在大数据时代,任何一个你想象不到的机构,都有可能获取你的个人信息,因此个人隐私保护更加重要。更值得警惕的是,这些信息可能会落到网络“黑灰产”的手中,给你带来切实的经济损失。5月26日~29日,2019中国国际大数据产业博览会在贵阳举行,多位行业人士在“数据安全”高端对话上阐述了他们对于信息安全的理解。
网络犯罪每年增长30%
中国科学院院士、清华大学高等研究院“杨振宁讲座”教授王小云表示,在数字经济时代,大数据安全和个人隐私保护的问题是比较严峻的。“比如说,我们在无人超市里留下了购物记录,在手机里存着很多个人隐私,在医院里有疾病的诊断和治疗记录。智慧城市产生了敏感的统计信息,我们的生物特征被广泛采用滥用,越来越多场景的泄密行为更加隐蔽。”而这些被泄露的信息,很可能会成为网络黑灰产的“金矿”。
对此,国际上重视度也越来越高。“三年前,联合国成员国中,提出关于网络关切的成员国不到33个,现在提升到166个,网络犯罪趋势基本覆盖了全球。”北京师范大学网络法治国际中心执行主任吴沈括说。
吴沈括还称,目前英国网络犯罪每年增长率是50%,而在中国,公安部公布的相关数字是30%以上。“目前从犯罪总量上来说,网络犯罪已占到全部犯罪总量的1/3以上,问题非常严峻。从这个意义上来说,当我们讲到数据保护时,有效网络犯罪打击,尤其是对侵害个人信息、侵害数据安全的网络犯罪打击,是不可忽视的重要问题。”
更让人惊心的是,医疗数据泄露也正在全球广泛发生。“对黑客而言,随着时间的推移,医疗数据的价值越来越大。关于医疗信息的黑市价比信用卡信息高50倍。我们国家曾经发现过,医疗行业网站被黑客攻击的次数在行业中排首位。”中国工程院院士、中国互联网协会理事长邬贺铨介绍。他提到了一个数据:美国统计过,医疗信息的泄露会给美国医疗行业带来每年大约60亿美元损失。
防止数据泄露已是一个非常困难的事情,但还有更困难的事情——防止数据被锁。“为了防止数据被盗,我们把数据分布式存储,然后加密,这样数据不容易被盗,即便被盗也打不开,看不出里面是什么东西。”邬贺铨说,“但实际上,黑客木马有些攻击不完全是要解析你的数据,而是希望用数据进行勒索。美国洛杉矶长老会医院曾被黑客攻击,黑客打电话给长老会医院,告知医院病历全部被锁死了,医院院长召集一批人来解密,结果十天没有破解,最后医院不得不向黑客交钱。所以不仅仅是怕别人盗窃数据,还得防止数据被别人锁死。”
精准营销=隐私侵犯?
为什么保护网络数据安全如此困难?
在阿里巴巴集团技术副总裁、阿里巴巴首席安全专家杜跃进看来,我们正处于“工业革命中间阶段”,一切都在快速变化,充满不确定性。这就给安全工作、社会治理工作带来巨大挑战。在数据安全领域,他提到了两个词——“数据恐慌”“一片混乱”。
“看到各种各样数据泄露、数据滥用,看到各种精准化服务,我们会认为背后是不是有人随时随地偷看我们隐私,我们并不清楚背后真相是什么。与此同时,我们也正在陷入一片混乱之中,在快速变化、充满不确定情况下出台各种各样的法律政策,但并不知道(结果)会怎么样。”
杜跃进表示,混乱之中,关于数据安全有六大误解:“第一个误解,限制数据采集就能保护数据安全;第二个误解,精准营销就等于隐私侵犯;第三个误解,大数据安全能防止数据被偷;第四个误解,DT时代和IT时代一样,先有应用后有数据;第五个误解,过去的思路和方法,能够解决今天的数据安全;第六个误解,数据是石油,所以应该像保护石油一样保护数据。”
这些误解都较为常见,比如“精准营销就等于隐私侵犯”。在杜跃进看来,人们如今担心,甚至恐慌,随便说一句话当天就有一个应用进行相关推销。其实这是一种误解。“精准营销这件事,是第四次工业革命一定会存在的基本特点,未来一定是个性化服务。”
问题本质还在于,当企业提供个性化服务、精准营销时,有没有意识到这个过程中不要侵犯隐私,有没有能力做到不侵犯隐私。“其实技术上可以做到的,但很多企业可能现在没有做。所以,问题不在于个性化服务、精准营销,更在于是怎么做的。”杜跃进说。
杜跃进还表示,企业未来都面临数据安全问题,安全不再仅仅是成本和责任,安全意味着更好的商业机会。更好的模式是把安全变成内在动力,只有这样,企业才更愿意提升自己数据安全,而不是等着别人开罚单。
个人提高认知最重要
那么,我们的信息究竟是怎样被利用的?作为普通消费者,有没有什么诀窍可以保护自身不被信息泄露所害?
“我之前在阿里就是做情报,对(黑灰产)这些手段很了解。”全知科技(杭州)有限责任公司CEO方兴介绍称,“可能出乎大家意料,大家可能觉得盗窃数据是靠漏洞,其实黑灰产更多是靠的应用层攻击,他们用大数据能力把很多数据‘爬’回去之后搞分析,用海量数据推理和关联。”
方兴举了个例子:在某平台开店有很多规则,比如一个库存规则,如果只有10件货,别人再拍第11件货就卖不出来。这时骗子就来做“新商家保证金诈骗”,把10件货拍完,再伪装成客户拍11件,商家卖不出去,他就来投诉你,店铺等级低要被封店。商家就很着急,骗子再伪装成阿里小二联系商家说,你交5000块保证金,就可以提你信用。如果是新商家,有20%的可能性上当受骗。老商家基本就不会上当。
那骗子如何识别新商家?就靠‘爬’ID,因为用户生成ID是用递增字节。“ID的数据是敏感的吗?是重要的吗?但不经过这样的攻防,就不知道这个数字对骗子意味着什么。如果对应用层数据外控没有做好管控,可能很多数据被‘爬’走。但是,应用层数据安全在业界基本上都不提,这是最严峻的问题。”
对个人而言,为此可以做些什么?方兴觉得,从技术层面,很难做到数据不被利用,个人应当提高认知。“各种不明的APP要少装,少提供必要的个人信息,这是最重要的。”方兴说,“还有一个就是不同网站,不同级别的密码好不要一样。很多黑灰产获取数据时,拿到一个数据,通过账户把所有其他密码数据都拿到了。还有就是要有主权维护意识,当发现有隐私遭到了侵害,要主动反馈。”
在王小云看来,除个人提高警惕外,法律保障是基础。目前我国已制定了三部法律——电子签名法、网络安全法和去年公布的电子商务法,现在还有个人信息保护法等三部法律可以期待。这些法律的制定,将会为大数据安全提供法律保障。
“两高关于网络犯罪的司法解释,主要是涉及到刑法修正案九的三个罪名的解释,不出意外会在2019年出炉。”吴沈括说,这对打击网络黑产,保护个人信息,都有非常重要的作用。
【凡本网注明来源非中国IDC圈的作品,均转载自其它媒体,目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。】