印度自2009 年起開始實施名為“Aadhar”的生物身份識別項目,近年來已對印度全國約 12億人實施生物識別數據采集(包括照片、十指指紋和虹膜掃描),為每位居民提供了唯一的12位身份證明編號。由此,政府可直接向每位公民提供補貼、醫(yī)療、社保、培訓、就業(yè)等服務。但作為目前全球同類生物識別項目中規(guī)模最大的一個,該項目關于隱私、安全以及其他方面的爭議聲可謂是此起彼伏。
如此浩大的項目真的能夠保證安全性么?
“數字印度”計劃到底有多安全?-E安全
在此之前,美國安局前雇員愛德華·斯諾登,以及澳大利亞安全專家特洛伊·亨特就已對印度的數據庫安全提出質疑。普華永道和Assocham2017年進行的一項研究顯示,印度網站的攻擊事件在過去四年的時間增長了五倍,印度首都每10分鐘發(fā)生一次網絡犯罪。這也表現出“數字印度”計劃在安全方面的花費實際上是微乎其微的。
印各類數據庫面臨風險
“數字印度”計劃的推行催生出許多重要的數據庫,涵蓋了每位居民的大量敏感個人信息,包括銀行交易記錄,稅務檔案,護照詳情,財產所有權,出生證明,照片等。跨系統(tǒng)和機構的數據在這種形式下不斷快速增長。印度每月都會有數十萬人申請Aadhaar賬戶,或更新更正個人信息。在數據量爆炸增長的同時,數據庫的安全顯然也成了風口浪尖的關注話題。簡單的說,如果沒有足夠的防護舉措,與Aadhaar系統(tǒng)進行聯接必然會對數據的安全性產生風險。這些數據由什么人使用,歸什么人保管,這些機構如何使用這些數據?數據的用途好壞各半,但我們卻很難發(fā)現其中的惡意使用者。
印度政府推行Aadhaar項目后,收獲了很大程度上的便利。Aadhaar項目提供的身份證明編號與手機號和銀行賬戶綁定,印度公民可在網上進入數據庫進行身份識別和手機“實時”驗證,同時還能享受醫(yī)療、社保、培訓、申請駕照、就業(yè)等服務;政府部門也可以有針對性的向居民進行補貼和福利發(fā)放,對居民健康情況等進行監(jiān)測,有效提供醫(yī)療和防疫等公共服務,并實現行政流程的實時改進。但是,由于印度的網絡基礎建設并不穩(wěn)固,安全風險的問題仍然比較尖銳。加之,許多相關數據庫是實時更新的,訪問用戶也各種各樣,也增加了這一方面的挑戰(zhàn)。
很難規(guī)范對數據的使用
印度身份證管理局(縮寫UIDAI,Aadhaar項目的執(zhí)行部門)近期向所有用戶提供了通過創(chuàng)建虛擬身份來掩蓋真實身份證明編號的選擇。一位不愿透露姓名的銀行首席技術官認為,雖然該舉措對于保護身份非常重要,但用戶必須懂得合理地使用這一功能,否則只會讓別有用心的人乘機鉆空子,例如人為因素也會對數據庫安全產生影響, 或許已經有心懷不滿的員工決定濫用自己的權限盜取敏感信息。
Aadhaar項目現在已經廣泛進入印度公民的日常生活當中,但并非所有的機構都在以嚴格的管控標準對數據進行使用。比如,用戶在公共WiFi下讀取了自己的信息,但這里的WiFi環(huán)境已經被黑客事先做了手腳,相關信息被黑客輕易獲得。
安全領域投入存在差距
大多數公司仍然沒有花費足夠保護網絡資產所需的資金。比如,摩根大通在IT預算和安全領域支出的比例是10:1。印度電子工業(yè)和信息技術部2017年9月授權所有政府部門將10%的技術預算用于安全防護。
在經歷類似WannaCry這樣的攻擊之后,在2017年全球網絡安全指數中印度在聯合國排名第23位。雖然印度在安全方面的表現要優(yōu)于過去,但并非完全杜絕風險。
“數字印度”計劃到底有多安全?-E安全
網絡安全需要與時俱進
網絡安全領域是一個永無休止的貓和老鼠的游戲,黑客不斷試圖攻擊和破壞網絡。“數字印度”計劃的最大威脅可能來自世界任何地方的黑客。20年前,40位加密被認為是高技術加密手段,但在今天幾分鐘內就可以破解這種加密。目前許多公司早已改用128位和256位加密技術。Aadhaar的數據庫應用的便是2048位加密保護手段。即使如此,伴隨網絡科技的日新月異,只有不斷調整和改進防護手段,才能適應網絡時代的客觀需求。
網絡安全人才缺口難補
事實上,印度還沒有足夠的網絡安全人才保護自身網絡資產。“數字印度”計劃對頂尖專業(yè)人士提出了大量的需求,希望能夠建立防黑客系統(tǒng)機制,利用區(qū)塊鏈和量子計算等技術,以24小時×7天的防御態(tài)勢確保不受網絡威脅影響。根據印度全國軟件及服務公司協(xié)會(Nasscom)的說法,印度正在努力縮小網絡安全專業(yè)人才需求與可用人才庫之間的差距,但其中的缺口仍然十分巨大。相關專業(yè)人才的缺乏同樣也是一個全球性問題,即使到2021年,美國也會有50萬或更多的網絡安全工作空缺。