雷锋网按:本文作者赵武,白帽汇创始人。
(图片来自中国信息安全博士网)
还是先来看一些“点评”吧:
“为了保护网民的信息安全,苹果要求年底前所有的app都要使用https;
为了保护网民的信息安全,网信办发布app管理规定,要求你用真实身份在各个不靠谱的app注册”;
“听网信办的肯定不会错,这个单位背景硬得狠,出了问题有法律给咱扛着。”
鉴于看懂这些调侃需要一定的行业背景,我先翻译一下,就是安全资深人士觉得“不靠谱”。
(注:为了保护各位段子手的隐私,这里不带ID,如有疑问,请提供真实姓名手机号码及身份证号,在确认身份后给你补上版权说明。)
国家网信办今天发布了《移动互联网应用程序信息服务管理规定》,定于8月1日开始实施。本意是解决“少数应用程序被不法分子利用,传播暴力恐怖、淫秽色情及谣言等违法违规信息,有的还存在窃取隐私、恶意扣费、诱骗欺诈等损害用户合法权益的行为,社会反映强烈”的问题。同时提出六大义务,简单来说围绕两大块:
一是为了抓捕传播非法信息的违法分子,你们需要配合收集用户准确身份信息(网络ID到真实身份的对应关系);
二是你们在用户不明确同意的情况下,禁止收集敏感信息和捆绑安装。当从这两点来看,有没有问题?我认为是没有任何问题的,没毛病,切实解决老百姓的实际问题。既然没毛病,那么大家又在吐槽什么呢?
之前在很多次的采访中,记者都会让我提建议,如何解决现有互联网的网民安全问题。我的答案其实很无奈,没有办法根本上解决问题,只能通过类似注册马甲的方式减缓危害。去年我写了《糊涂比清醒更幸福》大意就是表述了这种无奈感。信息泄露问题无处不在,快递,送餐,电商,教育,买车买房贷款等等。你生活的各个方面都有可能被泄露了信息,所以,一些资深的安全技术人员在万不得已的情况下,不会用真实身份注册,跟财产相关的操作在隔离网络运行。另外一般都会选择对应不上真实身份的方法让自己淹没在大量泄漏的数据当中,因为针对性的攻击危害远比泛泛的攻击危害大得多,所以这种伪装无法不让信息泄漏,而是即使泄漏了你也不知道是我。
安全人员两大特性:
一是马甲特别多;
二是金融相关的网络操作特别少。
《规定》一出台,这种马甲的可能性就大大降低了。打击犯罪大家都支持,只不过为了打击万分之一的犯罪情况,顺带把网民被攻击的可能性放大了100倍。这种结果就是大家不愿意见到,但是这种结果基本上又是可以预料到的。
为什么这么说?如果如下几点国内的互联网形式具备了,那么我觉得风险就能减低:
企业方重视安全,在安全能力建设上持续投入,有专业的安全团队,以及每年的投入占比不能低于1%。
只有这样才能满足跟黑客对抗的最起码基础:做好业务系统的安全加固和防护;用户信息进行隔离存储和加密存储;有应急响应的能力。前期的无数次大企业漏洞披露和数据泄漏的血淋淋的事实都证明了:安全事故是无法杜绝的,在利益驱使下,黑客的力量产生的冲击力绝大多数企业根本无法抵抗。目前国内有超过5个专业安全技术人员的独立部门的企业都屈指可数,尤其是初创企业,在业务发展的初期太不可能投入安全了。而不投入就等于把数据送给了黑客。
严格立法要求企业对安全事故负责,尤其是跟隐私相关的数据泄露必须有惩罚和赔偿机制,并且执法必严。
只有这样才能将安全由表面工程落地到实处。不允许企业增加“黑客攻击导致的数据泄漏不承担责任”类似的霸王免责条款。同时,严格管束企业方对数据的利用情况,出一次事处罚一次。
严格立法定义黑客行为,加大黑产打击和处罚力度。
黑客一直猖獗的原因就在于产出高风险小,网络的便利性可以让他们随时“活跃”于全球各地,跨越地域的执法成本很高,执法部门疲于拼命。相关部门投入很大,也产出了很多成绩,客观上来讲,跟黑产的发展成正比,你追我赶的形式一定时间内看不到本质上的变化。
能力越大,责任越大。老百姓的敏感数据不是任何一个级别的数据库都能存的,我们接受身份证号存储在公安系统,我们也被动接受了身份信息财务信息存在银行。我们之所以接受公安或金融,是因为他们的执法机关,或者有着相对而言最严格的安全防护体系。但是让我们接受一个只有几个人的公司,明天能不能活都不知道,尤其是他们还有可能为了几百块钱把数据主动贩卖的情况,那难度就很大了。不只是我们不敢接受,假如加上了存储不当的连带责任并且处罚严格,连企业自身都不愿意去接受这种风险,他们知道自己是防不住也没有赔偿能力的。行业内有相关的标准产品和服务能一定程度上提升企业的安全性,但是成本在初期一下拉高。
理想是远大的,梦想是美好的,我们为了推进目标的达成,还是要适当考虑到背景现状,比如我们的互联网企业的安全能力不足以很好的保护数据是现实情况,企业自律和信用机制跟发达国家相比存在差距是现实情况,执法部门暂时没准备好对应的处罚措施是现实情况,甚至是连数据保护的标准都还没有也是现实情况。我们没有准备好,而黑客随时准备着窃取数据,以前黑客只能从大企业才能拿到网民数据,以后我担心他们从任何小创业团队千疮百孔的业务系统中也能获取大量的敏感数据。之前P2P金融有一段时间大批量的漏洞曝光已经让人大冒冷汗。
我们为权威机关的尝试喝彩,建议按照行业分级,按企业规模分级,中小型企业保护不了数据,业务也不需要,那就让他们做可选项。
另外我们可以换一种思路:企业你要保护不好数据,那我就严令禁止你存储用户真实信息,这样搞不好反而能推动企业的安全积极性(企业总是想尽可能收集大量数据,只是他们不愿意承担对应的责任)。等能力积累到一定阶段,再开展后续的工作,就会安全可控很多。当务之急,先限制企业收集隐私数据的乱象,严查严打,实名制落地可以逐步开展。