9媒体于今年2月20日宣布微盟“删库”事件主角何某被判处6年有期徒刑,何某透露是因为酒后生活不如意,无法偿还网贷等个人原因“删库”行为。
上海市宝山区人民法院认为,他违反国家规定,删除了存储在计算机信息系统中的数据,造成了特别严重的后果,其行为构成了破坏计算机信息系统的犯罪,应当依法追究刑事责任。公诉机关指控犯罪事实清楚,证据充分,根据《中华人民共和国刑法》第二百八十六条第二款、第六十七条第三款、第六十四条、《中华人民共和国刑事诉讼法》第十五条破坏计算机信息系统,判处六年监禁。
事件的具体原因是云商业和营销解决方案提供商微盟集团于2020年2月25日发布了自愿公告SaaS公告称,2月23日晚其业务生产环境和数据被破坏SaaS(软件即服务)业务数据被员工人为破坏删除,服务出现故障,大面积服务集群无响应,暂时无法向客户提供 SaaS 产品服务。
经过7天的微盟7*243月1日晚,小时的努力恢复了数据,测试后于3月2日正式恢复了业务。微联盟正在制定相关的赔偿计划,以补偿事故造成的损失。
微盟事后跟踪分析了恶意破坏生产环境的犯罪嫌疑人,成功定位为犯罪嫌疑人登录账号和IP地址结束后,2月24日向上海市宝山区公安局报案。目前,犯罪嫌疑人已被宝山区公安局刑事拘留。
微联盟成立于2013年4月,拥有3200多名员工、1600多家渠道代理商和300多万注册商户。它是中国领先的中小企业云商业和营销解决方案提供商。2019年1月在香港主板上市。根据微联盟的财务报告数据,2018年 SaaS 年营业收入为 3.47 1亿元,占集团年度财政收入 40.1%,SaaS 业务的毛利润为 2.94 1亿元,占财政年度集团毛利润总额 57.0%。
删库事件导致微盟损失巨大,SaaS停止服务导致微联盟平台约300万商家的小程序全部停机,包括洽洽、森马等知名公司和品牌,大大降低了公司的声誉形象。在财务损失方面,除了计划支付客户外1.5股价下跌超过22%,累计市值蒸发超过30亿港元。
这一事件是典型的运维安全事件倒灌公司经营危机,对蓬勃发展的互联网行业和互联网公司产生了新一轮、更深远的影响。同时,也是一种深刻的警示教育,让人深刻警惕。因此,本次事件的最终结论将被详细回顾。
首先,抛开事件的原因和动机,站在事件发生后IT从安全的角度来看,很多人会有以下问题:
- 微盟数据备份策略是否不完善导致数据恢复困难?
- 是否存在权限管理问题导致运维人员直接操作数据库?
- IT监控审计系统策略是否存在不足导致没有对危险操作发出报警并控制?
- 公司IT架构是否存在业务连续性损坏的冗余能力不足?
- 公司是否制定了业务连续性策略?设置过吗?RTO和RPO业务连续性指标等
- IT系统是否有足够的安全技术保障设施?为什么不起作用?
- 公司及其管理人员的合规法律责任是什么?
- 这一事件是否再次证明最大的安全威胁来自内部?
事件回顾
20202月23日18时56分,微盟R&D中心运维部运维人员何某通过个人虚拟专用网登录公司内网跳板机,删除微盟SAAS业务服务主备数据库(但没有数据覆盖,否则数据无法找回)。
2微盟内部监控系统于19月23日 19时报警,SAAS大面积服务集群无法响应业务;IT运维人员开始紧急修复。
21月25日7 时,生产环境和数据部分恢复,核心业务生产环境重新启动只有新用户暂时不受影响。
21月28日,微联盟恢复了所有业务的在线生产环境,并打开了老用户登录和微站产品的所有数据。
“删库事件”7天后,3月1日,微盟集团宣布,截至3月1日晚上8点,已完全恢复删除的数据。
微盟事后跟踪分析了恶意破坏嫌疑人,成功定位到犯罪嫌疑人登录账号和账号IP地址,并于24日向宝山公安局报案。犯罪嫌疑人何某被宝山区公安局拘留,何某承认犯罪事实。
暂且不管嫌疑人删库的动机如何,我们来讨论一下为什么一个运维人员的小操作会给上市公司造成重大损失,濒临破产。IT哪些问题导致了如此严重的后果?
