段多达332个，这两项指标均是其他行业的3~7倍。    

    同时，汽车制造业API接口传输的个人信息也最多，平均每天涉及1.5万多个自然人，是金融、能源、医疗等行业的30~70倍，可谓“遥遥领先”。《报告》指出：从某种程度上来看，一辆智能网联汽车，就是一个移动的敏感数据发生源，持续不断的通过各种API接口，向服务器传输敏感数据。不仅如此，这些数据还会一刻不停的在各种车联网业务系统中周转和使用。这也使得汽车制造业以及智能网联汽车，都成为了数据安全的高风险地带。

    对于API安全的防护体系，奇安信认为，应该从API安全全生命周期来看，可以将API分为设计、开发、测试、运行、上线、发布、下线等几个流程，这几个流程可以拆分为事前、事中和事后三个阶段。

    在事前阶段，也就是开发设计和测试阶段，可以通过管理体系制定相关的管理制度来对开发进行约束，将API的漏洞风险在开发侧进行闭环；

    在上线运行阶段，需要建立一套完整的技术体系，从资产管理、安全检测、安全分析、安全防护形成一套闭环的监测手段；    

    在API的评估处置以及下线阶段，需要建立完整的运营体系针对API进行常态的运营，针对风险的API以及未知的API进行处置，当遇到API安全风险事件的时候有相关的应急响应手段。

    当前，新技术、新场景层出不穷，包括API安全在内的数据安全合规建设也成为一项非常复杂的系统工程。奇安信数据安全专家认为，数据安全建设应当遵循内生安全原则，从设计规划之初就把数据分类分级、数据防泄露、防勒索、API安全、跨境数据治理等关键问题列入整体规划，确保数据安全工作与数字化建设同步规划、同步建设、同步运行，用系统性的方法解决数字系统的安全问题。

    同时，仅依靠建立制度和管理层面的静态体系是远远不够的。奇安信数据安全专家认为，必须借助技术手段实现覆盖数据全生命周期和业务全流程的安全与合规管控，实现动态以及持续性的实质性合规。其中包括：企业要结合自身的实际情况，定期开展数据安全以及合规风险评估和建设工作，借助技术手段，将数据合规和安全贯穿于数据处理活动的全过程，确保在合法合规的框架下，充分释放数据要素的价值。

    正如央视《财经调查》所指出的，数据接口作为数据流通的桥梁，安全性直接影响到数据安全乃至国家安全。针对当前消费市场上数据接口面临的安全风险，全国网络安全标准化技术委员会正在抓紧制定数据接口安全风险监测方法的国家标准。保护消费者个人信息安全，不仅需要国家相关部门的努力，各大商家、互联网平台和程序开发者也需认真测试自身的数据接口程序，落实自身的信息安全责任，保护消费者的合法权益。