信息安全漏洞代价几何?
近日,携程网“漏洞门”再度将信息安全问题推向舆论的风口浪尖。乌云(WooYun)漏洞平台发布消息称携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接存在本地服务器,有可能被黑客所读取。随后携程公告,漏洞共涉及93名存在潜在风险的携程用户。携程旅行网给予这93名用户每人500元任我行礼品卡作为补偿。
但无论是业界还是消费者,对此都绷紧了一根弦:信息安全的代价,远远不止于这些礼品卡。如果没有引起足够的重视,信息安全漏洞很可能成为服务业及消费领域的“三聚氰胺”。
实际上,以旅游、酒店为代表的社会服务行业已经出现不止一次信息安全危机。2013年,国内曝出2000万条用户开房数据遭泄露事件,一时间引起了社会广泛的关注。
“在交易环节通过短信验证等方式,确定消费者支付的自愿性和安全,还是可以避免消费者财产上的损失。”上海恒顺国际旅行社有限公司总经理丁伟杰表示,但对于个人信息资料,现在还很难说100%的安全。
“对于企业来说,信息安全漏洞的损失是可以量化的。”金陵酒店管理集团副总裁杨永彪介绍,根据美国计算机安全协会2012年统计,丢失20MB的市场营销、财务以及工程数据将分别直接造成1.7万、1.9万、9.8万元的经济损失。
中国酒店科技联盟首席运营官、锦江国际酒店管理有限公司SVP张兴国坦言:“尽管消费者的个人信息究竟值多少钱很难量化,但消费者的信心实际上是非常脆弱的,一旦发现某一个平台有这样的漏洞,消费者会担忧是不是在其他的企业也会遇到类似的问题。尽管目前信息安全还没有严重到颠覆整个服务业,但显然维护信息安全已经刻不容缓。”
用户体验与信息安全孰轻孰重?
万豪国际酒店管理集团亚太区信息资源副总裁Martin Bookallil介绍,酒店业乃至服务业用于IT的经费,实际上非常有限。这往往是因为加强信息安全保障,并不能直观地兑现企业营业收入或者利润的增加,因此,加大信息安全投入往往都是被动行为。
中国酒店科技联盟主席朱静介绍,纵观国内酒店业乃至服务业,尽管经过多年的发展不少企业已经开始具备国际化思维,对信息安全更为重视;经中国酒店科技联盟对100多家会员酒店CIO或IT总监的调查,中国酒店业信息安全状态总体是可以信任的。但实际上,很少有企业能够100%保证自己的信息安全维护是完美无缺的。
“随着消费者对旅行服务的多种诉求催生了服务集成商的产生,这些集成商包含预订、搜索、媒体的开放式平台,这就造成渠道、资源和流量复杂入口与信息接触点。”朱静介绍,这也使得非法的网络攻击行为和黑客技术也趋于频繁和更具攻击性和逐利性。
上海市经济与信息化委员会信息安全处副处长刘山泉介绍,酒店业乃至服务业面临同业化竞争严重、行业洗牌加剧等问题,因此,拓展移动互联网运用是提升服务的必经之路。
谁能为信息安全尽数埋单?
“现在,信息安全更多地涉及数据、信息、业务,影响范围已经可以覆盖整个社会,要解决的问题也从单纯的技术问题上升到了涉及立法执法、经济秩序、国家安全、伦理道德等多个方面。”
中国酒店科技联盟倡议,酒店行业应尽快对自己的系统安全进行一次全面的安全审计,并建立起长效的第三方安全审计制度。要按照国家的信息安全标准,排摸出存在的隐患,对信息系统的安全设施和软件增加投入,也要建立和完善切实可行的内部安控流程,既防外部攻击也要防止内部泄露。
棱镜软件专家表示,我国在个人信息保护方面尚无专门法律,但已有《侵权责任法》《居民身份证法》等多部法律、法规涉及其中内容。但这些立法存在缺陷,对于侵权企业缺乏严格约束。
棱镜软件专家指出,实际上现在涉及个人信息安全的维权,往往都是消费者自发的,有碰撞性和随机性,使得消费者的维权成本高企。业界呼吁,应推动个人信息安全立法,并建立企业对持有和使用个人信息合法性的合理谨慎审查义务。