快递业的网络安全风险不容忽视
目前,我国有快递企业超过2万家,从业人员突破200万,各类营业网点达到21.7万处,在实现城市全覆盖的同时,快递乡镇网点覆盖率超过86%,全行业日均服务突破3亿人次。快递业的繁荣,与“新零售”的迅速发展密切相关,在线的购物模式,让消费者足不出户便可轻松完成购买行为。而快递企业在助“新零售”走完“最后一公里”时,也掌握了大量的消费者信息。为了实现对消费者数据的保护,快递企业对安全风险管控的能力就变得十分重要。
我们通过对“新零售”不同领域企业在2018年“6·18”期间的互联网资产、安全事件和脆弱性这三类数据进行计算、分析,实现对产业链薄弱环节的定位与主要网络风险的发现。
所细分的八个领域中,快递业风险值为512,在采样企业中属于平均水平,而与全国平均值相比(全国均值约800,风险值越低则风险越高),有更大的差距。风险趋势136为八个领域中最高,意味着相比上一个月,风险状况已有较大改善。
快递业互联网的资产情况同样让我们感到意外,数据显示,平均每个快递企业的主机数为5414台,远高于八大领域企业的平均数1844台,并且云迁移企业的比例达到了55%。可见,无论是互联网资产规模还是IT理念,快递业都是靠前的,不仅是人们印象中的劳动密集型行业,我们更不能忽视其面临的网络安全风险。其实,黑客早已发现了这一点,在2018年“6·18”期间,采样的快递企业中被网络攻击的占比达到40%,平均每家企业遭受151次攻击。在对安全漏洞、网络攻击、隐私保护、恶意代码、僵尸网络、IP黑名单这六个维度的网络风险数据分析后,我们发现,75%的快递企业存在安全漏洞,88%有隐私保护问题。
数据泄露的法律风险
2018年2月7日通过了《快递暂行条例》,自2018年5月1日起施行。条例规定,出售、泄露或者非法提供快递服务过程中知悉的用户信息的,视情节轻重将会处以1~5万、5~10万元不等的罚款,并责令停业整顿直至吊销其快递业务经营许可证。
而对新零售企业来说,信息泄露意味着要面临更大风险,2018年5月1日实施的《信息安全技术个人信息安全规范》,从国家标准层面,明确了企业收集、使用、分享个人信息的合规要求,为企业制定隐私政策及个人信息管理规范指明了方向。而在2018年5月25日正式生效的GDPR,被称为欧盟“史上最严”条例,若被处罚,企业将面临全球总收入的4%或2000万欧元取其高的最高处罚。
