文/安全宝CEO 马杰

你眼中的黑客是什么形象？让自动取款机疯狂吐钞？入侵汽车系统开走顶级名车？将名人的私密艳照公之于众？入侵医疗设备让你的人身安全置于险境？

在安全人员的眼里，世界上根本没有安全的角落。我上面所说的场景没有任何夸张，这些都是已经被证明了的，只是在大部分时间，黑客没有去做这么炫酷的表演，也没有转走你帐户里的巨额美金，而是在做者黑色产业链里面最普通最基本的事情：窃取你的数据。

最近，又一则令人惊讶但是不意外的消息传来，美国第二大医疗保险公司Anthem遭遇黑客攻击，包括客户和员工在内大约8000万人的个人资料被泄漏，且内容十分详尽。这可能是史上医疗保险领域最大的账户泄漏事件。但这并非个案。类似的案例不胜枚举，去年8月，黑客利用心脏滴血漏洞发起攻击，就窃取了美国第二大盈利性医疗集团Community Health Systems（CHS）450万病人的个人信息。CHS公司在美国29个州拥有206家医院，失窃的信息资料包括过去五年中在该医院集团就诊的病人的姓名、地址、出生日期、电话号码和社会保障号码等。据WebSense的报告显示，2014年相比2013年，针对医疗系统的攻击增加了600%。（报道链接）

根据美国网络犯罪防御机构PhishLabs的数据，在地下黑色产业链中，一条病人信息的价格，甚至比一条信用卡信息的价格高出10倍。但是企业为此付出的代价却远不止是黑客所得数额，他们要付出的更多。Anthem已经宣布将为受影响的用户提供免费的信用卡监测和身份信息保护服务，而这必将是一笔巨额的费用。

一旦被黑客入侵，企业损失的不仅仅是钱财，还会影响到企业运营的方方面面，甚至商誉和公关战。前不久遭遇黑客连续攻击的索尼，近日被曝为了调查黑客攻击和善后工作，已经耗资近1500万美元。除此之外，索尼全球票房数及本国影业市场份额减少，2014年第四季度仅获利同比下降23%。而之前Target的用户数据失窃导致了CEO辞职。

黑客无处不在，谁都不能置身世外。即便是你认为自己并非是高价值行业，没有值得窃取的信息，也很可能躺枪，甚至是成为黑客练手的牺牲品。

相比CHS的450万数据，这次的Anthem的8000万数据确实更应该获得关注。其实在国内，同样千万级别的数据泄漏其实已经发生了很多起，只是还没有得到公众的广泛关注。126邮箱7308万、迅雷网3494万、51job 2868万、爱拍原创2789万、163邮箱2353万、百合网1600万、当当网1325万、珍爱网1298万，这个列表还可以一直列下去，我们了解的泄漏1000万以上用户信息的网站就有几十家，而百万以上的有近百家，而这些还都只是冰山一角

一方面是网络安全脆弱令人震撼，另一方面却是企业重信息化建设轻安全投入的现实。前几天开会，听北京市经信委的人说，2014年北京软件产业规模4900亿元，而其中安全产业规模仅仅192亿元。而在美国，企业的安全投入已经不再是大家记忆中的10%~20%，随着IT基础设施的完善，在新增的信息化投入中，安全已占到惊人的40%-50%。

中国的互联网企业们，在技术和商业模式的探索上，已经走到了国际前列，但是在匆匆追赶业务的步伐中，还是要看看在安全上的巨大的缺失。习大大都说了，没有网络安全就没有国家安全。其实一样，没有网络安全，你构建在网络上的商业帝国也随时会动摇，是该花点时间花点钱，来为你的网络商业帝国建立应有的防护体系了。