?。对拢比?,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式施行。這是我國(guó)首部網(wǎng)絡(luò)安全法,保護(hù)個(gè)人信息是其重要內(nèi)容。
近年來(lái),我國(guó)個(gè)人信息泄露事件頻發(fā),竊取個(gè)人隱私手段不斷翻新,移動(dòng)互聯(lián)網(wǎng)以及物聯(lián)網(wǎng)的快速發(fā)展又給網(wǎng)絡(luò)安全帶來(lái)新的隱患——《網(wǎng)絡(luò)安全法》值得全社會(huì)共同關(guān)注。
竊取手段五花八門(mén)
“老同學(xué)聚會(huì)拍的照片你自己看吧,哈哈,大家沒(méi)怎么變呢。查看請(qǐng)點(diǎn)開(kāi)下面鏈接……”不久前參加過(guò)同學(xué)聚會(huì)的郭先生收到這條短信后,沒(méi)多想就點(diǎn)了鏈接,但沒(méi)看到同學(xué)聚會(huì)的照片。幾天后他用手機(jī)登錄銀行賬戶時(shí)出現(xiàn)異常情況,就到銀行柜臺(tái)詢問(wèn),結(jié)果被告知賬號(hào)已被盜。
讓郭先生中招的是一種名為“相冊(cè)”的木馬病毒,它能在手機(jī)中植入竊取信息的惡意程序,手機(jī)感染后不僅會(huì)造成信息泄露,甚至還可能引發(fā)財(cái)產(chǎn)損失。不久前,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2016年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》顯示,2016年共發(fā)現(xiàn)“相冊(cè)”類(lèi)惡意程序47316個(gè),累計(jì)感染用戶超過(guò)101萬(wàn)。
“相冊(cè)”類(lèi)木馬只是諸多竊取個(gè)人信息程序中的一種。在移動(dòng)互聯(lián)網(wǎng)時(shí)代,不法分子由傳統(tǒng)的仿冒網(wǎng)址釣魚(yú)欺詐轉(zhuǎn)變成與短信、欺詐電話、手機(jī)木馬等手段相結(jié)合的復(fù)雜欺詐,網(wǎng)民不需要在釣魚(yú)網(wǎng)站上輸入個(gè)人信息,也可能被不知不覺(jué)地竊取信息。
移動(dòng)互聯(lián)網(wǎng)應(yīng)用(APP)也是惡意程序的重要傳播載體,一些冒牌應(yīng)用或帶有惡意程序的應(yīng)用,威脅著個(gè)人信息的安全?!毒C述》顯示,2016年,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心通過(guò)自主捕獲和廠商交換獲得移動(dòng)互聯(lián)網(wǎng)惡意程序的數(shù)量達(dá)205萬(wàn)余個(gè),近7年來(lái)持續(xù)保持高速增長(zhǎng)的態(tài)勢(shì)。
截至2016年12月,我國(guó)網(wǎng)民規(guī)模達(dá)7.31億人,手機(jī)網(wǎng)民規(guī)模達(dá)6.95億人。購(gòu)物、支付類(lèi)應(yīng)用場(chǎng)景的增加,也讓個(gè)人信息更有牟利價(jià)值。在利益驅(qū)使下,一些不法分子販賣(mài)個(gè)人信息,甚至形成了龐大的灰色產(chǎn)業(yè)鏈。
安全專(zhuān)家、北京天融信科技有限公司副總裁唐寧表示,除了傳統(tǒng)病毒木馬威脅,近年來(lái)勒索軟件開(kāi)始猖獗,成為面向個(gè)人信息安全的重要威脅。
另一種對(duì)個(gè)人信息安全造成威脅的是網(wǎng)絡(luò)運(yùn)營(yíng)平臺(tái)信息泄露。2013年年底,一家為全國(guó)4500多家酒店提供網(wǎng)絡(luò)服務(wù)的公司因系統(tǒng)存在安全漏洞,致使全國(guó)2000萬(wàn)條賓館住宿記錄泄露,泄露的信息包括用戶姓名、證件號(hào)、聯(lián)系方式、住宿時(shí)間等。
