近日,攜程“漏洞門”再度將信息安全問(wèn)題推向風(fēng)口浪尖。25日,中國(guó)酒店科技聯(lián)盟及上海市信息安全行業(yè)協(xié)會(huì)聯(lián)合發(fā)起“中國(guó)酒店信息安全倡議書”,呼吁業(yè)界以及社會(huì)共同維護(hù)信息安全。在業(yè)內(nèi)人士看來(lái),若未引起足夠重視,信息安全漏洞將成為服務(wù)業(yè)及消費(fèi)領(lǐng)域的“三聚氰胺”。而維護(hù)信息安全,更需要企業(yè)、行業(yè)、社會(huì)的協(xié)同配合。
信息安全漏洞代價(jià)幾何?
近日,攜程網(wǎng)“漏洞門”再度將信息安全問(wèn)題推向輿論的風(fēng)口浪尖。烏云(WooYun)漏洞平臺(tái)發(fā)布消息稱攜程將用于處理用戶支付的服務(wù)接口開(kāi)啟了調(diào)試功能,使部分向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接存在本地服務(wù)器,有可能被黑客所讀取。隨后攜程公告,漏洞共涉及93名存在潛在風(fēng)險(xiǎn)的攜程用戶。攜程旅行網(wǎng)給予這93名用戶每人500元任我行禮品卡作為補(bǔ)償。
但無(wú)論是業(yè)界還是消費(fèi)者,對(duì)此都繃緊了一根弦:信息安全的代價(jià),遠(yuǎn)遠(yuǎn)不止于這些禮品卡。如果沒(méi)有引起足夠的重視,信息安全漏洞很可能成為服務(wù)業(yè)及消費(fèi)領(lǐng)域的“三聚氰胺”。
實(shí)際上,以旅游、酒店為代表的社會(huì)服務(wù)行業(yè)已經(jīng)出現(xiàn)不止一次信息安全危機(jī)。2013年,國(guó)內(nèi)曝出2000萬(wàn)條用戶開(kāi)房數(shù)據(jù)遭泄露事件,一時(shí)間引起了社會(huì)廣泛的關(guān)注。
“在交易環(huán)節(jié)通過(guò)短信驗(yàn)證等方式,確定消費(fèi)者支付的自愿性和安全,還是可以避免消費(fèi)者財(cái)產(chǎn)上的損失。”上海恒順國(guó)際旅行社有限公司總經(jīng)理丁偉杰表示,但對(duì)于個(gè)人信息資料,現(xiàn)在還很難說(shuō)100%的安全。
“對(duì)于企業(yè)來(lái)說(shuō),信息安全漏洞的損失是可以量化的。”金陵酒店管理集團(tuán)副總裁楊永彪介紹,根據(jù)美國(guó)計(jì)算機(jī)安全協(xié)會(huì)2012年統(tǒng)計(jì),丟失20MB的市場(chǎng)營(yíng)銷、財(cái)務(wù)以及工程數(shù)據(jù)將分別直接造成1.7萬(wàn)、1.9萬(wàn)、9.8萬(wàn)元的經(jīng)濟(jì)損失。
中國(guó)酒店科技聯(lián)盟首席運(yùn)營(yíng)官、錦江國(guó)際酒店管理有限公司SVP張興國(guó)坦言:“盡管消費(fèi)者的個(gè)人信息究竟值多少錢很難量化,但消費(fèi)者的信心實(shí)際上是非常脆弱的,一旦發(fā)現(xiàn)某一個(gè)平臺(tái)有這樣的漏洞,消費(fèi)者會(huì)擔(dān)憂是不是在其他的企業(yè)也會(huì)遇到類似的問(wèn)題。盡管目前信息安全還沒(méi)有嚴(yán)重到顛覆整個(gè)服務(wù)業(yè),但顯然維護(hù)信息安全已經(jīng)刻不容緩。”
用戶體驗(yàn)與信息安全孰輕孰重?
