电子邮件 网上办公

邀兵请将  
您现在所在位置: 德衡商法网  >   业务领域  >   互联网与TMT业务中心   >   网络安全专业委员会

陈国彧:从微盟员工“删库跑路”看SaaS企业的数据安全治理

发布日期:2020-02-29

在疫情的影响下,灵活、便捷、开放的“云”办公软件成为越来越多企业的首选。然而信息化程度越高,数据控制和管理公司受到的期待和拷问程度越大。对于SaaS供应商企业而言,数据安全风险难以排除,而以近期微盟“惨痛”的经历为鉴,减小自身出现类似问题的概率则极为必要。本文将以微盟删库事件为切入点,介绍SaaS企业常见的数据漏洞问题,并给出规避安全风险的建议,以期帮助SaaS企业有效保障数据安全,为客户提供更好服务。

0
1

微盟删库事件始末


微盟成立于2013年,是一家为中小企业提供软件即服务(Software as a Service,简称SaaS)与智能营销服务的公司,也是微信、QQ、QQ空间、腾讯新闻等腾讯社交媒体平台上中小企业精准营销服务提供商。据微盟官网显示,公司员工已超3200人,渠道代理商超1600家,注册商户超300万。2019年1月15日,微盟在港交所正式上市,被称为“新经济SaaS第一股”。

2020年2月23日起,陆续有网友爆料称微盟SaaS服务无法使用,商家生意“基本停摆”。从发声警报起,微盟方迟迟未能修复服务,有网友直接质疑,“到底是服务器坏了还是被偷了”。

2月25日,微盟发布公告称,公司SaaS业务生产环境及数据遭到公司研发中心运维部一位核心运维人员人为破坏,导致暂时无法向客户提供SaaS产品。同时,微盟方面表示,已经立刻启动紧急响应机制,将与腾讯云技术团队一起研究制定生产环境和数据修复方案,预计于当日晚上24点可以对生产环境修复完成以为新用户提供服务,并预计于2月28日晚上24点前完成对老用户数据修复工作。随后,腾讯云方面回应称技术团队已经在第一时间与微盟对齐,工程师们正在日夜赶工,将尽最大努力协助微盟减低损失。

公告显示,微盟已于2月24日向上海市宝山区公安局报案,犯罪嫌疑人已被宝山区公安局进行刑事拘留并已承认犯罪事实,该运维人员于2月23日晚18点56分通过个人VPN登入公司内网跳板机,并对微盟线上生产环境进行了恶意的破坏,最终导致SaaS业务停摆。

SaaS业务产品一直是微盟最主要的产品之一,根据本次事件微盟向港交所提交的《自愿公告 SaaS业务生产环境和数据遭到破坏》显示,2019年上半年,公司总收入近6.57亿元人民币,其中SaaS业务收入为2.19亿元人民币,占比达到33.4%。

港交所公告

0
2

微盟事件暴露SaaS 企业数据安全漏洞


信息化时代,企业越来越注重如何灵活地开展一线业务、如何高效地进行线上处理以及如何建设更加无界合作的内部管理和经营体系,其中,基于SaaS模式追求上述转型的最为突出。SaaS供应商企业通过将应用软件和数据库部署在云端服务器上,向有需求的客户企业“出租”而非如传统软件的“出售“的方式为客户企业提供服务,并且在客户企业”租用“的过程中,SaaS企业需要持续地开展维护和升级工作。这种模式决定了SaaS产品的灵活性、连接性和开放性等特征,也因此受到企业,尤其是中小企业的青睐,基于SaaS的应用程序已经覆盖销售、营销管理、客户关系管理、财务管理等业务流程。

随着越来越多的企业将业务管理转移到云端,相应的企业数据也转移到提供云服务的SaaS企业的数据库中。理论上,SaaS供应商都会采用非常高的安全标准,SaaS产品都具有非常高的安全性。但数据安全问题对于任何一个系统都是存在的,而SaaS模式因其涉及主体多样性、业务结构复杂性和数据动态性强等特点,相比传统数据管理模式具有更高的风险,尤其是此次微盟事件更是突出暴露了SaaS企业的数据安全漏洞中内部问题。概括起来,SaaS企业的数据安全风险可能包括以下几类:

2.1 数据因内部人员违规而被泄露或丢失

通常,由于其较高的抵御外部攻击能力,SaaS企业所面临的最大安全威胁往往来自内部运维人员。一方面,内部运维人员可能由于非恶意的操作失误导致企业数据被泄露或丢失。另一方面,内部人员可能由于受利益诱因或其他事由影响而恶意窃取甚至破坏企业所监管的客户企业数据。这也是微盟事件所出现的情形,根据微盟官方公告,本次数据事故正是一名研发中心运维部核心运维人员,该员工系“因个人精神、生活等原因”而对内部线上生产环境进行恶意破坏。

