事情要从2023年618CDGP考试说起
......
在全国人民都在欢天喜地剁手的时候,没错,我正在紧张的进行2023年第3期的CDGP考试。
而7月7日,就是放榜的日子。以dama中国的尿性,都是卡在第三周周五的最后一刻才会放榜。于是,想提前看成绩的我点进了之前查询成绩的页面,看看能不能卡到BUG提前看到成绩,谁知,诶嘿,还真卡到了!不过看到的不是成绩,而是......
371个全国CDGP考生的准考证信息!
我们的身份证号、手机号、邮箱正在裸奔!
我惊呼国粹,DAMA中国真牛。可能有些小伙伴不清楚DAMA中国以及CDGP考试。先来介绍一下。以下内容来自DAMA中国的官网:
DAMA是一个全球性的专业组织,由数据管理和相关的专业人士组成,非营利性机构,厂商中立。协会自1980年成立以来,一直致力于数据管理和数字化的研究、实践及相关知识体系的建设,先后发行了《DAMA 数据管理字典》和《DAMA数据管理的知识体系》等。该知识体系目前已被广泛使用,并已成为业界的标杆和权威。全球会员2万人,在世界共有52个分会。DAMA 中国是个非营利性、专注数据管理和数字化的专业组织。旨在交流国际、国内在数据领域中的最新进展,共享业界的实践、经验和成果,促进我国数字化水平的不断提高和创新。DAMA有自己的认证体系。包括英文版的CDMP(Certified Data Management Professional,数据管理专业人士认证),和中文版的CDGA(Certified Data Governance Associate,数据治理工程师)、CDGP(Certified Data Governance Professional,数据治理专家)。
总结来说,DAMA中国市专门致力于数据管理的机构,而CDGP考试是数据治理专家认证考试。整个数据管理的范畴里面数据安全是非常重要的一个环节,也是很多企业进行数据治理的出发点。结合从事数据工作8年经验,浅浅分析一下此次数据安全问题的原因:
1、非受限登录:查询页面无需登录,输入姓名+身份证件号码即可登录
2、未加密信息:各种敏感信息未经任何加密及脱敏措施
3、未做权限隔离:数据权限未做隔离,非本人数据也可进行查看。
4、从登录URL可知,使用SAAS化的零代码平台进行应用开发,数据有可能暴露在公网
5、最最最重要的:数据安全意识薄弱,对敏感数据理解及保护不够
做过开发、数据或者从事过IT项目的人都看到懂,这些问题并不难解决,作为这么专业的数据治理的机构,为什么会犯这么低级的错误呢?
DAMA最为数据治理领域的权威机构,会员单位及个人会员众多,都是行业里面一等一的专家,这些理论知识丰富,但是,实际的行动上大家dddd。
明面上以上仅仅是数据安全策略上的数据安全问题,也是最容易解决的数据安全问题,实际上暴露的是当前数据治理理论化的行业现状。这里的理论化不是指数据治理不能落地,而是指形式上落地了,但是本质上安全没做好、质量没做好、元数据没管好、主数据没管好、制度没建设好,徒有数据中台等数据治理工具的表象,扒开内里一看,嘿嘿各系统的主数据数都还没对上。
目前,国家层面上越来越重视数据,大的趋势是:数据作为生产要素的一部分,是一种可流通的资产。这是一等一的大好事,说明自上而下开始重视数据的价值。
这一部分政策可参考“大数据食铁兽”公众号之前发布的三篇文章:(加gzh”大数据食铁兽“了解更多大数据资讯)
一文读懂数据要素
数据安全分级分类
数据安全法律法规汇总
......
随着国家的重视,更多数据相关领域政策的提出,数字化转型的需要,数据治理已经被越来越多的企业及组织重视,大家都振臂高呼“数据是有价值的”“要让数据流通起来”“数据安全要得到保障”等等论调充斥着大小企业。大家都在非常积极的投人,投钱。市场也也有很多专门从事数据服务、数据治理服务企业。这些企业花着大量的人力物力财力去进行数据治理,但是实际上的更多的产出是在面子工程上,类似DAMA中国这个问题不仅仅是一个个例。
这次事件涉及的数据量大概cdga+cdgp大概几千人,也许在信息爆炸,个人信息满天飞的今天,大家已经见怪不怪了。因为你一定会经常收到莫名其妙知道你姓甚名谁的推销电话,直接报你身份证号声称掌握你犯罪证据让你去警察局协助调查的海外电话,这些事情每天都在发生,每天都在上演。这是数据安全急需要解决的实际问题,也是数据治理最具有代表性的一个业务实践缩影。
截止发稿,这个网址已经从官网上下架,并在之后发布的查询成绩链接中设置了权限限制(其他策略并没有变化),但是,这次事件应该让作为数据人的我们敲响警钟。作为数据人的我们,心中都应该留存一点光芒,试图借助一点自己微薄的力量,去维护这个世界的数据安全,信息安全甚至人身财产安全。
在此,我振臂高呼,数据是资产,数据安全保护人人有责!停止理论式的数据治理,从实践、业务、从细微处实行行之有效的数据治理。