2017年,瑞典交通署发生了一起震惊欧洲的数据泄露事件。这起事件之所以引人注目,不仅因为泄露的规模,更因为泄露的方式——不是黑客攻破了系统,而是管理者自己把门打
2017年,瑞典交通署发生了一起震惊欧洲的数据泄露事件。这起事件之所以引人注目,不仅因为泄露的规模,更因为泄露的方式——不是黑客攻破了系统,而是管理者自己把门打开了。 当时瑞典交通署决定将IT运维外包给国际商业机器公司(IBM)和另一家服务商。按照合同约定,外包商需要安排技术人员接触瑞典交通署的核心数据库,这些数据库中包含了瑞典全国的车辆登记信息、驾照数据,甚至涉及警方和军方的敏感信息。
问题出在,外包商安排的技术人员中,有部分来自波兰和捷克等国家,这些人没有经过瑞典安全部门的审查就被授予了访问权限。 这个决策的后果是灾难性的。没有经过安全审查的外包技术人员,可以自由访问瑞典的国家核心数据库。当事件被媒体曝光后,瑞典首相斯特凡·勒文公开称这是一场灾难。两位内阁部长——内政部长安德斯·于格曼和基础设施部长安娜·约翰松——先后辞职。
瑞典国家安全部门展开了全面调查。 从商业秘密和信息安全的角度看,这个案例揭示了一个被很多企业忽视的风险:外包并不等于把安全责任也外包出去了。当企业把IT系统、数据处理、客户服务等业务外包给第三方时,保密责任仍然由委托方承担。外包合同中写了保密条款,不等于外包方的每一位员工都真正理解并遵守了这些条款。
外包合作关系中,任何环节都可能成为安全缺口。 对企业的启示是多方面的。第一,外包商选择不能只看价格和技术能力,安全资质和人员背景必须作为同等重要的评估维度。第二,外包合同中需要详细规定安全要求,包括人员背景审查的层级和频率、数据访问权限的最小必要原则、安全事件的通知和报告机制。第三,企业需要建立对外包商人员的管理制度,不只是在入场时做一次审查,而是持续监控和定期复查。
第四,核心数据应当实施分级管理,对外包人员只开放完成工作所必需的最小范围数据。 瑞典外包泄露案的教训不是针对瑞典的,而是针对所有依赖外包服务的企业和政府机构的。在数字化转型加速的背景下,企业的数据流转链越来越长、涉及的合作方越来越多,每一次对外委托都可能是一个潜在的泄密缺口。把保密要求写进合同只是第一步,确保每一个接触数据的人都经过审查和培训,才是真正的安全。
北京企密安信息安全技术有限公司为企业提供供应商安全评估和信息安全管理制度建设服务或010-87562232。 如何建立有效的供应商安全管理体系?企业可以从以下几个维度入手。首先是准入评估,在与任何外包商合作之前,需要对其安全资质、人员管理能力、历史安全记录进行系统评估。
其次是合同约束,在保密协议中明确数据访问范围、使用限制、人员背景审查要求和安全事件报告机制。第三是持续监控,对外包人员在项目期间的操作行为进行必要的日志记录和定期审计。第四是退出管理,合作结束后确保外包人员的数据访问权限被及时撤销,外包方持有的企业数据被完整归还或销毁。 这些措施看似增加了管理成本,但和一次重大数据泄露带来的损失相比——包括直接经济损失、客户信任损失、监管处罚和法律赔偿——预防性投入的性价比要高得多。
瑞典交通署外包泄露案已经证明,在外包安全管理上省下的每一分钱,最终都可能以更大的代价还回来。 对于正在考虑将IT系统、数据处理或客户服务外包的企业,建议在签订外包合同之前,先建立起一套完整的供应商安全管理制度。这不是可选项,而是在数字化转型时代必须筑牢的安全底线。