问题分析
从公开的数据分析来看,微盟之前有一些安全控制手段:1。有独立的虚拟专用网络;2.有堡垒机;3.数据库也备份了,有基本的安全设备和保障手段。还有哪些不足导致如此严重的后果?
首先,IT运维-权限管理存在漏洞。微联盟没有根据数据的重要性对权限进行分级管理,对重要级别高的数据采用高级操作权限控制;通过动态工单授权申请审批机制和会话实时控制,无需核心业务和核心数据,确保关键服务器随时不能直接由单个账户操作。就像银行给所有人同样的访问权限,导致清洁阿姨也可以进入金库一样,没有区别的权限控制会导致运维人员直接进入核心系统,让行业巨头的业务停止几天。
其次,IT操作和维护审计策略也存在不足。虽然通过堡垒机对操作和维护过程进行了审计,并通过操作和维护审计向公安机关提供了详细的审计日志作为锁定恶意操作员的权威证据,但显然没有包括在内的数据库账户DBA高权限账户的数据库运维行为没有得到有效的监控和管理drop index、delete、rm、alias 等危险命令受到严格限制,否则库删除操作将不成功。如果严格制定审计策略,对一些敏感的高风险操作(查看用户敏感数据、删除数据等)进行实时报警通知和二次授权审批,只有批准才能允许执行命令,才能实现高风险操作的有效审计防治,使库删除行为无法启动。
微联盟的数据备份和恢复机制也存在很大问题。一家提供信息服务的公司需要几天才能恢复数据?它暴露了微联盟数据安全保护机制建设的落后和数据保护投资的不足。基本的数据备份和恢复机制应首先是数据备份 增量备份,并根据业务需要设定恢复时间目标(RTO)恢复点目标(RPO)。二是两地三中心的基本内容CDP(持续数据保护)系统必须有,如果由于经济原因不能实现异地应用级双活形式CDP,本地数据级双活至少要做,但从微盟数据恢复需要几天时间,可以想象其数据保护机制建设落后。
根本原因是公司IT风险内控管理的巨大缺陷。虽然微盟声称事故是由“人祸”因此,公司管理层承担着不可推卸的责任。其中,微盟董事会董事长兼首席执行官孙涛勇对数据安全没有高度重视,对数据安全方案没有深入评估和审查,没有聘请外部专家咨询团队对数据安全进行评估和测试,也没有将数据安全管理纳入日常管理范围。公司执行董事兼首席技术官黄俊伟作为公司技术负责人,对数据安全没有足够的重视,也没有严格按照公司的内部控制管理制度对运维人员的权限进行分级和分区管理。数据安全技术体系的建设和引进缺乏全局和前瞻性的设计,安全监控体系也没有落实到位。公司执行董事兼智能商业集团总裁方桐舒作为SaaS业务负责人没有高度重视数据安全,没有严格执行公司内部控制管理制度,促进研发方加强数据安全管理。
微联盟管理层认真反思,开展相关整改活动:加强内部流程控制管理,邀请外部数据安全专家评价数据安全计划,迅速制定数据安全计划,采取三项主要整改措施防止事故再次发生:
措施1:全面加强整改数据安全管理机制,加强运维平台管理
(1) 完善数据安全管理制度(涵盖权限、监控、审计),严格执行授权审批制度;
(2) 使用腾讯云CAM对云资源进行管理,严格执行分级授权和最小集权制度,对高危行为实行二次授权制度;
(3) 建立科学、高效、安全的网络战略,严格隔离开发环境、测试环境和生产环境;用腾讯云堡垒机代替自建堡垒机,进行细粒度权限分级和授权管理,严格审计堡垒机操作日志,发送安全审计报表;
(4) 加强运维安全过程学习、职业道德学习、法律学习等。
措施二:加强灾备体系建设,实现多云异地冷备
(1) 在北京、上海、南京等地区建立多云灾备体系,建立全备份冷备体系结构;
(2) 借助腾讯云的IAAS建立高可用的同城双活架构;
(3) 云上所有云主机,采用日常快照策略,确保全量和增量备份;
