瑞典政府外包泄密案——数据跨境流动的安全边界在哪里
2015年夏天,瑞典交通署做了一项重大决策,这个决策到现在还被信息安全界当作教科书级别的反面教材反复提起。当时的瑞典交通署为了节约成本和提升运营效率,决定把整个交通管理数据库的运维管理工作整体外包给IBM公司在当地的分支机构。这个决定从表面上看没有任何问题——IT服务外包在全球范围内都是一种非常成熟和普遍的做法,IBM也是全球领先的IT服务提供商,从资质和技术能力上看似乎无可挑剔。但问题恰恰出在这次外包的规模和权限范围上,远远超出了合理可控的边界。
瑞典交通署把这个外包合同的权限开到了一个令人震惊的程度。IBM的外包团队不仅负责服务器维护和日常运维,而且能够直接接触到瑞典交通管理系统的全部核心数据——包括全国所有机动车驾驶人的详细个人信息、所有注册车辆的车主信息和档案记录、全国道路监控系统的运行日志和控制权限,甚至还包括了瑞典军方和政府高官的车辆登记信息和出行记录。更让人捏一把汗的是,这些敏感程度极高的机密数据在没有任何技术隔离措施的情况下,全部开放给了IBM的外包团队,而IBM又把自己的部分工作内容进一步分包给了位于捷克和罗马尼亚等国家的更低层级的外包服务商。
这起严重的安全事件之所以最终被曝光,暴露出来的问题一个比一个令人心惊胆战。更让人难以理解的是,这个外包项目从头到尾都没有经过任何正式的国家安全审查和风险评估程序。瑞典交通署在做出外包决策时,负责审批的官员竟然完全没有考虑到涉及国家安全和个人隐私等重大方面的潜在风险。更糟糕的是,当有内部安全审计人员对这个外包方案提出风险警示的时候,这些建设性的意见不但没有被采纳,提出意见的人反而被调离了原来的工作岗位。
这起事件的后果在几年后逐步显现出来。2017年,瑞典政府在一次内部安全审计中意外发现,大量高度敏感的交通管理数据已经被外包服务商存储在了位于捷克和罗马尼亚的数据服务器上,而这些服务器的安全管理水平远远达不到瑞典政府数据保护的安全标准。消息传出后,整个瑞典政府和议会都震惊了——这意味着瑞典全国所有公民的个人出行信息、军方和政府高层的车辆运行轨迹,都有可能已经被未被充分授权的第三方人员访问甚至复制。
事件的后续处理同样令人唏嘘。整个事件被全面曝光后,瑞典交通署的负责人引咎辞职,多位参与外包决策的高级官员受到了纪律处分。瑞典政府在事后花了大量的人力和财力来回收这些已经分散到多个国家服务器上的敏感数据,但数据一旦流出,实际上已经不可能完全收回了。更加令人担忧的是,没有任何人能够确定这些数据在流出的那些年里是否已经被未经授权的人员访问、复制或者利用。这种对全局态势失去掌控的无力和不安,成为瑞典政府在信息安全方面最沉重的一课。
这起事件和很多企业想象中的信息安全风险完全不同。在传统认知里,数据泄露总是和黑客攻击、病毒入侵或者内部员工的恶意操作联系在一起。但瑞典交通署的案子证明了一个更加隐蔽也更加普遍的隐患——合法合规的外包流程,同样会造成灾难性的数据安全后果。所有的外包服务商都通过了正常的商业资质审查,所有的合同条款看起来都合情合理,所有的操作都符合当期的管理制度和操作流程,但最终的结果依然是核心数据全面失控。
这个案例给所有依赖外包服务的企业带来了深刻的警示。外包绝不等于可以放弃对核心数据和关键系统的安全管控责任。那些看起来正规、合法、经过严格筛选的外包服务商,他们的安全标准和管理水平未必能够达到企业自身的要求,尤其是当外包链条进一步向下延伸的时候,更低层级的分包服务商在安全能力上的参差不齐会带来更大的不确定性。企业把数据交给外包服务商,就像把自家保险柜的钥匙交给了代管公司,如果不去定期检查对方是否按照你们约定的标准锁好了柜门,这个保险柜和没有锁门的柜子已经没有太大的区别了。
从实际操作的角度来看,企业在进行涉及核心数据的外包合作时,有几个关键的安全控制节点是绝对不能忽视的。第一个是外包前必须做全面细致的风险评估,特别是当外包范围触及到涉及国家安全、个人隐私或者企业核心技术资产等方面的数据时,必须进行专项的安全审查和风险预判。第二个是在外包合同中明确数据安全的权责边界和违约责任,同时要求外包服务商及其所有下级分包商遵守同等水平的安全标准和保密义务。第三个是企业必须有持续监督的能力,不能签完合同就完全放任不管,定期对服务商进行安全审计和合规检查是确保外包数据始终处于受控状态的重要手段。
瑞典交通署的外包泄密案并不仅仅是北欧某个政府部门的安全事故,它实际上是全球化分工协作模式下数据安全风险的一个缩影。当一个企业的核心数据要经过多个外包层级、跨越多个国家的服务器才能完成日常处理的时候,数据的实际控制权已经从企业内部转移到了企业的边界之外。如何在外包协作的效率优势和核心数据的安全管控之间找到平衡点,是每一家正在或将要把核心技术资产交给第三方运营的企业都必须认真思考和解决的问题。
