雷鋒網(wǎng)按:本文作者趙武,白帽匯創(chuàng)始人。
?。▓D片來(lái)自中國(guó)信息安全博士網(wǎng))
還是先來(lái)看一些“點(diǎn)評(píng)”吧:
“為了保護(hù)網(wǎng)民的信息安全,蘋果要求年底前所有的app都要使用https;
為了保護(hù)網(wǎng)民的信息安全,網(wǎng)信辦發(fā)布app管理規(guī)定,要求你用真實(shí)身份在各個(gè)不靠譜的app注冊(cè)”;
“聽(tīng)網(wǎng)信辦的肯定不會(huì)錯(cuò),這個(gè)單位背景硬得狠,出了問(wèn)題有法律給咱扛著。”
鑒于看懂這些調(diào)侃需要一定的行業(yè)背景,我先翻譯一下,就是安全資深人士覺(jué)得“不靠譜”。
(注:為了保護(hù)各位段子手的隱私,這里不帶ID,如有疑問(wèn),請(qǐng)?zhí)峁┱鎸?shí)姓名手機(jī)號(hào)碼及身份證號(hào),在確認(rèn)身份后給你補(bǔ)上版權(quán)說(shuō)明。)
國(guó)家網(wǎng)信辦今天發(fā)布了《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》,定于8月1日開(kāi)始實(shí)施。本意是解決“少數(shù)應(yīng)用程序被不法分子利用,傳播暴力恐怖、淫穢色情及謠言等違法違規(guī)信息,有的還存在竊取隱私、惡意扣費(fèi)、誘騙欺詐等損害用戶合法權(quán)益的行為,社會(huì)反映強(qiáng)烈”的問(wèn)題。同時(shí)提出六大義務(wù),簡(jiǎn)單來(lái)說(shuō)圍繞兩大塊:
一是為了抓捕傳播非法信息的違法分子,你們需要配合收集用戶準(zhǔn)確身份信息(網(wǎng)絡(luò)ID到真實(shí)身份的對(duì)應(yīng)關(guān)系);
二是你們?cè)谟脩舨幻鞔_同意的情況下,禁止收集敏感信息和捆綁安裝。當(dāng)從這兩點(diǎn)來(lái)看,有沒(méi)有問(wèn)題?我認(rèn)為是沒(méi)有任何問(wèn)題的,沒(méi)毛病,切實(shí)解決老百姓的實(shí)際問(wèn)題。既然沒(méi)毛病,那么大家又在吐槽什么呢?
之前在很多次的采訪中,記者都會(huì)讓我提建議,如何解決現(xiàn)有互聯(lián)網(wǎng)的網(wǎng)民安全問(wèn)題。我的答案其實(shí)很無(wú)奈,沒(méi)有辦法根本上解決問(wèn)題,只能通過(guò)類似注冊(cè)馬甲的方式減緩危害。去年我寫了《糊涂比清醒更幸?!反笠饩褪潜硎隽诉@種無(wú)奈感。信息泄露問(wèn)題無(wú)處不在,快遞,送餐,電商,教育,買車買房貸款等等。你生活的各個(gè)方面都有可能被泄露了信息,所以,一些資深的安全技術(shù)人員在萬(wàn)不得已的情況下,不會(huì)用真實(shí)身份注冊(cè),跟財(cái)產(chǎn)相關(guān)的操作在隔離網(wǎng)絡(luò)運(yùn)行。另外一般都會(huì)選擇對(duì)應(yīng)不上真實(shí)身份的方法讓自己淹沒(méi)在大量泄漏的數(shù)據(jù)當(dāng)中,因?yàn)獒槍?duì)性的攻擊危害遠(yuǎn)比泛泛的攻擊危害大得多,所以這種偽裝無(wú)法不讓信息泄漏,而是即使泄漏了你也不知道是我。
安全人員兩大特性:
一是馬甲特別多;
二是金融相關(guān)的網(wǎng)絡(luò)操作特別少。
《規(guī)定》一出臺(tái),這種馬甲的可能性就大大降低了。打擊犯罪大家都支持,只不過(guò)為了打擊萬(wàn)分之一的犯罪情況,順帶把網(wǎng)民被攻擊的可能性放大了100倍。這種結(jié)果就是大家不愿意見(jiàn)到,但是這種結(jié)果基本上又是可以預(yù)料到的。
為什么這么說(shuō)?如果如下幾點(diǎn)國(guó)內(nèi)的互聯(lián)網(wǎng)形式具備了,那么我覺(jué)得風(fēng)險(xiǎn)就能減低:
企業(yè)方重視安全,在安全能力建設(shè)上持續(xù)投入,有專業(yè)的安全團(tuán)隊(duì),以及每年的投入占比不能低于1%。
只有這樣才能滿足跟黑客對(duì)抗的最起碼基礎(chǔ):做好業(yè)務(wù)系統(tǒng)的安全加固和防護(hù);用戶信息進(jìn)行隔離存儲(chǔ)和加密存儲(chǔ);有應(yīng)急響應(yīng)的能力。前期的無(wú)數(shù)次大企業(yè)漏洞披露和數(shù)據(jù)泄漏的血淋淋的事實(shí)都證明了:安全事故是無(wú)法杜絕的,在利益驅(qū)使下,黑客的力量產(chǎn)生的沖擊力絕大多數(shù)企業(yè)根本無(wú)法抵抗。目前國(guó)內(nèi)有超過(guò)5個(gè)專業(yè)安全技術(shù)人員的獨(dú)立部門的企業(yè)都屈指可數(shù),尤其是初創(chuàng)企業(yè),在業(yè)務(wù)發(fā)展的初期太不可能投入安全了。而不投入就等于把數(shù)據(jù)送給了黑客。
