3月1日晚间,微盟官方公众号发布《微盟数据已经全面找回 并公布商家赔付计划》,这距离2月23日晚被员工恶意删库已经过去了七天。
在微盟的这份解决方案中,除了可以看到微盟公司为此将付出1.5亿元赔偿金外(微盟出1亿,管理层出5000万,其中老板孙涛勇承担3500万元),更重要的是微盟承诺3月2日晚上10点到3月3日上午9点,才能正式进行数据恢复上线。
2月23日删库发生,到3月3日恢复上线,一共需要整整十天时间。数百万商户因此无法营业,造成的损失和影响十分巨大。
从微盟这份公告,我们也能找到其被员工恶意删库,恢复任务艰巨的根源:未对数据管理权限做分级,同时没有把数据上到云端。
微盟的市值因此蒸发掉21.5亿,再加上1.5亿的赔款,损失了23亿。微盟用23亿元证明:数据全面上云要比不上云和部分上云更安全。
微盟的这场”人祸”
如果说疫情是天灾,那么微盟的删库事件,则是一场典型的人祸。从微盟公布的细节,我们可以看到这家公司在数据安全方面到底犯下了哪些大错。
第一,在思维上,没有对数据安全引起高度重视。
没有对数据安全保障方案进行深入的评估和审查,没有聘请外部专家顾问团队对数据安全进行评估和测试,没有把数据安全管理纳入到日常管理范围。
第二,在行动上,没有对运维人员的权限进行分级。
这是技术部门在管理上的严重漏洞,一个小小的运维人员就能通过VPN进入公司服务器把数据全都删除。这对于一家服务数百万企业的SaaS运营商来说,真的是太不可思议。
他们缺乏数据安全技术体系的建设,更没有前瞻性的安全设计,这着实非常不该。
第三,在数据存储上,使用自建数据库,未执行数据上云。
显然,微盟并未把所有数据都放在腾讯云上,而是放在自己的机房内。由于自己缺乏多地备份,安全防护,分级管理等安全方面的统筹,导致了严重的删库后果。由于没有云端数据库的快照恢复功能,导致恢复起来,十分费时费力。
目前,许多企业在上云的过程中,和微盟一样把业务放在云上,把数据放在自己的服务器上,美其名曰:”数据资产自己掌控。
但是,公司又没有数据安全防护的战略思维和能力,早晚会出现类似的数据恶意删除、丢失、数据误删、黑客盗取的”人祸”事件。
西数科技: 司法鉴定/产品质量鉴定/检验检测/数据恢复专家. 4006184118