2.2 数据被第三方非法获取

根据IBM2019年的调查报告显示,因为恶意攻击或犯罪是目前企业数据安全的最大威胁,由此造成数据安全事故的高达51%。SaaS模式下,云端数据的聚集性可以令第三方更大概率获取有利于他们的信息,这也导致SaaS企业更容易成为黑客们外部攻击的目标。另一方面,SaaS模式环境复杂性也导致其具有更大的受攻击面。通常,SaaS企业会在技术方面不断强化安全防护能力,与此同时,黑客技术和攻击效率也在同步翻新。目前已经存在SaaS企业未能躲过“黑客危机”的案例,北京晚报曾报道在2018年底,回龙观派出所接到一网络公司报警称其开发的软件被黑客攻击,公司服务器全面瘫痪。该公司开发的SaaS应用主要为饭店、酒吧提供点餐、互动等服务,其应用曾被“肉鸡”软件攻击上一次,前后持续近半个月,初步统计公司损失近千万元。[1]

2.3 自身的数据传输漏洞

一般而言,SaaS企业为客户提供软件服务的过程中会涉及依赖互联网完成的数据传输或数据交付。这也为SaaS企业带来一项潜在的数据风险,即因传输漏洞而被非法窃听、非法篡改或导致数据信息泄露,还可能被数据流攻击者利用,数据在传输过程中可能出现逐步失真。

2.4 多租户数据数据交叉感染

SaaS企业以共用的数据中心为多租户提供单一系统架构与服务客户端,那么对于数据库的隔离级别也会提出相应的要求。共享计算资源的模式下,如果不能实现有效的隔离则可能发生一个用户的数据和应用被无意暴露给其他用户或污染其他用户数据的情况,这会严重影响SaaS企业的数据安全性。

微盟此次数据安全事件充分暴露出企业内部核心员工的管理漏洞,此类非技术原因同样会致使SaaS 企业遭受重大业务和商誉损失。

0
3

员工对雇主的数据安全法律责任

微盟数据安全事件一个很重要的警示:核心员工应对雇主承担数据安全法律责任。

SaaS企业必须识别关键核心员工的范围并建立核心关键员工的数据安全制度,充分对核心员工进行安全责任教育。

核心员工对违法致使雇主数据遭受破坏或风险甚至业务存续风险的,应承担法律责任。具体而言包括合同违约责任、民事侵权责任、刑事法律责任等。

序号

违法行为

法律依据

法律责任

1

员工未尽审慎义务,给企业造成损失的

劳动合同、劳动法等

违约金/实际损失赔偿

2

员工以不正当手段获取、披露、使用保密数据

反不正当竞争法

10-500万罚款;实际损失/收益/500万以下赔偿

3

刑法

50万以上损失的,3年以下;250万以上损失的,3-7年

4

员工破坏企业数据系统

劳动合同、劳动法

(造成损失的)赔偿

5

刑法

5年以下有期徒刑;5年以上

3.1 合同违约责任

根据《中华人民共和国劳动法》第二十二条的规定,劳动合同当事人可以在劳动合同中约定保守用人单位商业秘密的有关事项。为保障企业数据安全和商业秘密安全,企业在与员工签订的雇佣合同中往往会加入保密条款或额外签订保密协议对员工行为进行约束。在这种情况下,如果员工泄露或者不正当使用企业非公开数据的,给雇主造成经济损失的,则可能需要承担合同违约的法律责任。此外,根据《劳动法》第一百零二条的规定:劳动者违反本法规定的条件解除劳动合同或者违反劳动合同中约定的保密事项,对用人单位造成经济损失的,应当依法承担赔偿责任。《工资支付暂行规定》第十六条规定了具体的内容:因劳动者本人原因给用人单位造成经济损失的,用人单位可按照劳动合同的约定要求其赔偿经济损失。经济损失的赔偿,可从劳动者本人的工资中扣除。

在(2019)苏04民终2134号案中,常州市中级人民法院便认为,被告李某作为原告公司财务经理,一方面未能尽到审慎义务,导致其保管的网银U盾密码泄露,给案外人盗取资金以可乘之机…其工作存在重大过失,给原告公司造成了重大经济损失,应当承担合理的赔偿责任。

3.2 民事侵权或行政责任

依照《中华人民共和国反不正当竞争法》第九条,商业秘密是指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。一般情况下,员工所接触或掌握的相关企业数据很可能构成企业的商业秘密。如果员工以不正当手段获取、披露、使用保密数据或因为破坏系统导致数据被他人获取的,则可能侵犯雇主的商业秘密权益。根据《反不正当竞争法》第十七条规定,商业秘密侵权人需要赔偿权利人实际损失或所获利益,难以确定的,由法院根据情节判决五百万元以下的赔偿。第二十一条规定,侵犯商业秘密的,由监督检查部门责令停止违法行为,没收违法所得,处十万元以上一百万元以下的罚款;情节严重的,处五十万元以上五百万元以下的罚款。