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部高級(jí)工程師李佳表示,網(wǎng)站等運(yùn)營(yíng)平臺(tái)的漏洞被攻破,黑客就能入侵并植入后門(mén),造成大面積的海量信息泄露。
李佳說(shuō),一些網(wǎng)絡(luò)運(yùn)營(yíng)商、平臺(tái)服務(wù)商、手機(jī)應(yīng)用還會(huì)讀取、上傳用戶的短信、通話記錄等信息,而有時(shí)候用戶并不知情。
網(wǎng)絡(luò)安全專(zhuān)家、綠盟科技副總裁李晨說(shuō),一些軟件也會(huì)記錄用戶上網(wǎng)習(xí)慣,收集賬號(hào)登錄信息,甚至捆綁或植入其他軟件。他認(rèn)為,當(dāng)前黑客技術(shù)門(mén)檻變低,竊取信息變得更加容易。與此同時(shí),網(wǎng)絡(luò)犯罪出現(xiàn)職業(yè)化的傾向,已經(jīng)形成網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈條,工具開(kāi)發(fā)者、工具應(yīng)用者和利用工具實(shí)施犯罪者都有明確的分工,形成了一套體系。
新技術(shù)成為“雙刃劍”
“因?yàn)榫W(wǎng)絡(luò)服務(wù)升級(jí),您所辦理的寬帶業(yè)務(wù)需要更新,收到信息及時(shí)聯(lián)系專(zhuān)線4008162378辦理變更申請(qǐng)……”家住北京的梁女士半年前辦理了一個(gè)寬帶套餐,這條信息讓她差點(diǎn)信以為真。多虧她留了個(gè)心眼,向?qū)拵Ч倦娫捵稍兒蟛挪煊X(jué)這是一條詐騙短信。
盡管沒(méi)有上當(dāng),梁女士還是疑惑不解:為什么對(duì)方知道我的真實(shí)姓名、手機(jī)號(hào)、家庭住址?這些信息為何被泄露了?
李佳說(shuō),一些掌握了大量用戶個(gè)人信息的傳統(tǒng)公司,比如房產(chǎn)、中介、銀行、保險(xiǎn)、快遞等,由于內(nèi)部管理不嚴(yán)等原因,個(gè)人信息常被偷偷售賣(mài)。
?。玻埃保的曛?,大數(shù)據(jù)技術(shù)開(kāi)始進(jìn)入實(shí)戰(zhàn)應(yīng)用階段,在推進(jìn)了不少行業(yè)和領(lǐng)域變革的同時(shí),也對(duì)網(wǎng)絡(luò)安全提出了新挑戰(zhàn)。唐寧表示,在大數(shù)據(jù)、云計(jì)算等信息技術(shù)的支撐下,企業(yè)收集、保存、處理數(shù)據(jù)的成本大大降低。包括個(gè)人信息在內(nèi)的數(shù)據(jù)只有通過(guò)流動(dòng)、共享甚至交易才能充分發(fā)揮其社會(huì)價(jià)值、經(jīng)濟(jì)價(jià)值,而這些數(shù)據(jù)在流動(dòng)和交易過(guò)程中,又極易產(chǎn)生個(gè)人信息擴(kuò)散、失控的危險(xiǎn),個(gè)人隱私泄露的威脅將持續(xù)存在。
此外,隨著物聯(lián)網(wǎng)的興起,個(gè)人在擁抱智能生活、享受便利的同時(shí),也面臨著越來(lái)越多的風(fēng)險(xiǎn)。《綜述》顯示,2016年針對(duì)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊增多。2016年國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄物聯(lián)網(wǎng)智能設(shè)備漏洞1117個(gè),主要涉及網(wǎng)絡(luò)攝像頭、智能路由器、智能網(wǎng)關(guān)等設(shè)備,漏洞類(lèi)型主要為權(quán)限繞過(guò)、信息泄露、命令執(zhí)行等。
“萬(wàn)物互聯(lián),使信息暴露更多端點(diǎn),這就帶來(lái)了潛在的隱患,且一些智能設(shè)備本身的防護(hù)能力比較薄弱,容易被攻擊者利用漏洞獲取設(shè)備控制權(quán)限,或用于用戶信息數(shù)據(jù)竊取,或用于控制形成大規(guī)模僵尸網(wǎng)絡(luò)。”李晨說(shuō)。
