在軍隊中,從離散的數據到有用的信息的過程被稱為信息編譯。編譯前,單個數據點本身不算秘密;但一旦多個數據點有機結合起來,它們甚至能形成歸為絕密的信息。
隨著全球數字化轉型的深化,隨著各種服務、過程和社會、個人、商業活動越來越多地遷移到網絡空間,數據和信息之間的這點些微差異比以往更加放大了。
大多數人都認為,這種遷移基本上是一種進步,能豐富我們的生活,解放我們的雙手和大腦,讓我們專注到其他更有意義的事情上。對公司而言,云共享之類的服務意味著雇員可以在地球上任何地方訪問公司重要文檔,實現遠程辦公。電子醫療記錄能提升醫院效率,開放之前用于存放各種文件記錄的物理空間。
消費者也受惠于各種新服務,比如可以在線購物而不用花費幾天時間用腳丈量商業街,可以在線轉賬而不用親自到銀行排隊等候。畢業后20年都再沒見過的人能通過網絡再續前緣,被收養的人也能找到失散多年的親人。數字化轉型帶來的便利和連接性已成為我們社會和經濟不可或缺的一部分。
但是,每個新興數字產業、過程或服務在上線的同時也提供了可被編譯和交叉引用的新數字源。因此,除了以上種種好處,數字化轉型也引入了窺探個人生活、活動和商業運營的新渠道。從未被看作是個人可識別信息(PII)的數據點本身,如今也可以連接并關聯起來了,無形中產生了可能帶來負面后果的個人和商業風險。
數字時代的壞人如今能以各種從未預想到的方式利用這些信息,關聯各種數據以得出相當準確的結論。機器學習也能應用在成千上萬甚至上百萬不同數據元素上,估算出人類自己未必能想到的一些細節。
這些功能的潛在后果可能很嚴重。2017年末,一位軍方分析師注意到,Strava健身App的數據就泄露了有關美國軍事基地的敏感信息。該服務的健身數據中有一張用戶自愿提交的“熱量地圖”,描繪的是用戶徒步或跑步路線模式,可從中編譯總結出美軍遍布世界的絕密軍事設施。
消費領域也有類似的案例。運動品牌 Under Armour 的MyFitnessPal服務今年早些時候被黑。這一流行健身追蹤器收錄用戶姓名、地址、年齡等常規信息,記錄用戶的飲食和鍛煉情況——表面上看起來無害但卻可用于針對性市場營銷甚或網絡釣魚和社會工程攻擊。
社交媒體上也有大量類似的看起來無害的信息。比如說,你每天買咖啡的店,你經常乘坐的航班,慣用的App,上班的地點等等。
某種程度上而言,這些信息比人們慣常認為的個人可識別信息還要危險得多,但卻沒有監管規定說它們需要嚴加看管,更別說其中很多都是用戶自愿提供的了。
數字化轉型的目的是提高生產力,讓人們的生活更加便利,讓公司和政府有更多渠道面向大眾。放棄這些用慣了App是不現實的。
但安全行業不能無視這些數據的潛在負面后果。隨著數字化轉型進程的深入,我們對個人可識別信息和敏感信息的分類也必須與時俱進。
每種新服務上線,都會讓PII數據集更龐大,讓數據關聯能力更強化,能成倍地提高所關聯出的信息的價值,擴展可用于針對用戶的潛在方式。要在數字化新世界中保護用戶、公司和政府機構,意味著要理解每種數字數據源的本質和潛在黑客的意圖。
京公網安備 11010502049343號