在(2010)沪二中民五(知)初字第57号案中,上海市第二中级人民法院便认为:原告(公司)作为涉案网站数据库的权利人,对该数据库中用户信息的商业秘密享有所有权,被告周某某(雇员)未经原告许可利用自己掌握的数据库密码从原告公司的涉案网站复制下载并使用了包含注册用户名字段、注册密码字段和注册时间字段等用户信息的数据库的行为侵犯了原告的商业秘密。

此外,应注意的是,在SaaS模式下,企业数据库中的大量数据往往并非自有,而是为客户企业所有并为客户企业带来经济利益,在这种情形下,如果员工以不正当手段获取、披露、使用保密数据或因为破坏系统导致数据被他人获取的,则可能侵犯客户企业的商业秘密权益。

3.3 刑事法律责任

3.3.1 侵犯商业秘密罪

在符合侵犯商业秘密民事侵权行为的情况下,如果员工行为对企业造成了超过50万元以上的损失,则还可能构成《刑法》第二百一十九条规定的侵犯商业秘密罪。根据《最高人民法院、最高人民检察院关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释》第七条规定,实施刑法第二百一十九条规定的行为之一,给商业秘密的权利人造成损失数额在五十万元以上的,属于“给权利人造成重大损失”,应当以侵犯商业秘密罪判处三年以下有期徒刑或者拘役,并处或者单处罚金。给商业秘密的权利人造成损失数额在二百五十万元以上的,属于刑法第二百一十九条规定的“造成特别严重后果”,应当以侵犯商业秘密罪判处三年以上七年以下有期徒刑,并处罚金。

3.3.2 破坏计算机信息系统罪

另根据《刑法》第二百八十六条,员工违反国家规定,对雇主计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,还可能构成破坏计算机信息系统罪。

在(2019)浙0110刑初480号案中,2018年4月,时任浙江某公司技术总监的被告人邱某因被规劝离职而对公司心怀不满,遂欲对该公司进行报复。同年6月23日,被告人在家中利用其离职前已掌握的公司阿某服务器及数据库账号密码,通过其本人笔记本电脑进入该公司云数据库管理界面,删除索引和部分表,导致该公司为30000余名用户提供服务的SAAS等计算机信息系统当日无法正常运行的时间累计5小时15分左右。杭州市余杭区人民法院认为,被告人行为已构成破坏计算机信息系统罪,但因其自愿认罪并赔偿了被害单位人民币8万元,因此最终判处邱某有期徒刑二年六个月,缓刑三年。

另在(2019)鲁0203刑初217号案中,被告人赵某因对原雇主公司不满,离职前自行设计编写一套具有删除该公司所属网上商城数据库功能的破坏程序,存放于该网上商城数据库的服务器内并留下后门。后被告人赵某多次使用编写的破坏程序对该公司数据库进行数据删除,造成该公司网站多次瘫痪,系统无法正常运转。青岛市市北区人民法院认为,被告人行为构成破坏计算机信息系统罪,判处有期徒刑一年,缓刑一年。

0
4

SaaS企业如何建立内部数据安全体系

SaaS产品已经成为中小企业正常开展工作的重要基础设施,那么SaaS企业如何保证其数据中心的持续可靠运行,如何应对和有效化解因数据集中所带来的数据安全风险,都应当成为SaaS企业高度关注的重要问题。就如何防范数据安全风险的问题,本文提出以下几点建议:

4.1 硬核实用的安全技术

技术上的漏洞与不足往往是数据安全风险产生的主要原因之一。信息化的进步也为SaaS企业提出了新的挑战,作为掌握和管理数据中心的SaaS企业,最首要的任务是使用先进的安全技术保障数据库不受外来入侵以及先进的安全监控体系保障数据库不会被内部滥用,保证客户企业数据从创建、存储、使用、共享、归档、销毁的整个生命周期都不会被非法访问、篡改、盗取或泄露。其次,为了保障平台中的不同“租户”的数据安全和相互之间不产生干扰或污染,SaaS企业应注重利用技术实现不同数据间的有效的安全隔离。此外,为了保证数据安全和降低数据所有者的安全顾虑,SaaS企业可以普及“混合云”方案,即开启“数据在本地,应用在云端”的新服务模式,一方面消除客户企业数据安全顾虑,另一方面也可以降低自身的数据管理风险。

