在图像识别技术被应用于边境检查之前，冗长的海关边检队伍和漫长的人工证件检验，相信是众多常旅客曾经的噩梦。而图像识别技术，让这一切都在按下快门的那一瞬间轻松完成。但这些充满信息的照片被妥善保管了吗？

事件回顾

美国海关与边境保护局（CBP）每天都会处理超过100万进入美国境内的旅客信息，就是这样一个掌握大量旅客图像信息的机构近期遭到数据入侵。

5月23日，一家疑似CBP分包公司的泄露出大量数据，可以在暗网上免费下载。

5月31日，供应商发现数据泄露，并上报国会。

6月10日，CBP发表声明，确认分包商违反政策，未得到授权就把收集的旅客及车牌照片传到自家网上，并遭到了黑客攻击，数据泄露。

6月10日——至今，CBP已采取措施：去除数据泄露相关设备、监控分包商与CBP有关的一切活动，要求所有承包商和服务商保持网络安全控制。

外包商有权获得以CBP的名义通过本公司设备所收集的数据吗？

小编解答：通过事后CBP的声明，我们了解到CBP在与该供应商的合约中并没有同意该供应商可以在未经CBP授权的情况下，将数据转移到自己的网络环境中。也就是说，供应商没有权力私自使用和处理这些数据。 

孤木不成林，目前极少有企业能够仅凭一己之力完成业务运转。在与供应商建立合作时，企业除了在合约中明确双方的法律责任和义务以外，也应当在日常工作中担负起相应的管理责任。在此案例中，CBP的可取之处在于：将自己的安全规定与隐私条款写入了具有法律效应的合同当中。这为CBP在事件发生后保留了法律追诉的权利。但法律诉讼周期长，并此时企业的名誉损失已经造成且难以挽回，因此合约仅能作为恶性事件发生后的补偿性控制。为了避免因供应商的疏漏而造成企业的损失，企业应当建立起一套全生命周期的安全管理机制，让供应商安全不再是企业安全管理中的“百慕大”。

详解供应商安全管理，请戳：关于供应商安全管理，你应当懂的那些事

为何此次事件关注度如此之高？并以“重大事件”的形式上报国会？ 

小编解答：CBP在美国各大机场和陆地边境口岸都设有的大量拍照和录像设备以收集影像。作为CBP的分包商，也是边境道路监控设备的提供商，在事件发生前承担为CBP收集个人与汽车照片数据的重要角色，这些信息因为包含个人的面容特征，因此被划分为个人生物信息。

因为个人生物信息具有唯一性与不可变更的特质，所以目前生物特征信息被越来越广泛的用于支付、信贷审核等场景，例如我们比较常见的刷脸支付、指纹支付。这些生物特征信息一旦泄露，由于其不像密码一样可以修改，会造成永久性的身份盗窃隐患。生物信息的敏感性和利用价值远高于一般的账号密码，这也为什么使其成为黑客眼中“香饽饽”的原因。对于企业来说这类型的数据需要投入更多的资源进行保护，例如对敏感数据的传输进行加密，存储加密，限制敏感数据的访问权限以及下载功能等。

CBP此次采取的响应措施有效吗？

小编解答：CBP在了解到事件发生后，采取了相应措施查泄露源头和影响范围。目前数据泄露范围已经确定在近5个月内，通过陆路途径进入美国过境的旅客，通过机场进入美国境内的旅客暂不受影响。与此同时，CBP 停用了所有受影响的设备并对该供应商提供的服务进行严格的监控，杜绝事态的进一步扩大。从事件发生后的处理来看，CBP 显示出了较强的事后调查与定位能力，并且进行了有效的止损。但此时泄露已经发生，并难以挽回。另一方面，CBP对于供应商私自转移敏感数据却毫无感知，可见CBP缺少安全事件的及时侦测与发现。

目前有不少企业都像CBP一样，在企业内部范围内尚能对敏感信息的运作进行监控，但对于企业与供应商数据交互这样的灰色边界却鲜少涉足。事实上，随着与供应商更为紧密地合作，企业的安全事件响应流程不应当是一座孤岛，与供应商的交互也应当被囊括到安全事件的监测与安全响应流程当中。

文章来源于： 微信公众号ATLAS Academy，作者：奥润桔&Jana 。如本次转载涉及侵权，请及时联系我们，我们第一时间安排删除！！