零信任内部风控体系 防范快递“内鬼”泄露信息

2021-04-23|小象 911

央视近日报道,河北邯郸警方破获一起非法窃取个人信息案件。某快递企业多名员工为赚取额外收入,将所在公司的个人账号租给不法分子,不法分子通过非法登录快递企业内部系统获取客户个人信息,又将这些信息转卖给境外诈骗分子实施精准诈骗。

据报道,犯罪嫌疑人吕某以每天租金500元的高价先后租来五个快递公司员工的登录账号,从快递公司系统内窃取公民个人信息,并把窃取来的公民信息打包卖给境外诈骗团伙。

undefined

这是一起很典型的“内鬼”泄露个人信息行为,暴露出快递行业一系列内控风险。

近年来,快递公司泄露信息事件

2020年一项统计显示,全国共有近14万家快递企业,从业人数超过1000万人,2020年全国快递服务企业业务量累计完成833.6亿件。快递业的繁荣,与在线的购物模式密切相关,电商、新零售、直播等一系列新业态让消费者足不出户便可轻松购买到理想的商品。快递企业作为链接商户与消费者的重要渠道,也掌握了大量的用户信息。快递信息包含个人姓名、电话、住址等个人信息,一旦泄露,很容易被不法分子用于电信网络诈骗等违法犯罪行为。

这不是快递行业第一次被曝出内部人泄露信息。

2020年11月,某通速递被曝有5名“内鬼”有偿租借员工账号,导致超过40万条公民个人信息被泄露。这些信息被倒卖团伙打包卖给从事电信网络诈骗的下游犯罪团伙,每条信息单价约为1元。

2018年4月,湖北荆州中级人民法院曾宣判过一起涉及公民信息泄露案件。某快递员非法获取包含顺丰快递单号、面单(即包含顺丰快递单号、地址、电话号码的图片)中公民的个人信息,进行“贩卖”,涉及交易金额达到200多万元。

2018年1月,上海嘉定警方破获一起侵犯公民信息案,一名某快递的快递员收集近万张包含姓名、地址和手机号码的快递底单,以150元的价格卖给一家健身房的推销人员。 

2016年8月26日,一名在湖南某速递公司工作的员工在深圳南山区人民法院受审,被指控侵犯公民个人信息罪,将公司系统的账号密码出售他人获利3.8万元,导致大量个人信息泄露。

2016年8月,南昌市公安局经开分局公布了一起侵犯公民个人信息案,某知名快递公司出现“内鬼”,客户信息2元一条被贱卖,14000余条个人信息被泄漏。这些个人信息包含收发货人的联系方式、地址、是否已扫描等详细内容。

undefined

快递行业频繁泄露用户信息的原因

快递业成为用户个人信息泄露重灾区,除了个别快递员见利忘义,企业管理不善、缺乏有效内控风险手段也是重要原因。

首先,有利可图让“内鬼”铤而走险。由于快递行业竞争激烈,很多快递员、加盟商通过“正行”快递业务获利有限,出售快递单信息能让个别快递从业者收益瞬间翻倍。

其次,缺乏有效的内控手段。虽然保护用户信息的手段不断增加,但是更多面向外部泄露,对于企业内部人员的管控机制和措施比较缺乏,由此导致内部人员很轻松就能够复制、下载、盗取大量隐私信息。

最后,管理不善。如果说出一两个“内鬼”可以归咎于个人见利忘义、职业道德缺失,那么一个行业频出“内鬼”,就显然是企业的管理制度出了问题。因此,快递企业需要制度上有效地防泄露、防窃取、防篡改、防非法使用,用切实可行的制度严防“内鬼”。

管理与内控,保障个人快递信息安全

近年来,监管部门和一些快递企业陆续推出很多保护用户信息的措施。2018年发布的《快递暂行条例》规定,快递企业应妥善保管用户信息等电子数据,定期销毁快递运单。快递企业研发出隐去寄收件人全名、部分电话号码等关键信息的“隐私面单”等。

然而堡垒最容易从内部攻破,如果公司内部系统可以随意登录查询,一览无余,这样做无异于“关前门,开后门”,给“内鬼”里外勾结可趁之机。为了实现对个人信息的保护,快递企业还需要提升内部管理水平,建立一套有效的内部风险风控体系。

制定严格的管理制度,增加违法成本

首先,快递企业需要加强内部人员素质准入考核,增强员工职业荣誉感,强调守土有责是一份郑重的承诺,要勇于肩负主体责任。比如,建立严格的制度,如在劳动合同中与员工约定泄露个人信息的违约责任,对快递企业保护个人信息做出具体要求,包括责任追究等。

其次,快递企业的营业网点(无论是自营还是加盟)要实行日常快递信息的同步规范化管理,赏罚分明,一视同仁。最后,快递企业定期举行隐私保护、法律法规、判罚案例的培训教育,增强人员的法律意识和红线意识,让“内鬼”在进行违法犯罪行为之前就能够意识到其中的违法违规成本,从而震慑此类行为的发生。

根据《刑法》第253条规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》特别强调,“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额”,只要达到规定标准一半以上,就可以认定为“情节严重”,“入罪门槛”明显降低。

建立内部风控体系,用技术防范信息泄密

首先,在内部建设基于人员行为的内部零信任安全风控体系。通过设备制指纹、智能端安全、Dinsight风控引擎等技术,实现查询设备与账号、业务、环境的唯一性准入和实时核验,及时预警、发现并拦截异常、可疑、未授权的操作。并搭建信息的多级管理体系,通过权限的划定,实现对任何涉及到用户信息的录入、查询、调用等行为均可实现记录与追溯。

其次,建立严格内部管理制度。推动数据防窃密、防篡改、防泄露等安全技术的部署,对企业内部系统网络的关键节点做好防护工作。除“隐私面单”等手段外,还可以增加一些其他保护手段。比如,快递完成投递后,寄收件人信息自动加密;除了用户投诉等情况外,一般不得进行查询等等。

最后,构建专属的风险模型。基于顶象关联网络平台、Xintell智能模型平台等人工智能技术,快递企业可以建设内控风险模型,模拟、预测并预警内部可能发生的信息泄露风险或其他业务隐患,以提前应对或消除各类内部风险,将信息泄露扼杀在萌芽状态,进一步保障用户信息安全。

信息安全不仅与每个用户相关,更事关国家安全与经济社会发展,需要快递公司、监管机构、科技企业一起努力,营造一个健康、安全、有保障的信息应用环境。 

400-8786-123
QQ在线咨询
在线咨询