浅谈滴滴被查事件:能力越大责任越大数据安全是企业最重责任

2022-06-19 23:34:51作者:火狐体育登录 来源:火狐体育登录

  这两天,关于“滴滴出行”被安全审查一事受到社会极大关注,各方仍在争论中,具体事情真相仍待最终审查结果,针对此事,我简单从数据安全角度浅谈一二。第一、能力越大,责任越大。

  今天,滴滴已经成为国内最大的网约车平台,按照滴滴老大程维公开的数据,滴滴平台连接了超过3100万台车辆、5.5亿用户和千万司机。这样的数据规模足以让其成为“国民级”应用。而从网络安全审查办公室对「滴滴出行」启动网络安全审查来看,国家已经把滴滴认定为“关键信息基础设施运营者”。

  什么是“关键信息基础设施”呢?有一个官方的定义:面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统或工业控制系统。

  过去提起“关键信息基础设施”我们第一反应是想到中国移动、中国电信这些电信运营商,中国石油、石化这些资源运营商,工商银行、建设银行这些金融运营商,中国高铁、中国国航这些交通运营商,这些是国家最重要的信息基础设施的运营者,但我们都没想到,「滴滴出行」也已经悄悄成长成为“关键信息基础设施运营者”。

  恐怕「滴滴出行」自身也对“关键信息基础设施运营者”这个身份感到陌生,我翻了翻它最新的招股书,全篇未曾提到过这个词,滴滴仍然把自己视作为一家普通的市场运营企业,只是规模大了点。

  而这,正是导致这一事件的根源!滴滴没有摆正自己的位置,自然也就谈不上承担该有的责任。

  能力越大,责任越大。滴滴已经成为了国内能力最大的公共交通服务平台,成为了国家级的关键信息基础设施,就必须承担起其该承担的责任,而其中最大的责任就是安全责任!这些系统一旦发生网络安全事故,会影响社会行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。

  习在2016年网络安全和信息化工作座谈会上就曾指出,互联网核心技术是我们最大的“命门”,核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高,如果核心元器件严重依赖外国, 供应链的“命门”掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。第二,数据安全是企业最重的责任。

  按照滴滴招股书的数据,滴滴业务已拓展至15 个国家的近4000 个城市与地区。截止2021 年3 月的一年内,全球年活跃用户数已经达到4.93 亿,年活跃司机数已经达到1500 万,日均交易4100 万次,全球GTV 合计达到3410 亿元。2018年至2021Q1.平台实现司机收入6000 亿元。

  而在中国,截止2021 年3 月31 日,滴滴已经拥有3.77 亿年活跃用户,月平均活跃用户数为1.56 亿;在过去的12 个月中,日活跃用户数共计1300 万。提供的服务包括网约车服务、出租车服务、拼车服务、代驾服务以及顺风车服务等多种类型的服务。

  比如客户数据,滴滴手上有超过5亿注册用户的注册信息,有超过3亿活跃用户的行程、订单、支付、及活跃区域信息,甚至还有车内录音的大数据,在这些信息背后,通过大数据技术,完全可以还原出一个完整的、精细到肌理的中国。

  再谈道路数据,每天中国的大小城市上跑着上千万的接入滴滴平台的汽车,这些车辆遍布大街小巷、无孔不入,加上滴滴自身有地图导航的应用对这些数据进行收集,可以说滴滴对中国交通的了解恐怕早就到了无人能及的地步。

  在拥有数据量级上,能跟滴滴相提并论的恐怕只有微信、以及以中国移动为首的电信运营商了。而无论是微信还是中国移动,其数据都被严格的管控,比如,微信一直遵循着用户数据只保留在用户终端本地,而中国移动手中的数据也被严格限制使用范围,以至于大家戏谑地调戏中国移动为“守着数据金矿,干着要饭的活”。而从滴滴被查一事,我们也可以看到,全社会对于“安全”的认识也在逐步的提升——

  最开始大家只关心“网络安全”——在04、05年前后,当时国内正在推进网络,到处网络大建设,结构就是星形网络,没有任何安全域可言,从业人员基本上都是网络工程师。黑客入侵后,网络工程师承担了安全工程师的角色,并且理所当然的想到黑客是从网络入侵的,那时候所有人安全视角都只盯着网络。

  随后开始关心“业务安全”——到了07、08年以后,黑客开始以“业务作为主要入侵和修改的目标,为了应对这种黑客行为,网络上开始划分安全域,保障业务的安全提上日程,有了专门的安全工程师,但也仅仅是安全产品部署运维。

  后来大家开始关心“数据安全”——十年以后,黑客开始将目标瞄准“数据”,安全工作就从开始的网络入侵转变为数据安全保障,开始有专职的安全咨询顾问,各种安全职位如同雨后春笋一般。

  我们从安全产品演进也可以看出“安全”的发展路线——最开始的时候只有防火墙、IDS、主机防病毒还在收费,其他安全产品尚没有成熟的产品形态。后来有了IPS、终端防护、网络防病毒、流量清洗等系统。现在有数据库审计,各种web防护。

  扯远了,回到滴滴被查事件,具体最终结果要静待相关部门的调查,但恐怕从今天开始,滴滴出行就要想办法落实自身的数据安全保障责任。

  原标题:《浅谈滴滴被查事件:能力越大,责任越大,数据安全是企业最重责任》