2017年瑞典发生了一起触及国家安全的重大泄密事件,影响之大让整个国家都为之震动。事件的起因说出来却非常简单——IT系统外包。瑞典交通署为了方便系统维护,把整个核心数据库的管理工作外包给了外部技术人员,其中包括来自波兰、捷克、罗马尼亚等国家的IT工程师。这些外包人员被赋予了极高的系统访问权限,可以不受限制地访问瑞典全国的交通数据和车辆登记信息系统,而这个系统里存储着数百万公民的个人信息,包括姓名、住址、身份证号、驾驶证信息等。更关键的是,这个系统还同时关联着瑞典军方的车辆登记数据、警察系统、特殊部门的车辆和人员信息,甚至连瑞典情报机构和皇室成员的车牌号码和住址都登记在这个系统里。
外包工程师来自多个国家,其中有几个属于非欧盟国家,瑞典政府对他们到底做了多严格的背景审查,事后披露的情况显示几乎没有审。只是看了下技术简历、通过了一个简单面试,就把访问敏感国家数据库的权限交出去了。这些技术人员可以在瑞典以外的国家远程登录系统,查看和下载任何他们权限范围内的数据。而且系统后台的访问和操作日志非常简陋,谁在什么时间看了什么数据、下载了什么文件,基本上没有有效的记录和追溯能力。等于是敞开大门让人进,连谁会进来、在里面做了什么都不知道。
这起泄密事件的曝光路径也比较戏剧化。瑞典交通署的一名内部员工在发现系统权限异常后试图向领导反映问题,但领导没有重视。这名员工后来向媒体匿名爆料,瑞典主流报纸经过调查后发表了长篇报道,把整个外包泄密的事实公之于众。报道一出,全国哗然。瑞典首相斯特凡·勒文公开承认这是一场全国性的安全灾难,并将此称为"瑞典历史上严重的情报泄露事件之一"。这件事在政坛引发了连锁反应——多名内阁部长因为处理不当而辞职,交通署的署长被解职,整个IT外包安全管理制度被推倒重来。
从泄密路径看,这起事件的本质不是单一环节的失误,而是整套管理体系的崩塌。第一关就是对外包人员的背景审查形同虚设。把国家数据库的管理权开放给多国外包团队,却不做系统的安全调查,这在任何一个对国家安全有基本认知的国家都是不可想象的。第二关是权限分配的粗放,外包人员使用的并不是"最小权限"的管理模式,而是直接获得了极高权限的超级管理员账号,可以绕过大多数访问控制和审计。第三关是缺少有效的事中监控和事后追溯——系统没有部署必要的行为审计机制,数据被访问了、被下载了、被传到哪里去了,一切都在黑箱中运行。从人员管理到权限管理到审计管理,每一个环节的门都是敞开的。
这起事件的警示意义极其深刻。政府数据外包在全世界范围内越来越普遍,但外包不意味着政府可以放弃对数据的管辖和安全责任。核心数据一旦交给外包方管理,政府的监管能力就会受到直接影响。尤其当外包方来自多个不同国家时,数据的流向和可能面临的法律管辖就更加复杂。瑞典的教训告诉我们,在决定是否将关键信息系统外包之前,必须经过严格的风险评估和多方利益权衡。如果必须外包,就必须在合同中以强制条款的形式明确服务商的数据保护义务、数据驻留位置、审计权限和违约赔偿责任。而且政府自身也必须保留对系统关键环节的控制力和独立审计能力,不能把所有安全管理责任全盘托付给外部机构。信息安全领域的常识有一条:你无法外包责任。你可以把技术活儿包出去,但保护公民个人信息和国家安全的责任,从始至终都是你自己的。
