“這是網絡安全最好的時代,也是最壞的時代。”在日前召開的2017網絡安全生態峰會上,阿里巴巴集團董事局秘書長、風險委員會主席邵曉鋒以這句話開局。
以互聯網技術為基礎的新信息技術革命正進入關鍵時期,對社會產生巨大積極作用的同時也帶來一些風險。尤其是大量網絡黑灰產業成形,利用互聯網平臺進行敲詐、偷盜、勒索的犯罪行為迅速增長,并利用云計算、大數據和人工智能等新技術實現了全新升級,互聯網安全形勢越發嚴峻。
黑灰產業產值上千億 網絡安全不容忽視
“在座諸位,有誰沒被詐騙短信或詐騙電話騷擾過?我相信沒有。”在2017網絡安全生態峰會上,浙江大學光華法學院刑法研究所所長高艷東問道。在他看來,我國互聯網目前呈現“黑白共生”的局面,一方面,互聯網領域很繁榮能創新,另一方面,互聯網違法犯罪不容忽視,尤其黑灰產業發展猖獗,已發展到了千億級的規模,“這種不安全狀態隱藏著巨大隱患”。
工業和信息化部網絡安全管理局副局長張新也認為,目前網絡安全形勢依然非常嚴峻,網絡安全的任務依然繁重。
據國家互聯網應急中心監測,今年上半年我國境內被植入的網站達到1.8萬,捕獲網絡樣本3.7萬個,收入高危漏洞2412個,還爆發了勒索病毒和木馬大面積感染等突發事件。同時,融合發展帶來網絡安全的新威脅,特別是工業制造、金融、智能設備等領域的信息網絡規模龐大、復雜度高、數據豐富。一旦發生重大泄露事件,后果不堪設想,今年曝光的多款主流設備、攝像頭存在高危漏洞,這也給網絡安全工作敲響了警鐘。
電子商務生態安全聯盟近日發布的《2017電子商務生態安全白皮書》顯示,電子商務生態面臨一條龐大的黑灰產業鏈,行業生態存在基礎網絡安全、系統應用安全及數據安全風險。
從細分環節來看,由于部分網站的數據庫泄露,黑產整理掌握了數十億對賬號密碼關系。盜號產業由黑產數據、撞庫工具、釣魚網站服務、打碼平臺、手機驗證碼平臺、洗錢、銷贓等環節組成,賬戶類的風險衍生出來的黑灰產業年獲利超過百億元。垃圾注冊產業方面主要有注冊軟件服務、打碼平臺、手機驗證碼平臺、身份信息買賣等環節,產業規模上億。而作為惡意行為之一的大量搶購低價營銷商品或市場緊缺型商品,已成為一個細分產業遍布各大電商平臺,整體產業規模上百億。
“網絡安全這件事情不僅涉及每一家企業自身的發展,它也關系著全體公民的利益保障。”邵曉鋒說。
黑灰產搭上高科技快車 打擊量刑難
螞蟻金服集團安全管理部總經理邵曉東介紹稱,如今整個黑灰產業鏈已經從上游、中游、下游三個階段為網絡犯罪提供了信息獲取渠道和技術支持。在產業鏈以外,還有輔助的產業鏈繼續提供相關服務。目前黑灰產業體量很大,“我相信到今年的數據還會更大,他們的發展確實很快,但我們會繼續加大打擊力度。”
“網絡黑灰產業每年的產值大概過千億,但是網絡安全產業的產值不到300億,所以很明顯黑灰產業跑得更快一些。原因在哪?”中國人民公安大學網絡安全與法制協同創新中心研究員陳琴說道,整體來看,網絡黑灰產業鏈的構成比較完善,并且從業者趨之若鶩。另一方面,黑灰產業的競爭也非常激烈,沒有核心競爭力很難在龐大的地下市場里面存活。“核心在于高科技的應用,黑灰產業的核心資源在于黑客的技術,這是很多黑灰產業模式成立的關鍵。”陳琴說。
她表示,黑灰產業呈現一些特征:首先是依托互聯網巨頭的產品生態而生存,例如會有依托于騰訊系的黑灰產業生態,還有針對阿里系產品的刷單和百度的競價排名產品的黑灰產業。其次,黑灰產之所以如此發達且從業人員眾多,就在于它非常具有互聯網特色,能夠精準地抓住用戶的心理訴求和痛點,它會觀察最新的產業熱點,利用人工智能,不斷更新騙術。
最高人民法院中國應用法學研究所副所長李玉萍也表示,如今技術黑產已經成為網絡犯罪的技術支撐,處于產業鏈的最上端。同時,技術黑產種類齊全,各類惡意軟件,種類繁多,只要有需求,就會出現。
值得注意的是,黑灰產業也在呈現新變化。螞蟻金服集團高級專家王瓊瑜表示,黑灰產業這兩年發展非常快,特別是去年以來升級迭代,并且從組織方式上出現了非常明顯的變化。