(4)使用腾讯所有非结构化数据COS对象存储系统归档保存,启用COS多异地复制功能,多数据存储,COS 冷存储,确保数据只增加或减少;
(5) 建立月季度定期演练机制和制度 。
措施三:基础设施全力上云:
(1) 借助腾讯云数据库MySQL数据高可用性和安全系统,逐步放弃自建数据库服务 ,迁至腾讯云数据库(CDB),快速具备数据库跨可用区、异地灾备的能力;
(2) 黑石1.0黑石物理机全面升级2.0,全面使用云主机。
合规责任分析
对于一般企业来说,恶意删除数据库会造成严重的风险,包括安全风险和合规风险。微联盟发生恶意删除数据库网络安全事件,面临数据损失、系统运行不正常、业务运行中断等风险,为安全风险。同时,根据《中华人民共和国网络安全法》(以下简称“网络安全法”),作为网络运营商,微盟有义务保护网络安全,违反这些义务,将面临行政处罚、民事诉讼甚至刑罚,这是合规风险。
合规是法律的要求,同时也是安全底线;安全则是企业自身经营发展的需求,是更高的标准。对企业而言,首先应当根据法律要求采取各项合规措施,满足合规要求,避免合规风险;在此基础上,再根据自身的风险管理策略,运用适当的技术、商业和法律工具,尽可能地提高安全防护能力,以降低安全风险。这里我们引用着名律师事务所袁立志律师的文章(《恶意删库事件的法律推演》)从安全合规的角度分析此次事件中各层次可能面临的相关责任。
一、微盟公司法律责任
(一) 刑法责任
根据《中华人民共和国刑法》第二百八十六条的规定,网络服务提供商不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取纠正措施拒绝纠正,情节严重的,构成拒绝履行信息网络安全管理义务罪。
如果微盟没有处理网络安全等相关系统等级保护(以下简称“等级保护”)公安机关责令改正,企业不改正,但在网络安全监督检查中发现未实施权限控制等措施。此时发生的恶意删除事件可能构成拒绝履行信息网络安全管理义务罪。
(二) 行政法律责任
1. 违反网络服务安全维护义务的责任
根据《网络安全法》第22条第2款,网络服务提供商应继续为其产品或服务提供安全维护,以确保服务的稳定性。第六十条网络运营商应当承担警告、罚款等行政法律责任:
- 恶意程序设置;
- 未立即采取补救措施,或者未按照规定及时通知用户并向有关主管部门报告其产品和服务的安全缺陷和漏洞;
- 擅自终止为其产品和服务提供安全维护。
2. 违反网络安全等级保护义务的责任
根据《网络安全法》第二十一条的规定,网络运营商应当按照等级保护制度的要求,履行下列安全保护义务:
- 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
- 采取技术措施,防止计算机病毒、网络攻击、网络入侵等危害网络安全的行为;
- 采取监控、记录网络运行状态和网络安全事件的技术措施,并按规定保留不少于六个月的相关网络日志;
- 采取数据分类、重要数据备份和加密等措施;
- 法律、行政法规规定的其他义务。
恶意删仓事件发生时,除非公司已对相关系统进行分级备案并通过定期评估,否则可以认定未履行分级保护义务,这是否合规的表面证据,否则可视为已履行分级保护义务,免除行政法律责任,除非有证据证明没有履行相关实体义务。
3. 违反个人信息保护义务的责任
根据《网络安全法》第四十二条第二款和第六十四条的规定,网络运营商应当确保用户信息的安全,防止个人信息的泄露、损坏和丢失,否则将面临警告、没收违法所得、罚款等处罚。恶意删除的数据包含个人信息的,触发个人信息保护义务,面临警告、没收违法所得和罚款。除非微联盟已履行等级保护义务,并参照《互联网个人信息安全保护指南》和《信息安全技术个人信息安全规范》采取适当的保护措施,否则行政法律责任。
