?�。对拢比?�,《中華人民共和國網(wǎng)絡(luò)安全法》正式施行�����。這是我國首部網(wǎng)絡(luò)安全法�����,保護個人信息是其重要內(nèi)容�。
近年來,我國個人信息泄露事件頻發(fā)����,竊取個人隱私手段不斷翻新,移動互聯(lián)網(wǎng)以及物聯(lián)網(wǎng)的快速發(fā)展又給網(wǎng)絡(luò)安全帶來新的隱患——《網(wǎng)絡(luò)安全法》值得全社會共同關(guān)注�。
竊取手段五花八門
“老同學聚會拍的照片你自己看吧,哈哈�,大家沒怎么變呢����。查看請點開下面鏈接……”不久前參加過同學聚會的郭先生收到這條短信后�,沒多想就點了鏈接,但沒看到同學聚會的照片���。幾天后他用手機登錄銀行賬戶時出現(xiàn)異常情況,就到銀行柜臺詢問����,結(jié)果被告知賬號已被盜。
讓郭先生中招的是一種名為“相冊”的木馬病毒����,它能在手機中植入竊取信息的惡意程序,手機感染后不僅會造成信息泄露���,甚至還可能引發(fā)財產(chǎn)損失�����。不久前����,國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2016年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》顯示,2016年共發(fā)現(xiàn)“相冊”類惡意程序47316個�,累計感染用戶超過101萬。
“相冊”類木馬只是諸多竊取個人信息程序中的一種��。在移動互聯(lián)網(wǎng)時代��,不法分子由傳統(tǒng)的仿冒網(wǎng)址釣魚欺詐轉(zhuǎn)變成與短信���、欺詐電話����、手機木馬等手段相結(jié)合的復雜欺詐����,網(wǎng)民不需要在釣魚網(wǎng)站上輸入個人信息,也可能被不知不覺地竊取信息����。
移動互聯(lián)網(wǎng)應(yīng)用(APP)也是惡意程序的重要傳播載體,一些冒牌應(yīng)用或帶有惡意程序的應(yīng)用�����,威脅著個人信息的安全?����!毒C述》顯示�,2016年,國家互聯(lián)網(wǎng)應(yīng)急中心通過自主捕獲和廠商交換獲得移動互聯(lián)網(wǎng)惡意程序的數(shù)量達205萬余個�,近7年來持續(xù)保持高速增長的態(tài)勢。
截至2016年12月���,我國網(wǎng)民規(guī)模達7.31億人���,手機網(wǎng)民規(guī)模達6.95億人�����。購物��、支付類應(yīng)用場景的增加��,也讓個人信息更有牟利價值�����。在利益驅(qū)使下��,一些不法分子販賣個人信息,甚至形成了龐大的灰色產(chǎn)業(yè)鏈��。
安全專家�、北京天融信科技有限公司副總裁唐寧表示,除了傳統(tǒng)病毒木馬威脅�,近年來勒索軟件開始猖獗,成為面向個人信息安全的重要威脅����。
另一種對個人信息安全造成威脅的是網(wǎng)絡(luò)運營平臺信息泄露。2013年年底�����,一家為全國4500多家酒店提供網(wǎng)絡(luò)服務(wù)的公司因系統(tǒng)存在安全漏洞����,致使全國2000萬條賓館住宿記錄泄露,泄露的信息包括用戶姓名���、證件號����、聯(lián)系方式、住宿時間等���。
國家互聯(lián)網(wǎng)應(yīng)急中心運行部高級工程師李佳表示��,網(wǎng)站等運營平臺的漏洞被攻破����,黑客就能入侵并植入后門��,造成大面積的海量信息泄露�。
李佳說,一些網(wǎng)絡(luò)運營商����、平臺服務(wù)商、手機應(yīng)用還會讀取����、上傳用戶的短信�、通話記錄等信息,而有時候用戶并不知情����。
網(wǎng)絡(luò)安全專家、綠盟科技副總裁李晨說,一些軟件也會記錄用戶上網(wǎng)習慣��,收集賬號登錄信息���,甚至捆綁或植入其他軟件�。他認為��,當前黑客技術(shù)門檻變低���,竊取信息變得更加容易��。與此同時����,網(wǎng)絡(luò)犯罪出現(xiàn)職業(yè)化的傾向��,已經(jīng)形成網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈條����,工具開發(fā)者、工具應(yīng)用者和利用工具實施犯罪者都有明確的分工�,形成了一套體系。
新技術(shù)成為“雙刃劍”
“因為網(wǎng)絡(luò)服務(wù)升級��,您所辦理的寬帶業(yè)務(wù)需要更新,收到信息及時聯(lián)系專線4008162378辦理變更申請……”家住北京的梁女士半年前辦理了一個寬帶套餐�,這條信息讓她差點信以為真。多虧她留了個心眼���,向?qū)拵Ч倦娫捵稍兒蟛挪煊X這是一條詐騙短信����。
盡管沒有上當�����,梁女士還是疑惑不解:為什么對方知道我的真實姓名���、手機號��、家庭住址����?這些信息為何被泄露了��?