4.2 灾难备份和恢复计划

数据的集中意味着风险的集中,当数据事故的意外发生时,SaaS企业的损失和数据修复难度相较而言也更巨大。在许多情况下,SaaS企业可以从系统错误或软硬件故障中恢复,但是,对于永久删除操作的处理却是无能为力的。然而在实践中,又难以避免的存在数据被意外删除或被恶意删除的情形,因此,建议SaaS企业建立对数据、数据处理系统进行备份的程序,以支持企业能够从“删库”造成的障碍或瘫痪状态迅速恢复到可接受的状态或正常运行的状态。

4.3 建立核心员工内控体系

SaaS企业为了保证数据安全必须建立严密的内部管理体系,这种体系至少应从员工入职之前的严格背景调查开始,具体而言可以分为内部行政管理体系和内部技术管理体系。

4.3.1 核心员工的数据安全法律职责并建立核心员工内控体系

企业应明确核心员工数据安全职责,可从以下方面入手:


- 明确核心员工的范围

- 明确核心员工的工作职责(R&R)

- 招聘阶段对核心员工做安全背景调查

- 录用或劳动合同履行阶段安排核心员工与企业签订安全责任协议作为劳动合同的附件明确核心员工对企业的数据安全责任

- 核心员工的有限权限设置制度

- 建立企业敏感或重要数据安全治理制度


4.3.2 异常行为实时动态监测

技术上,建议SaaS企业技术上实施异常行为实时动态监测。通过模拟静态异常行为分析(人工分析定义异常行为以及通过动态学习建模对不符合日常行为的预警机制。

一旦出现员工未经授权或违规访问或访问超出工作范围的数据等异常行为时,就可以较迅速地发出警报和进行定位,并及时止损。微盟事件中,该运维人员如此轻易地实现“删库”这类敏感异常行为应列入异常行为定义范围。

4.3.3 定期对数据安全进行审计

我们建议企业不预警对数据安全的现状进行审计,建立数据安全定期审计制度。

具体包括不限于以下:


- 数据安全责任人职责审计

- 行为审计及分析

- 权限变化的监测与追踪

- 异常行为分析(追踪到责任人)

- 设立并更新数据安全基线


4.3.4 员工安全责任持续教育

通过专题讲座、微信公号宣传、内部测试、实战演练等持续教育员工数据安全责任并最终形成企业安全责任的文化。

在SaaS模式的协助下,许多企业实现了管理现代化、信息化的转型并推进业务更上一层楼。随着信息化趋势的推进,提供此类服务的SaaS企业成为数据安全强依赖企业。数据泄露时有发生,但一旦发生在与数据安全共存亡的SaaS企业身上,可能将遭受重大业务损失。我们建议SaaS企业应格外注重数据安全治理,应用实用有效的数据安全技术以外,也应从微盟事件中吸取经验,建立完善的数据安全内控管理体系,在激烈的市场竞争中保持业务优势。

注释:[1] 云头条: 餐饮SaaS服务商「被黑客攻击」损失近千万. 访问地址: 

https://mp.weixin.qq.com/s/TE0nxnhl7JTvXRPnW0sohA. 访问时间: 2020-02-26.



实习生杨婧对本文亦有贡献。

或许您还想看

【律师视点】陈国彧、姚雨飞:美国《加州消费者隐私保护法案》(CCPA)已生效 ——最严数据保护法案要易主了吗?

【律师视点】陈国彧、姚雨飞:危机管理 | 企业在疫情中确保业务持续性的简要法律指引

【律师视点】陈国彧:雅诗兰黛惊爆客户信息泄露疑云 ——零售行业成为个人信息保护的下一个高危目标

陈国彧律师,北京德和衡(上海)律师事务所高级联席合伙人,国际隐私保护协会专家会员,上海律协法律合规业务研究委员会委员。执业领域:数据隐私保护、跨境投资、公司合规、危机管理。陈国彧律师分别于2005年及1999年在上海华东政法学院和北京中国人民大学获得法学学位及历史学学位。

陈律师于2019年加入北京德和衡(上海)律师事务所,此前服务于上海市海华永泰律师事务所及北京市大成律师事务所。她在公司治理及合规、数字资产合规管理及商业应用、中国企业境外投资、企业员工关系管理方面拥有丰富的实务经验。服务的客户行业领域包括:高科技企业、公共交通、房地产、私募基金、证券类基金、重型制造、健康生活、新能源等。

联系方式

电话:13795200212

邮箱:chenguoyu@deheng.com

质控人:辛小天 互联网与TMT业务中心总监

本文仅代表作者观点,如需转载、节选,请在后台留言联系小编

网络安全专业委员会

  • 娄鹤

    主任

    金融科技合规应用,境内IPO及再融资,公司争议解决

    更多 》

团队其他成员

  辛小天       江智茹       史蕾       陈国彧       周杨       许瑛毅       范思佳    

Copyright@2016    版权所有    德衡商法网    免费服务监督热线:    800-8600-880    400-1191-080

ICP备案号:鲁ICP备05011736号    网站统计