4. 违反应急管理义务的责任
根据《网络安全法》第二十五条的规定,网络运营商应当制定网络安全事件应急预案,及时处理系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险。
根据《网络安全法》第五十九条的规定,企业将面临责令改正、警告、一万元以上十万元以下罚款等行政处罚。除非按照上述规定履行事先和事后的义务,否则无需承担行政法律责任。
(三) 民事法律责任
1. 微盟对商家负责
提供企业级服务(2B)对于企业来说,如果恶意删库事件导致相关服务长期无法恢复正常,可能违反与所服务商户的协议。例如,云服务提供商的服务等级协议(以下简称“SLA”)一般对其服务可用性作出明确约定,服务可用性保证通常达到99.9%乃至更高,如果微盟恶意删库事件致使服务长时间不能恢复正常,则违反SLA本协议应承担赔偿责任。
企业与商家之间SLA或者其他协议可能包括免责条款,如因网络中断、人为原因导致服务不可用、企业免责等。但在恶意库删除事件中,微联盟一般难以依靠这些条款免除责任,因为与黑客攻击等外部因素不同,库删除事件是企业内部的人为破坏,微联盟对内部人员有监督管理义务(合同下的义务标准高于以下消费者侵权责任的法定义务标准)。
2. 微联盟对消费者负责
直接为消费者服务(2C)对于企业而言,消费者的地位与上述商家相似,微盟需要向消费者承担违约责任。
对于2B对于企业来说,企业和消费者之间没有直接的合同关系。恶意删除库存影响消费者权益的,消费者只能提起侵权诉讼。根据《中华人民共和国侵权责任法》,企业构成侵权的,应当满足侵权的四个要求,核心是企业是否存在过错。判断过错的标准是是否违反法律义务,是否违反一般注意义务。除非微联盟依法履行等级保护义务,并参照《互联网个人信息安全保护指南》和《信息安全技术个人信息安全规范》采取适当的个人信息保护措施,否则不违反法律义务和一般注意义务,无过错,无需对消费者承担侵权责任。
二、恶意删库人的法律责任
(一)刑事法律责任
根据刑法第二百八十六条的规定,删除、修改、增加存储、处理或者传输的数据和应用程序,后果严重的,构成破坏计算机信息系统罪。
根据《最高人民法院、最高人民检察院关于处理危害计算机信息系统安全刑事案件的解释》第四条,“后果严重”,是指(一)造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的;(二)对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的;(三)违法所得五千元以上或者造成经济损失一万元以上的;(四)造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的;(五)造成其他严重后果的。
恶意删库是破坏计算机信息系统的典型行为,“后果严重”因此,恶意删库者通常会因破坏计算机信息系统而受到定罪和处罚。从最终的审判结果来看。
(二)民事法律责任
法律规定,如果雇主企业因恶意删库而遭受损失,雇主企业可以要求恶意删库者赔偿损失。
三、微联盟经理的法律责任
(一)刑事法律责任
在恶意图书馆删除事件中,一般企业经理通常不涉及刑事责任。但是,根据上述刑事法律责任分析,在特殊情况下,如果企业构成拒绝履行信息网络安全管理义务,除企业本身面临罚款外,企业直接负责主管和其他直接责任人员,也面临三年以下有期徒刑、拘役或管制、罚款等刑事责任。在此事件中“主管人员直接负责”是指微盟任命的网络安全负责人。