李佳說���,一些掌握了大量用戶個人信息的傳統(tǒng)公司���,比如房產(chǎn)、中介�、銀行、保險��、快遞等�����,由于內(nèi)部管理不嚴等原因���,個人信息常被偷偷售賣�。
?。玻埃保的曛螅髷?shù)據(jù)技術(shù)開始進入實戰(zhàn)應(yīng)用階段��,在推進了不少行業(yè)和領(lǐng)域變革的同時�,也對網(wǎng)絡(luò)安全提出了新挑戰(zhàn)。唐寧表示�,在大數(shù)據(jù)、云計算等信息技術(shù)的支撐下��,企業(yè)收集��、保存、處理數(shù)據(jù)的成本大大降低����。包括個人信息在內(nèi)的數(shù)據(jù)只有通過流動、共享甚至交易才能充分發(fā)揮其社會價值�、經(jīng)濟價值,而這些數(shù)據(jù)在流動和交易過程中�,又極易產(chǎn)生個人信息擴散、失控的危險�����,個人隱私泄露的威脅將持續(xù)存在�。
此外,隨著物聯(lián)網(wǎng)的興起�����,個人在擁抱智能生活�����、享受便利的同時�,也面臨著越來越多的風險?��!毒C述》顯示����,2016年針對物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊增多�����。2016年國家信息安全漏洞共享平臺(CNVD)收錄物聯(lián)網(wǎng)智能設(shè)備漏洞1117個����,主要涉及網(wǎng)絡(luò)攝像頭、智能路由器����、智能網(wǎng)關(guān)等設(shè)備,漏洞類型主要為權(quán)限繞過�����、信息泄露���、命令執(zhí)行等��。
“萬物互聯(lián)�,使信息暴露更多端點,這就帶來了潛在的隱患�����,且一些智能設(shè)備本身的防護能力比較薄弱�����,容易被攻擊者利用漏洞獲取設(shè)備控制權(quán)限��,或用于用戶信息數(shù)據(jù)竊取���,或用于控制形成大規(guī)模僵尸網(wǎng)絡(luò)�。”李晨說�����。
李佳介紹說�����,國家互聯(lián)網(wǎng)應(yīng)急中心檢測發(fā)現(xiàn)�����,目前物聯(lián)網(wǎng)設(shè)備中各種智能攝像頭的隱患最為嚴重。2016年��,監(jiān)測發(fā)現(xiàn)超過13萬個聯(lián)網(wǎng)攝像頭存在漏洞�����,有被黑客入侵控制的風險���。“這些攝像頭未來都會連接互聯(lián)網(wǎng),一旦被黑客入侵����,后者就可以遠程查看攝像頭拍攝的視頻,可能導致個人信息的泄露�。”
李晨認為,個人信息泄露之所以頻發(fā)���,很重要的原因是個人信息被暴露的環(huán)境和應(yīng)用場景增加���。網(wǎng)絡(luò)犯罪是人類社會違法活動的網(wǎng)絡(luò)化呈現(xiàn),只要有利可圖就難以從根本上杜絕�����。
劍指信息保護“痛點”
竊取個人信息違法活動屢禁不止、打擊黑客難度大的一個重要原因����,是個人信息獲取、存儲和利用的環(huán)節(jié)更加復雜�����,線下和線上傳播具有隱蔽性和復雜性�����。與此同時����,追本溯源成本高,發(fā)現(xiàn)����、查處難度大,處罰�����、賠償力度小,也使販賣及非法使用個人信息黑灰色產(chǎn)業(yè)鏈有了巨大的投機空間�����。
法律缺失也是個人信息違法活動猖獗的原因之一�����。在《網(wǎng)絡(luò)安全法》出臺之前�,相關(guān)管理部門雖然制定并頒布了多個網(wǎng)絡(luò)信息安全的規(guī)定和辦法����,但立法層級比較低,對一些網(wǎng)絡(luò)安全違法行為界定不清晰�����,處罰力度不夠���,缺乏足夠的威懾力���。
據(jù)介紹,針對個人信息保護的“痛點”�,《網(wǎng)絡(luò)安全法》在信息收集使用、網(wǎng)絡(luò)運營者應(yīng)盡的保護義務(wù)等方面提出了明確要求。比如�����,網(wǎng)絡(luò)運營者不得泄露����、篡改、毀損其收集的個人信息�,未經(jīng)被收集者同意,不得向他人提供個人信息�����,但是經(jīng)過處理無法識別特定個人且不能復原的除外����。
針對取證難、追責難的困局�����,《網(wǎng)絡(luò)安全法》還明確了網(wǎng)絡(luò)信息安全的責任主體�,確立了“誰收集,誰負責”的基本原則����。
李佳說��,保護個人信息�,個人用戶也要提高自身安全意識���。如非必要����,盡量不要在一些網(wǎng)站上提交個人信息����;要訪問正規(guī)的網(wǎng)站,避免被釣魚網(wǎng)站騙取個人信息等�。
網(wǎng)絡(luò)安全管理部門和產(chǎn)業(yè)界則呼吁���,建立協(xié)同處理安全風險的機制��,快速響應(yīng)并加強對安全態(tài)勢的監(jiān)測和感知��。
國家互聯(lián)網(wǎng)應(yīng)急中心副主任劉欣然介紹說����,當前我國處理網(wǎng)絡(luò)安全面臨的問題主要體現(xiàn)在3方面:一是注重自己的領(lǐng)域,行業(yè)溝通不足�;二是系統(tǒng)孤立,技術(shù)成果和能力難以共享����;三是在機制上缺乏標準,沒有組織化和體系化�。他建議,要盡快建立監(jiān)測�、研判、預警���、處置和追蹤的網(wǎng)絡(luò)安全問題聯(lián)合處置機制��。(喻思孌)
