[비즈한국] 随着YES24053280陷入瘫痪等事件发生,国内主要书店及电子书平台频频遭受黑客攻击,引发了业界对其安全能力的担忧。早在2023年Aladin电子书泄露事件时,业界安全体系的脆弱性及其改进必要性就已引发关注。
与过去以线下为主的模式不同,随着电子书流通和线上销售比重的扩大,行业对数字化的依赖程度大幅提高。与此同时,网络威胁不断升级、云与服务器环境日趋复杂,加之内部系统的安全盲点等因素叠加,信息安全已成为技术运营的基石及企业经营的核心风险。本文将深入排查书店行业信息安全体系的现状。

近期,YES24因勒索软件攻击导致网站瘫痪长达五天。官网与APP无法访问、电子书下载及票务预订等在线服务被迫中断,线下门店的图书查询及部分商品支付也受到波及,这使得其技术基础设施及安全应对能力遭到质疑。尽管公司已发布包括向全体会员发放5000韩元礼券在内的第一、二期补偿方案,进入善后阶段,但这距离Aladin发生大规模电子书泄露事件仅过去两年,再次引发了业内对安全体系根本性问题的思考。
BizHankook以营收、企业规模及市场占有率为标准,针对国内主要书店及电子书平台——教保文库、YES24、Aladin、Ridi四家企业的信息保护现状进行了咨询。四家企业均表示正通过扩大投资来加强安全能力,但在信息保护组织架构及CISO(首席信息安全官)运营方式上存在差异。
仅教保文库与YES24设有信息保护专职组织
在教保文库、YES24、Aladin和Ridi四家公司中,仅教保文库和YES24设有专门的信息保护部门。教保文库于2015年成立信息安全组,随后扩编为信息安全室并运营至今。YES24表示已设立与系统运营业务分离的专职信息保护部门,但具体的组织架构尚未明确。相比之下,Aladin和Ridi目前并未运营独立的信息安全部门。
衡量信息安全能力的指标主要包括专职人员配置、投资规模、CISO指定与运营情况,以及相关安全认证。这些是客观评价企业信息安全管理能力的基础,也是法律规定必须进行信息保护披露的企业所需提交的项目。

虽然四家企业均指定了负责统筹信息保护工作的CISO,但在是否兼任其他职务方面存在分歧。Ridi由首席技术官(CTO)直接领导CISO开展安全工作。尽管从外表看没有单独的部门,但其解释称,公司通过以非兼职的安全专员为中心,制定并执行内部安全政策,从而运行信息保护体系。Ridi方面表示:“我们已配置专业人员负责相关业务,并在必要时与外部专业机构合作。”
综合安全组织与CISO运营情况来看,教保文库在安全保障与人员配置方面结构最为严谨。教保文库的CISO由信息安全室室长担任,这种体系较好地确保了安全政策的独立性与专业性。
据韩国互联网振兴院(KISA)信息保护公示门户显示,YES24的CISO兼任CPO(首席个人信息保护官)。作为符合营收条件且需强制披露信息的上市公司,YES24是四家中唯一有强制披露义务的企业。虽然CISO与CPO职能相近,在大企业中也常有整合运营的案例,但批评者认为,这种做法过度追求效率,可能导致责任归属不明。
CISO是否兼职是衡量企业安全能力的实质指标之一。若兼任其他职务,通常会被认为难以投入足够资源,从而在政策制定、风险应对及控制方面产生局限。这也是为何在达到一定规模(如资产总额5万亿韩元以上)的信息通信企业中,严禁内部CISO兼职的原因。不过,YES24尚未达到强制禁止兼职的标准。
Aladin表示,目前安全工作由负责网页基础设施的开发团队和审计组织分担。即由开发团队负责技术实务,审计组织负责安全政策、规定及内部控制相关业务。CISO由公司内部董事兼任。

四家企业中,教保文库和Ridi已获得信息保护管理体系(ISMS-P)认证,YES24也获得了信息保护及个人信息保护管理体系(ISMS-P)认证。Aladin在KISA认证查询中,仅显示有效期至2023年11月的记录,目前尚未确认其是否已重新获得认证。ISMS是将企业或组织为保护信息资产而建立、管理、运营的综合体系,与个人信息保护要求整合后形成的认证制度。
协商机制流产…协作失败导致网络风险加剧
四家企业均强调正在加大信息保护投入。其中,只有教保文库和YES24公开了具体的年度信息保护投资占比或实际金额。据教保文库透露,今年其信息保护投资占IT总投资的比例为6.7%,比去年的5.0%增加了1.7个百分点。根据YES24的信息保护公示,去年其投入约12.69亿韩元,占IT总投资的9.2%。其三年投资走势分别为:2022年11.03亿韩元(占IT投资的9.2%)、2023年9.47亿韩元(5.1%)。
Aladin相关人士表示:“虽然难以透露具体投资额或占比,但近三年来我们在安全领域投入了大量预算。”Ridi相关人士也表示:“随着安全责任感增强,我们正持续加大投入。今年下半年已规划好用于强化安全系统的预算。”
也有业内人士表示,“很难明确界定哪些是信息保护预算,哪些是通用IT基础开支,因此难以公开相关数字。”这一观点反映出,由于强制披露要求仅针对特定企业,出版及书店行业内部的安全应对体系成熟度存在较大偏差,尚未实现标准化。