嚴(yán)格立法要求企業(yè)對(duì)安全事故負(fù)責(zé),尤其是跟隱私相關(guān)的數(shù)據(jù)泄露必須有懲罰和賠償機(jī)制,并且執(zhí)法必嚴(yán)。
只有這樣才能將安全由表面工程落地到實(shí)處。不允許企業(yè)增加“黑客攻擊導(dǎo)致的數(shù)據(jù)泄漏不承擔(dān)責(zé)任”類似的霸王免責(zé)條款。同時(shí),嚴(yán)格管束企業(yè)方對(duì)數(shù)據(jù)的利用情況,出一次事處罰一次。
嚴(yán)格立法定義黑客行為,加大黑產(chǎn)打擊和處罰力度。
黑客一直猖獗的原因就在于產(chǎn)出高風(fēng)險(xiǎn)小,網(wǎng)絡(luò)的便利性可以讓他們隨時(shí)“活躍”于全球各地,跨越地域的執(zhí)法成本很高,執(zhí)法部門疲于拼命。相關(guān)部門投入很大,也產(chǎn)出了很多成績(jī),客觀上來(lái)講,跟黑產(chǎn)的發(fā)展成正比,你追我趕的形式一定時(shí)間內(nèi)看不到本質(zhì)上的變化。
能力越大,責(zé)任越大。老百姓的敏感數(shù)據(jù)不是任何一個(gè)級(jí)別的數(shù)據(jù)庫(kù)都能存的,我們接受身份證號(hào)存儲(chǔ)在公安系統(tǒng),我們也被動(dòng)接受了身份信息財(cái)務(wù)信息存在銀行。我們之所以接受公安或金融,是因?yàn)樗麄兊膱?zhí)法機(jī)關(guān),或者有著相對(duì)而言最嚴(yán)格的安全防護(hù)體系。但是讓我們接受一個(gè)只有幾個(gè)人的公司,明天能不能活都不知道,尤其是他們還有可能為了幾百塊錢把數(shù)據(jù)主動(dòng)販賣的情況,那難度就很大了。不只是我們不敢接受,假如加上了存儲(chǔ)不當(dāng)?shù)倪B帶責(zé)任并且處罰嚴(yán)格,連企業(yè)自身都不愿意去接受這種風(fēng)險(xiǎn),他們知道自己是防不住也沒(méi)有賠償能力的。行業(yè)內(nèi)有相關(guān)的標(biāo)準(zhǔn)產(chǎn)品和服務(wù)能一定程度上提升企業(yè)的安全性,但是成本在初期一下拉高。
理想是遠(yuǎn)大的,夢(mèng)想是美好的,我們?yōu)榱送七M(jìn)目標(biāo)的達(dá)成,還是要適當(dāng)考慮到背景現(xiàn)狀,比如我們的互聯(lián)網(wǎng)企業(yè)的安全能力不足以很好的保護(hù)數(shù)據(jù)是現(xiàn)實(shí)情況,企業(yè)自律和信用機(jī)制跟發(fā)達(dá)國(guó)家相比存在差距是現(xiàn)實(shí)情況,執(zhí)法部門暫時(shí)沒(méi)準(zhǔn)備好對(duì)應(yīng)的處罰措施是現(xiàn)實(shí)情況,甚至是連數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn)都還沒(méi)有也是現(xiàn)實(shí)情況。我們沒(méi)有準(zhǔn)備好,而黑客隨時(shí)準(zhǔn)備著竊取數(shù)據(jù),以前黑客只能從大企業(yè)才能拿到網(wǎng)民數(shù)據(jù),以后我擔(dān)心他們從任何小創(chuàng)業(yè)團(tuán)隊(duì)千瘡百孔的業(yè)務(wù)系統(tǒng)中也能獲取大量的敏感數(shù)據(jù)。之前P2P金融有一段時(shí)間大批量的漏洞曝光已經(jīng)讓人大冒冷汗。
我們?yōu)闄?quán)威機(jī)關(guān)的嘗試喝彩,建議按照行業(yè)分級(jí),按企業(yè)規(guī)模分級(jí),中小型企業(yè)保護(hù)不了數(shù)據(jù),業(yè)務(wù)也不需要,那就讓他們做可選項(xiàng)。
另外我們可以換一種思路:企業(yè)你要保護(hù)不好數(shù)據(jù),那我就嚴(yán)令禁止你存儲(chǔ)用戶真實(shí)信息,這樣搞不好反而能推動(dòng)企業(yè)的安全積極性(企業(yè)總是想盡可能收集大量數(shù)據(jù),只是他們不愿意承擔(dān)對(duì)應(yīng)的責(zé)任)。等能力積累到一定階段,再開(kāi)展后續(xù)的工作,就會(huì)安全可控很多。當(dāng)務(wù)之急,先限制企業(yè)收集隱私數(shù)據(jù)的亂象,嚴(yán)查嚴(yán)打,實(shí)名制落地可以逐步開(kāi)展。