雷鋒網按:本文作者趙武,白帽匯創始人。
(圖片來自中國信息安全博士網)
還是先來看一些“點評”吧:
“為了保護網民的信息安全,蘋果要求年底前所有的app都要使用https;
為了保護網民的信息安全,網信辦發布app管理規定,要求你用真實身份在各個不靠譜的app注冊”;
“聽網信辦的肯定不會錯,這個單位背景硬得狠,出了問題有法律給咱扛著。”
鑒于看懂這些調侃需要一定的行業背景,我先翻譯一下,就是安全資深人士覺得“不靠譜”。
(注:為了保護各位段子手的隱私,這里不帶ID,如有疑問,請提供真實姓名手機號碼及身份證號,在確認身份后給你補上版權說明。)
國家網信辦今天發布了《移動互聯網應用程序信息服務管理規定》,定于8月1日開始實施。本意是解決“少數應用程序被不法分子利用,傳播暴力恐怖、淫穢色情及謠言等違法違規信息,有的還存在竊取隱私、惡意扣費、誘騙欺詐等損害用戶合法權益的行為,社會反映強烈”的問題。同時提出六大義務,簡單來說圍繞兩大塊:
一是為了抓捕傳播非法信息的違法分子,你們需要配合收集用戶準確身份信息(網絡ID到真實身份的對應關系);
二是你們在用戶不明確同意的情況下,禁止收集敏感信息和捆綁安裝。當從這兩點來看,有沒有問題?我認為是沒有任何問題的,沒毛病,切實解決老百姓的實際問題。既然沒毛病,那么大家又在吐槽什么呢?
之前在很多次的采訪中,記者都會讓我提建議,如何解決現有互聯網的網民安全問題。我的答案其實很無奈,沒有辦法根本上解決問題,只能通過類似注冊馬甲的方式減緩危害。去年我寫了《糊涂比清醒更幸?!反笠饩褪潜硎隽诉@種無奈感。信息泄露問題無處不在,快遞,送餐,電商,教育,買車買房貸款等等。你生活的各個方面都有可能被泄露了信息,所以,一些資深的安全技術人員在萬不得已的情況下,不會用真實身份注冊,跟財產相關的操作在隔離網絡運行。另外一般都會選擇對應不上真實身份的方法讓自己淹沒在大量泄漏的數據當中,因為針對性的攻擊危害遠比泛泛的攻擊危害大得多,所以這種偽裝無法不讓信息泄漏,而是即使泄漏了你也不知道是我。
安全人員兩大特性:
一是馬甲特別多;
二是金融相關的網絡操作特別少。
《規定》一出臺,這種馬甲的可能性就大大降低了。打擊犯罪大家都支持,只不過為了打擊萬分之一的犯罪情況,順帶把網民被攻擊的可能性放大了100倍。這種結果就是大家不愿意見到,但是這種結果基本上又是可以預料到的。
為什么這么說?如果如下幾點國內的互聯網形式具備了,那么我覺得風險就能減低:
企業方重視安全,在安全能力建設上持續投入,有專業的安全團隊,以及每年的投入占比不能低于1%。
只有這樣才能滿足跟黑客對抗的最起碼基礎:做好業務系統的安全加固和防護;用戶信息進行隔離存儲和加密存儲;有應急響應的能力。前期的無數次大企業漏洞披露和數據泄漏的血淋淋的事實都證明了:安全事故是無法杜絕的,在利益驅使下,黑客的力量產生的沖擊力絕大多數企業根本無法抵抗。目前國內有超過5個專業安全技術人員的獨立部門的企業都屈指可數,尤其是初創企業,在業務發展的初期太不可能投入安全了。而不投入就等于把數據送給了黑客。
嚴格立法要求企業對安全事故負責,尤其是跟隱私相關的數據泄露必須有懲罰和賠償機制,并且執法必嚴。
只有這樣才能將安全由表面工程落地到實處。不允許企業增加“黑客攻擊導致的數據泄漏不承擔責任”類似的霸王免責條款。同時,嚴格管束企業方對數據的利用情況,出一次事處罰一次。
嚴格立法定義黑客行為,加大黑產打擊和處罰力度。
黑客一直猖獗的原因就在于產出高風險小,網絡的便利性可以讓他們隨時“活躍”于全球各地,跨越地域的執法成本很高,執法部門疲于拼命。相關部門投入很大,也產出了很多成績,客觀上來講,跟黑產的發展成正比,你追我趕的形式一定時間內看不到本質上的變化。
能力越大,責任越大。老百姓的敏感數據不是任何一個級別的數據庫都能存的,我們接受身份證號存儲在公安系統,我們也被動接受了身份信息財務信息存在銀行。我們之所以接受公安或金融,是因為他們的執法機關,或者有著相對而言最嚴格的安全防護體系。但是讓我們接受一個只有幾個人的公司,明天能不能活都不知道,尤其是他們還有可能為了幾百塊錢把數據主動販賣的情況,那難度就很大了。不只是我們不敢接受,假如加上了存儲不當的連帶責任并且處罰嚴格,連企業自身都不愿意去接受這種風險,他們知道自己是防不住也沒有賠償能力的。行業內有相關的標準產品和服務能一定程度上提升企業的安全性,但是成本在初期一下拉高。
理想是遠大的,夢想是美好的,我們為了推進目標的達成,還是要適當考慮到背景現狀,比如我們的互聯網企業的安全能力不足以很好的保護數據是現實情況,企業自律和信用機制跟發達國家相比存在差距是現實情況,執法部門暫時沒準備好對應的處罰措施是現實情況,甚至是連數據保護的標準都還沒有也是現實情況。我們沒有準備好,而黑客隨時準備著竊取數據,以前黑客只能從大企業才能拿到網民數據,以后我擔心他們從任何小創業團隊千瘡百孔的業務系統中也能獲取大量的敏感數據。之前P2P金融有一段時間大批量的漏洞曝光已經讓人大冒冷汗。
我們為權威機關的嘗試喝彩,建議按照行業分級,按企業規模分級,中小型企業保護不了數據,業務也不需要,那就讓他們做可選項。
另外我們可以換一種思路:企業你要保護不好數據,那我就嚴令禁止你存儲用戶真實信息,這樣搞不好反而能推動企業的安全積極性(企業總是想盡可能收集大量數據,只是他們不愿意承擔對應的責任)。等能力積累到一定階段,再開展后續的工作,就會安全可控很多。當務之急,先限制企業收集隱私數據的亂象,嚴查嚴打,實名制落地可以逐步開展。