信息安全下的电商“钱”程
原标题:信息安全下的电商“钱”程
近些天来,接踵而至的消费者信息安全漏洞成为全社会关注的话题,特别是携程闹出“信用卡门”事件后,又来了一个多数电商企业都无法“免疫”的“心脏流血”事件,一时间,旅游领域的OTA(在线旅行社)企业大多风声鹤唳,神色凝重。
“回避并不能让消费者放心,OTA企业要确实承担起消费信息的安全责任和义务。”沪上有学者一针见血地指出。
●事件
“老猫烧须”
携程无疑是我国最大的在线旅游企业,去年营收额超过700亿元,这家既无飞机又无酒店的“轻质旅游企业”,将很快挤进世界五百强企业的阵营,却突然被人揪出“存储”了客户信用卡CVV(信用卡用于网上或电话交易的安全码)密码的“痛脚”,在世人面前暴露出企业在客户信息安全管理上的漏洞。
事实上,这起“乌云事件”给客户带来的风险并不大。据携程方面表示,媒体曝光后,携程在2小时内就完成了补救,在查出93个客户被不必要保留了信用卡授权密码后,立即删除相关信息,并承诺若发生涉事客户损失问题,携程将负起全责。
但是,这起被外界视为“老猫烧须”的偶然事件,让拥有先进技术管理团队的携程吃惊不小,也让携程付出了代价。据媒体报道,一些携程信用卡客户获悉后纷纷给银行打电话,不是要求换卡,就是改密码。上海一家大型跨国企业的差旅经理日前也在论坛上公开要求“携程应该向全国人民道歉”。而且,当时携程的股价也出现了波动。
一名携程管理层讲述了他的苦涩故事:他到携程后,一位在东北的小学同学不知道携程是干吗的,以为他在一个“鞋城”工作;这次信用卡事件发生后,竟然千里迢迢来电打探“内部消息”——在携程上买机票是否安全?“这次,他总算闹明白携程是卖机票订酒店的。”他苦笑道。
●技术
矛与盾
接受记者采访的业内人士大多认为,信息安全技术漏洞并不可怕,是矛与盾的动态关系。“一个矛出来后,一定会有盾的出现,关键是企业对客户信息安全的态度。”上海杉达学院副校长薛兴国如此认为。
薛兴国长期研究旅行社管理,并承担过线上旅行社管理体系科研项目。在他看来,作为线上企业,受到科学认识和技术手段的限制,不可能把防火墙打造得天衣无缝,无懈可击,只能及时发现、及时补救,就像微软那样的大企业,也不得不随时发布“补丁”程序。“就信息安全来讲,永远是相对安全,没有绝对安全。但目前出现的问题是企业员工对安全制度的执行力的问题,实际上也是在信息安全方面的管理能力。”这位学者从管理学角度点出了问题所在。
在他看来,比携程信用卡漏洞更恶劣的是,一些可以接触客户信息的不良分子,拿着企业内部信息去“卖钱”,给消费者带来无穷烦恼。
上海一位高校负责人近日在微信上“晒”苦恼:不知谁把他的微信号“出卖”了,导致每天有人向他发来微信,诉说有如何病困,望他能解囊相助,让他不胜其烦。
让这种“缺德”事情相形见绌的是专事漏洞交易的“黑客”,在偷取有价值的信息转手倒卖盈利,这种情况更让人不寒而栗。
尽管国家现在开始打击这些信息“大盗”,但据知情者透露,市场上存在着黑市交易。“把有价值信息卖上两遍后,才告诉你网站存在某某漏洞,这是不能公开讲的秘密。”沪上一家知名IT企业的技术高管告诉记者。
因此,在技术上如何防范信息窃取和建立被窃信息追踪系统,打造另一个防护之盾,是技术界与负责公共信息安全管理部门需要面对的新课题。
●管理
OTA的“命门”
现在,信息技术的发展给人们带来了便利,但也让人感到似已进入没有隐私的时代。一位企业负责人对记者感慨,现在再机密的企业内部信息,在信息工程师面前根本无密可保:“企业在他们面前,就像一个躺在手术室里的裸身患者。所以,我们要寻找的是负责任的IT公司和诚信可靠的IT工程师。”
那如何来确保机密信息不外泄呢?承担国家旅游团队信息统计系统建设的上海金棕榈机构在实践中摸索出自己一套管理办法。
“我们企业内部实行了ISO20000和ISO27001的双重信息安全认证制度外,还按公安部要求参加了信息安全等级保护评定,给每个可能泄露机密信息的环节加上几把安全锁,杜绝人为的可能疏失和漏洞。”金棕榈首席信息官欣欢告诉记者。
据悉,携程也已亡羊补牢,严格执行符合金融监管机构要求的数据安全标准,并着手申请相关认定。
在锦江电商公司CEO包磊看来,再好的制度,还在于执行力和自动纠错机制。他对记者说:他不相信携程没有相应的涉密技术操作规程,但问题是有人为疏忽后,是否有机制能够及时发现并作出反应,防止企业内部问题外部化,酿成用户的信任危机。
现在不少线上企业为争夺市场发起残酷的“价格战”,斗得头破血流。事实上,消费者的信息安全,才是OTA的“命门”。若相关企业对此不予高度重视,也许一个致命的疏失,就会断送企业的大好“钱”程。