(二)行政法律责任
根据以上对企业行政法律责任的分析,根据《网络安全法》第五十九条、第六十四条,企业违反等级保护、个人信息保护或者应急管理义务的,直接负责的主管人员将面临五千元以上五万元以下、一万元以上十万元以下的行政处罚。根据本规定,微联网络安全负责人也将被罚款。
(三)民事法律责任
在恶意图书馆删除事件中,对恶意图书馆删除者负有监督管理义务的微联盟可以要求其承担相应的赔偿责任。
反思和探索改进
纵观整个事件,我们可以从微联盟删除数据库等事件中得到一些思考。对于中国蓬勃发展的互联网企业决策者来说,微联盟删除数据库事件的警告意义不仅是一家知名云服务企业的重大数据违规行为,而且是由于数千万微联盟SaaS由于事件曝光,商家遭受了不可估量的巨大经济损失“网络安全债”,它在大多数企业中很常见。这类事件在历史上发生过不止一次(见附录:近年来国内外数据库的误操作和删除)。不得不说,许多互联网公司过度追求快速发展,在一定程度上忽视了系统运行的稳定性和安全性。IT几年前,当行业专家去腾讯和阿里交流安全时,他们发现了IT内部没有太多的内部控制机制。例如,登录系统查询用户的数据不会被审计。相比之下,国内银行和电信运营商在这方面确实比互联网公司采取了更好的安全控制措施,因为这些中央企业面临着更大的监管合规压力,非常重视用户数据保护和社会影响。然而,近年来,在国家重视数据安全和个人信息保护的基础上,互联网公司,特别是BAT很多改进。
可能从公司/老板角度来说,追求公司快速发展是应该的,但是如果换一个角度来看,那么保证数据安全、业务持续稳定发展也是应该的。发展速度与内控管理是不可调和的矛盾体,是快速发展还是稳健发展,作为企业决策者又该如何平衡呢?平衡发展与管理是企业决策者的事,作为IT管理者能反思一个问题吗?如果我们公司发生删库事件,会有什么样的表现和结果?
事件发生后,在IT以及安全行业引起的剧烈冲击,专家、机构和制造商表达了自己的观点,并发表了意见和主张,讨论如何尽可能避免类似的库删除事件。经过整理和分析,至少有以下方向值得深化和探索:
1. 权限管理更加细致完善
根据业务使用和系统维护的需要,按照最小化权限的原则,对数据库主机的操作权限进行分配,限制自由使用rm等待危险命令。可参考电信运营商“金库模式”控制方法,库模式只是针对一些敏感操作(检查用户敏感数据、删除数据等),需要两人合作,一人操作 另一人批准,只有批准才能允许命令执行,以确保关键服务器不能直接由单个账户操作。
权限的动态控制,即每个用户长期不使用的系统权限“冷回收”,也就是说,如果访问权长时间不使用,则暂时回收锁定。如果需要再次使用,需要重新验证和批准,以重新激活使用权,从而最大限度地减少权限。
2. 操作和维护过程中的审计和报警
对运维人员的访问过程进行细粒度授权、全过程操作记录和控制、全方位操作审计、事后操作过程回放,实现运维过程“事前预防、事中控制、事后审计”。合理设置审计和报警策略,设置每个用户可以使用的黑白命令集,自动审计识别用户输入命令的安全性,并采取相应的屏蔽、报警、放行等操作。后来,公安机关也可以提供详细的审计日志作为权威证据,锁定恶意经营者追究责任。
3. 以数据安全为核心的信息安全架构
数据资产的价值已经成为大多数互联网公司的核心价值,数据安全已经成为信息安全系统的重要环节,但也许多组织机构不完全了解自己的数据价值和数据安全能力,就像拿着珠宝的孩子在市中心玩耍一样,不知道危险。以数据为核心价值的企业,特别是互联网企业,应根据数据安全能力的成熟度DSMM方法论,根据数据生命周期,从组织建设、系统流程、技术工具、人员能力四个安全能力维度综合考虑,数据安全能力建设的各个方面,发现数据安全能力、泄漏,最终提高互联网行业整体安全管理水平和行业竞争力,促进数字经济的发展。
