小議實名制
還是先來看一些「點評」吧:「為了保護網民的信息安全,蘋果要求年底前所有的app都要使用https;為了保護網民的信息安全,網信辦發布app管理規定,要求你用真實身份在各個不靠譜的app註冊」;「聽網信辦的肯定不會錯,這個單位背景硬得狠,出了問題有法律給咱扛著。」 鑒於看懂這些調侃需要一定的行業背景,我先翻譯一下就是安全資深人士覺得「不靠譜」。註:為了保護各位段子手的隱私,這裡不帶id,如有疑問,請提供真實姓名手機號碼及身份證號,在確認身份後給你補上版權說明。
國家網信辦今天發布了《移動互聯網應用程序信息服務管理規定》,定於8月1日開始實施。本意是解決「少數應用程序被不法分子利用,傳播暴力恐怖、淫穢色情及謠言等違法違規信息,有的還存在竊取隱私、惡意扣費、誘騙欺詐等損害用戶合法權益的行為,社會反映強烈」的問題。同時提出六大義務,簡單來說圍繞兩大塊:一是為了抓捕傳播非法信息的違法分子,你們需要配合收集用戶準確身份信息(網路id到真實身份的對應關係);二是你們在用戶不明確同意的情況下,禁止收集敏感信息和捆綁安裝。當從這兩點來看,有沒有問題?我認為是沒有任何問題的,沒毛病,切實解決老百姓的實際問題。既然沒毛病,那麼大家又在吐槽什麼呢?
之前在很多次的採訪中,記者都會讓我提建議,如何解決現有互聯網的網民安全問題。我的答案其實很無奈,沒有辦法根本上解決問題,只能通過類似註冊馬甲的方式減緩危害。去年我寫了《糊塗比清醒更幸福》大意就是表述了這種無奈感。信息泄露問題無處不在,快遞,送餐,電商,教育,買車買房貸款等等。你生活的各個方面都有可能被泄露了信息,所以,一些資深的安全技術人員在萬不得已的情況下,不會用真實身份註冊,跟財產相關的操作在隔離網路運行。另外一般都會選擇對應不上真實身份的方法讓自己淹沒在大量泄漏的數據當中,因為針對性的攻擊危害遠比泛泛的攻擊危害大得多,所以這種偽裝無法不讓信息泄漏,而是即使泄漏了你也不知道是我。安全人員兩大特性:一是馬甲特別多;二是金融相關的網路操作特別少。
《規定》一出台,這種馬甲的可能性就大大降低了。打擊犯罪大家都支持,只不過為了打擊萬分之一的犯罪情況,順帶把網民被攻擊的可能性放大了100倍。這種結果就是大家不願意見到,但是這種結果基本上又是可以預料到的。為什麼這麼說?如果如下幾點國內的互聯網形式具備了,那麼我覺得風險就能減低:
一),企業方重視安全,在安全能力建設上持續投入,有專業的安全團隊,以及每年的投入佔比不能低於1%。只有這樣才能滿足跟黑客對抗的最起碼基礎:做好業務系統的安全加固和防護;用戶信息進行隔離存儲和加密存儲;有應急響應的能力。前期的無數次大企業漏洞披露和數據泄漏的血淋淋的事實都證明了:安全事故是無法杜絕的,在利益驅使下,黑客的力量產生的衝擊力絕大多數企業根本無法抵抗。目前國內有超過5個專業安全技術人員的獨立部門的企業都屈指可數,尤其是初創企業,在業務發展的初期太不可能投入安全了。而不投入就等於把數據送給了黑客。
二),嚴格立法要求企業對安全事故負責,尤其是跟隱私相關的數據泄露必須有懲罰和賠償機制,並且執法必嚴。只有這樣才能將安全由表面工程落地到實處。不允許企業增加「黑客攻擊導致的數據泄漏不承擔責任」類似的霸王免責條款。同時,嚴格管束企業方對數據的利用情況,出一次事處罰一次。
三),嚴格立法定義黑客行為,加大黑產打擊和處罰力度。黑客一致猖獗的原因就在於產出高風險小,網路的便利性可以讓他們隨時「活躍」於全球各地,跨越地域的執法成本很高,執法部門疲於拚命。相關部門投入很大,也產出了很多成績,客觀上來講,跟黑產的發展成正比,你追我趕的形式一定時間內看不到本質上的變化。
能力越大,責任越大。老百姓的敏感數據不是任何一個級別的資料庫都能存的,我們接受身份證號存儲在公安系統,我們也被動接受了身份信息財務信息存在銀行。我們之所以接受公安或金融,是因為他們的執法機關,或者有著相對而言最嚴格的安全防護體系。但是讓我們接受一個只有幾個人的公司,明天能不能活都不知道,尤其是他們還有可能為了幾百塊錢把數據主動販賣的情況,那難度就很大了。不只是我們不敢接受,假如加上了存儲不當的連帶責任並且處罰嚴格,連企業自身都不願意去接受這種風險,他們知道自己是防不住也沒有賠償能力的。行業內有相關的標準產品和服務能一定程度上提升企業的安全性,但是成本在初期一下拉高。
理想是遠大的,夢想是美好的,我們為了推進目標的達成,還是要適當考慮到背景現狀,比如我們的互聯網企業的安全能力不足以很好的保護數據是現實情況,企業自律和信用機制跟發達國家相比存在差距是現實情況,執法部門暫時沒準備好對應的處罰措施是現實情況,甚至是連數據保護的標準都還沒有也是現實情況。我們沒有準備好,而黑客隨時準備著竊取數據,以前黑客只能從大企業才能拿到網民數據,以後我擔心他們從任何小創業團隊千瘡百孔的業務系統中也能獲取大量的敏感數據。之前P2P金融有一段時間大批量的漏洞曝光已經讓人大冒冷汗。
我們為權威機關的嘗試喝彩,建議按照行業分級,按企業規模分級,中小型企業保護不了數據,業務也不需要,那就讓他們做可選項。另外我們可以換一種思路:企業你要保護不好數據,那我就嚴令禁止你存儲用戶真實信息,這樣搞不好反而能推動企業的安全積極性(企業總是想儘可能收集大量數據,只是他們不願意承擔對應的責任)。等能力積累到一定階段,再開展後續的工作,就會安全可控很多。當務之急,先限制企業收集隱私數據的亂象,嚴查嚴打,實名制落地可以逐步開展。
白帽匯 趙武
推薦閱讀:
※看我如何破解加密PDF
※APT34攻擊再升級,利用CVE-2017-11882漏洞攻擊中東國家
※Metasploit域滲透測試全程實錄(終結篇)
※「Trackmageddon」漏洞影響100+個GPS和定位跟蹤服務
※如何看待世紀佳緣網站假借送禮名義索要烏雲白帽地址報警的行為?