萬(wàn)豪國(guó)際酒店管理集團(tuán)亞太區(qū)信息資源副總裁Martin Bookallil介紹,酒店業(yè)乃至服務(wù)業(yè)用于IT的經(jīng)費(fèi),實(shí)際上非常有限。這往往是因?yàn)榧訌?qiáng)信息安全保障,并不能直觀地兌現(xiàn)企業(yè)營(yíng)業(yè)收入或者利潤(rùn)的增加,因此,加大信息安全投入往往都是被動(dòng)行為。
中國(guó)酒店科技聯(lián)盟主席朱靜介紹,縱觀國(guó)內(nèi)酒店業(yè)乃至服務(wù)業(yè),盡管經(jīng)過(guò)多年的發(fā)展不少企業(yè)已經(jīng)開(kāi)始具備國(guó)際化思維,對(duì)信息安全更為重視;經(jīng)中國(guó)酒店科技聯(lián)盟對(duì)100多家會(huì)員酒店CIO或IT總監(jiān)的調(diào)查,中國(guó)酒店業(yè)信息安全狀態(tài)總體是可以信任的。但實(shí)際上,很少有企業(yè)能夠100%保證自己的信息安全維護(hù)是完美無(wú)缺的。
“隨著消費(fèi)者對(duì)旅行服務(wù)的多種訴求催生了服務(wù)集成商的產(chǎn)生,這些集成商包含預(yù)訂、搜索、媒體的開(kāi)放式平臺(tái),這就造成渠道、資源和流量復(fù)雜入口與信息接觸點(diǎn)。”朱靜介紹,這也使得非法的網(wǎng)絡(luò)攻擊行為和黑客技術(shù)也趨于頻繁和更具攻擊性和逐利性。
上海市經(jīng)濟(jì)與信息化委員會(huì)信息安全處副處長(zhǎng)劉山泉介紹,酒店業(yè)乃至服務(wù)業(yè)面臨同業(yè)化競(jìng)爭(zhēng)嚴(yán)重、行業(yè)洗牌加劇等問(wèn)題,因此,拓展移動(dòng)互聯(lián)網(wǎng)運(yùn)用是提升服務(wù)的必經(jīng)之路。
誰(shuí)能為信息安全盡數(shù)埋單?
安言咨詢總經(jīng)理張耀疆表示:“現(xiàn)在,信息安全更多地涉及數(shù)據(jù)、信息、業(yè)務(wù),影響范圍已經(jīng)可以覆蓋整個(gè)社會(huì),要解決的問(wèn)題也從單純的技術(shù)問(wèn)題上升到了涉及立法執(zhí)法、經(jīng)濟(jì)秩序、國(guó)家安全、倫理道德等多個(gè)方面。”
中國(guó)酒店科技聯(lián)盟倡議,酒店行業(yè)應(yīng)盡快對(duì)自己的系統(tǒng)安全進(jìn)行一次全面的安全審計(jì),并建立起長(zhǎng)效的第三方安全審計(jì)制度。要按照國(guó)家的信息安全標(biāo)準(zhǔn),排摸出存在的隱患,對(duì)信息系統(tǒng)的安全設(shè)施和軟件增加投入,也要建立和完善切實(shí)可行的內(nèi)部安控流程,既防外部攻擊也要防止內(nèi)部泄露。
上海泛洋律師事務(wù)所高級(jí)合伙人劉春泉表示,我國(guó)在個(gè)人信息保護(hù)方面尚無(wú)專門法律,但已有《侵權(quán)責(zé)任法》《居民身份證法》等多部法律、法規(guī)涉及其中內(nèi)容。但這些立法存在缺陷,對(duì)于侵權(quán)企業(yè)缺乏嚴(yán)格約束。
張耀疆指出,實(shí)際上現(xiàn)在涉及個(gè)人信息安全的維權(quán),往往都是消費(fèi)者自發(fā)的,有碰撞性和隨機(jī)性,使得消費(fèi)者的維權(quán)成本高企。業(yè)界呼吁,應(yīng)推動(dòng)個(gè)人信息安全立法,并建立企業(yè)對(duì)持有和使用個(gè)人信息合法性的合理謹(jǐn)慎審查義務(wù)。