4. 引入零信任架构
谷歌创建的零信任架构的核心理念是不再区分内部和外部网络,要求验证任何试图访问信息系统的访问,并消除特权账户。将以网络为中心的访问控制改为以身份为中心的动态访问控制,遵循最小权限原则,构建端到端的逻辑身份边界,引导安全系统架构“网络中心化”走向“身份中心化”,能有效避免内部人员的恶意操作。
5. 数据备份容灾及业务连续管理
参照行业或国内外相关标准建设完善的数据备份和灾难容忍系统,设计详细的数据备份架构和策略,设置RTO与RPO实现数据级容灾或应用级容灾。并制定应急演练计划,模拟不同故障场景的定期演练,确保业务的可持续性。
6. 完善的安全评价机制
定期评估系统的安全性,提前发现和堵塞漏洞,建立日志分析和情况感知系统,审计和分析操作日志和流量日志,提前感知相关威胁,可以挽救下一个“删库故事”。
7. 重视合规
严格落实网络安全等级保护,包括定级备案和定期测评,并按照等级保护要求完善权限控制和重要数据备份,妥善留存网络日志,做好个人信息保护;制定应急预案,定期开展应急演练;一旦发生恶意删库事件,立即启动应急预案,采取调查事件原因、更改操作权限、启动备份恢复等补救措施,并及时向公安机关、行业主管部门等报告。
8. 建设内控系统化解管理风险
微盟删库事件只暴露了企业内部的威胁“冰山一角”,企业面临的最大威胁往往不是外部攻击,而是内部威胁。因此,在落实合规义务、确保安全底线的基础上,建立以人为本的企业内部控制体系,明确权限控制和数据安全责任,继续开展法律法规普及、网络安全培训、企业文化培训等教育培训。分析制定内部威胁成熟度参考框架,将安全作为企业战略和风险管理设计中的重要原始要素。
附录:近年来国内外数据库的误操作和删除
2019年12月,由于Elasticsearch数据库技术人员的疏忽,小米生态链企业,智能家居产品制造商Wyze北美用户数据泄露超过240万,导致北美用户数据泄露Wyze业务和品牌声誉在北美遭受了巨大损失。
20182008年8月,旧金山快递的一名员工收到了一个变更需求,并删除了一个数据库,因为他们选择了错误的例子。由于工作不严格,临时在线启动功能不能使用,持续约590分钟。该员工随后被解雇。
2018年4月,VPS服务商Kuriko机房技术人员 rm -rf /*,宿主机上的所有数据都丢失了。
20172009年9月,一位企业技术工程师在帮助广西移动扩容割接(即增加系统容量)时,不小心将其切接HSS删除设备中的用户数据格式化,导致广西移动近80 万用户数据丢失。
2017年6月,Reddit该网站的一名实习程序员错误地删除了该网站的所有生产数据,几乎从互联网上抹去了过去五年世界上最成功的兴趣社交网站。Reddit整个硅谷的技术大咖在准备起诉员工时一致指责Reddit,认为公司自身安全管理不善是根本原因。
20172006年6月,荷兰海牙一家云主机公司verelox.com,一位前管理员删除了公司所有客户的数据,并删除了服务器上的大部分内容。
2018年,“前沿数控”因生产云数据备份恢复失败而濒临破产。
20182000年,北京一名软件工程师徐离开后,由于公司未能按时结算工资,他利用安装在设计网站中的后门文件删除了所有网站源代码。最后,徐因破坏计算机信息系统罪成立,被判处五年监禁。
20182000年,杭州科技公司技术总监邱因不满企业裁员,远程登录服务器删除了数据库上的一些关键索引和部分表格,造成企业直接经济损失225万元,被判赔偿公司8万元,判处2年6个月,缓刑3年。