李佳介紹說(shuō),國(guó)家互聯(lián)網(wǎng)應(yīng)急中心檢測(cè)發(fā)現(xiàn),目前物聯(lián)網(wǎng)設(shè)備中各種智能攝像頭的隱患最為嚴(yán)重。2016年,監(jiān)測(cè)發(fā)現(xiàn)超過(guò)13萬(wàn)個(gè)聯(lián)網(wǎng)攝像頭存在漏洞,有被黑客入侵控制的風(fēng)險(xiǎn)。“這些攝像頭未來(lái)都會(huì)連接互聯(lián)網(wǎng),一旦被黑客入侵,后者就可以遠(yuǎn)程查看攝像頭拍攝的視頻,可能導(dǎo)致個(gè)人信息的泄露。”
李晨認(rèn)為,個(gè)人信息泄露之所以頻發(fā),很重要的原因是個(gè)人信息被暴露的環(huán)境和應(yīng)用場(chǎng)景增加。網(wǎng)絡(luò)犯罪是人類(lèi)社會(huì)違法活動(dòng)的網(wǎng)絡(luò)化呈現(xiàn),只要有利可圖就難以從根本上杜絕。
劍指信息保護(hù)“痛點(diǎn)”
竊取個(gè)人信息違法活動(dòng)屢禁不止、打擊黑客難度大的一個(gè)重要原因,是個(gè)人信息獲取、存儲(chǔ)和利用的環(huán)節(jié)更加復(fù)雜,線下和線上傳播具有隱蔽性和復(fù)雜性。與此同時(shí),追本溯源成本高,發(fā)現(xiàn)、查處難度大,處罰、賠償力度小,也使販賣(mài)及非法使用個(gè)人信息黑灰色產(chǎn)業(yè)鏈有了巨大的投機(jī)空間。
法律缺失也是個(gè)人信息違法活動(dòng)猖獗的原因之一。在《網(wǎng)絡(luò)安全法》出臺(tái)之前,相關(guān)管理部門(mén)雖然制定并頒布了多個(gè)網(wǎng)絡(luò)信息安全的規(guī)定和辦法,但立法層級(jí)比較低,對(duì)一些網(wǎng)絡(luò)安全違法行為界定不清晰,處罰力度不夠,缺乏足夠的威懾力。
據(jù)介紹,針對(duì)個(gè)人信息保護(hù)的“痛點(diǎn)”,《網(wǎng)絡(luò)安全法》在信息收集使用、網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)盡的保護(hù)義務(wù)等方面提出了明確要求。比如,網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息,未經(jīng)被收集者同意,不得向他人提供個(gè)人信息,但是經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。
針對(duì)取證難、追責(zé)難的困局,《網(wǎng)絡(luò)安全法》還明確了網(wǎng)絡(luò)信息安全的責(zé)任主體,確立了“誰(shuí)收集,誰(shuí)負(fù)責(zé)”的基本原則。
李佳說(shuō),保護(hù)個(gè)人信息,個(gè)人用戶也要提高自身安全意識(shí)。如非必要,盡量不要在一些網(wǎng)站上提交個(gè)人信息;要訪問(wèn)正規(guī)的網(wǎng)站,避免被釣魚(yú)網(wǎng)站騙取個(gè)人信息等。
網(wǎng)絡(luò)安全管理部門(mén)和產(chǎn)業(yè)界則呼吁,建立協(xié)同處理安全風(fēng)險(xiǎn)的機(jī)制,快速響應(yīng)并加強(qiáng)對(duì)安全態(tài)勢(shì)的監(jiān)測(cè)和感知。
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心副主任劉欣然介紹說(shuō),當(dāng)前我國(guó)處理網(wǎng)絡(luò)安全面臨的問(wèn)題主要體現(xiàn)在3方面:一是注重自己的領(lǐng)域,行業(yè)溝通不足;二是系統(tǒng)孤立,技術(shù)成果和能力難以共享;三是在機(jī)制上缺乏標(biāo)準(zhǔn),沒(méi)有組織化和體系化。他建議,要盡快建立監(jiān)測(cè)、研判、預(yù)警、處置和追蹤的網(wǎng)絡(luò)安全問(wèn)題聯(lián)合處置機(jī)制。(喻思孌)