一是黑灰產業鏈更清晰,各環節之間的合作更緊密。阿里巴巴集團首席風險官劉振飛表示,過去兩年,阿里巴巴集團通過跟公安機關合作發現并破獲了很多黑灰產業案件,最大的體會就是,在中國,黑灰產業的從業者之間盡管不認識,且在網上有不同的團伙,但他們之間的合作水平可能遠遠超過互聯網企業,“甚至我們開玩笑說,黑灰產業鏈之間的合作比企業內不同部門之間的合作都來得順暢。”
二是黑灰產業正在從粗放式的生產模式走向精加工模式,原來的數據獲取或許就是買包含公民信息的數據包,但現在黑灰產業開始走向大數據,走向數據挖掘,走向人工智能。
“山東徐玉玉案件就體現了新特點:分工非常明確,數據應用很精準。不再是粗放式的應用,而是經過研判對侵害對象進行刻畫,這種案例損失的金額也會越來越大。”王瓊瑜說。
《2017電子商務生態安全白皮書》也佐證了這一點:數據顯示,在黑灰產業的利益價值驅使和推動下,電子商務行業如今面臨的WEB攻擊風險中,云市場的發展給黑灰產業人員提供了很大的便利條件,現有的WEB攻擊掃描來自各類云平臺和IDC機房的流量達到90%以上,75%的攻擊源來自國內,較常規的用途是“肉機”的獲取,用于黑產人員后續的DDos攻擊、數據的盜取和系統入侵。
三是黑灰產業逐漸呈現國際化特征,對象的選擇也開始從企業到個人,被侵害者對象的防范能力在降低。
而與此同時,李玉萍也指出,針對黑灰產業的量刑定罪,司法應對中存在一些難題,一方面,技術黑產難以被發現;另外,案件定性問題分歧比較大,法律適用亟待統一,難以進入立案偵查和量刑。“特別期待的是能夠在秩序安全和發展之間做好一個平衡,尤其是要避免司法過程中不當抑制甚至是扼殺技術發展的新動力。”
新安全需要共擔當
新形勢下,有效打擊防范網絡黑灰產業保證網絡安全,已成為非常重要的議題。專家稱,網絡安全問題已逐漸超出技術安全、系統保護范疇,網絡安全的生態建設離不開健全的法制和監管體系,面對新形勢,行業各方正合力為網絡安全織就“保護網”。
公安部網絡安全保衛局副局長鐘忠認為,當前大數據已經成為全球治理的重要工具,這就要求我們,不僅要借助大數據提升網絡安全治理的智慧治理、數據決策、風險預警等宏觀治理能力,還要利用大數據提供全息數據呈現,使網絡治理從以前“主觀主義”、“經驗主義”、“模糊治理”的方式向實事求是的數據驅動的精準治理方式轉變,強化大數據網絡治理的深度應用,在政府主導下建立一個多元化的治理模式。
“新安全需要共擔當。在這種復雜的情況下,提升網絡安全應急協作能力,構建網絡安全產業,落實網絡安全責任,都需要我們共同擔當,維護網絡安全已成為全社會的共同責任,需要政府、企業、社會組織、科研院所等方方面面共同參與。”張新說道。
工業和信息化部網絡安全管理局網安處處長付景廣表示,下一步,工信部將出臺幾個重要政策,一是數據安全保護條例,制定關于電信和互聯網行業數據安全保護的執法意見,進一步細化個人信息的搜集、使用、存儲、共享、保護以及數據跨境等有關的規定和標準。二是網絡安全檢測、網絡安全威脅的檢測和處置辦法。主要目的是集合基礎電信企業和互聯網企業以及運營的注冊機構以及網絡安全企業的力量,形成合力,對網絡空間暴露的一些重要系統的漏洞進行的相應的處置。
螞蟻金服CEO井賢棟認為,新形勢下的網絡安全,企業也需要在三個方面進行升級:一個是技術驅動,數字化的時代,生物識別技術在網絡安全中的應用非常關鍵;第二是要實現行業生態共建;第三是要責任擔當,目前螞蟻金服已經搭建了整套完善的數據安全保護體系,支付寶宣布升級保障計劃,從2005年的“你敢付,我敢賠”升級成“你敢掃,我敢賠”。如果用戶在線下掃碼被盜,全額賠償,如果商戶被覆蓋導致資損也將賠付。
“只有當網絡安全生態能夠保持在一個非常良好的狀態下,相應新的產業、新的技術才能得到健康持續的發展。”邵曉鋒說道。