《網路安全法》正式施行為個人資訊加把“鎖”

知與誰同發表於2017-07-04

6月1日,《中華人民共和國網路安全法》正式施行。這是我國首部網路安全法,保護個人資訊是其重要內容。

近年來,我國個人資訊洩露事件頻發,竊取個人隱私手段不斷翻新,移動網際網路以及物聯網的快速發展又給網路安全帶來新的隱患——《網路安全法》值得全社會共同關注。

竊取手段五花八門“老同學聚會拍的照片你自己看吧,哈哈,大家沒怎麼變呢。檢視請點開下面連結……”不久前參加過同學聚會的郭先生收到這條簡訊後,沒多想就點了連結,但沒看到同學聚會的照片。幾天後他用手機登入銀行賬戶時出現異常情況,就到銀行櫃檯詢問,結果被告知賬號已被盜。

讓郭先生中招的是一種名為“相簿”的木馬病毒,它能在手機中植入竊取資訊的惡意程式,手機感染後不僅會造成資訊洩露,甚至還可能引發財產損失。不久前,國家網際網路應急中心釋出的《2016年我國網際網路網路安全態勢綜述》顯示,2016年共發現“相簿”類惡意程式47316個,累計感染使用者超過101萬。

“相簿”類木馬只是諸多竊取個人資訊程式中的一種。在移動網際網路時代,不法分子由傳統的仿冒網址釣魚欺詐轉變成與簡訊、欺詐電話、手機木馬等手段相結合的複雜欺詐,網民不需要在釣魚網站上輸入個人資訊,也可能被不知不覺地竊取資訊。

移動網際網路應用(APP)也是惡意程式的重要傳播載體,一些冒牌應用或帶有惡意程式的應用,威脅著個人資訊的安全。《綜述》顯示,2016年,國家網際網路應急中心通過自主捕獲和廠商交換獲得移動網際網路惡意程式的數量達205萬餘個,近7年來持續保持高速增長的態勢。

截至2016年12月,我國網民規模達7.31億人,手機網民規模達6.95億人。購物、支付類應用場景的增加,也讓個人資訊更有牟利價值。在利益驅使下,一些不法分子販賣個人資訊, 甚至形成了龐大的灰色產業鏈。

安全專家、北京天融信科技有限公司副總裁唐寧表示,除了傳統病毒木馬威脅,近年來勒索軟體開始猖獗,成為面向個人資訊保安的重要威脅。

另一種對個人資訊保安造成威脅的是網路運營平臺資訊洩露。2013年年底,一家為全國4500多家酒店提供網路服務的公司因系統存在安全漏洞,致使全國2000萬條賓館住宿記錄洩露,洩露的資訊包括使用者姓名、證件號、聯絡方式、住宿時間等。

國家網際網路應急中心執行部高階工程師李佳表示,網站等運營平臺的漏洞被攻破,黑客就能入侵併植入後門,造成大面積的海量資訊洩露。

李佳說,一些網路運營商、平臺服務商、手機應用還會讀取、上傳使用者的簡訊、通話記錄等資訊,而有時候使用者並不知情。

網路安全專家、綠盟科技(300369,股吧)副總裁李晨說,一些軟體也會記錄使用者上網習慣,收集賬號登入資訊,甚至捆綁或植入其他軟體。他認為,當前黑客技術門檻變低,竊取資訊變得更加容易。與此同時,網路犯罪出現職業化的傾向,已經形成網路黑色產業鏈條,工具開發者、工具應用者和利用工具實施犯罪者都有明確的分工,形成了一套體系。

新技術成為“雙刃劍”

“因為網路服務升級,您所辦理的寬頻業務需要更新,收到資訊及時聯絡專線4008162378辦理變更申請……”家住北京的樑女士半年前辦理了一個寬頻套餐,這條資訊讓她差點信以為真。多虧她留了個心眼,向寬頻公司電話諮詢後才察覺這是一條詐騙簡訊。

儘管沒有上當,樑女士還是疑惑不解:為什麼對方知道我的真實姓名、手機號、家庭住址?這些資訊為何被洩露了?

李佳說,一些掌握了大量使用者個人資訊的傳統公司,比如房產、中介、銀行、保險、快遞等,由於內部管理不嚴等原因,個人資訊常被偷偷售賣。

2015年之後,大資料技術開始進入實戰應用階段,在推進了不少行業和領域變革的同時,也對網路安全提出了新挑戰。唐寧表示,在大資料、雲端計算等資訊科技的支撐下,企業收集、儲存、處理資料的成本大大降低。包括個人資訊在內的資料只有通過流動、共享甚至交易才能充分發揮其社會價值、經濟價值,而這些資料在流動和交易過程中,又極易產生個人資訊擴散、失控的危險,個人隱私洩露的威脅將持續存在。

此外,隨著物聯網的興起,個人在擁抱智慧生活、享受便利的同時,也面臨著越來越多的風險。《綜述》顯示,2016年針對物聯網裝置的網路攻擊增多。2016年國家資訊保安漏洞共享平臺(CNVD)收錄物聯網智慧裝置漏洞1117個,主要涉及網路攝像頭、智慧路由器、智慧閘道器等裝置,漏洞型別主要為許可權繞過、資訊洩露、命令執行等。

“萬物互聯,使資訊暴露更多端點,這就帶來了潛在的隱患,且一些智慧裝置本身的防護能力比較薄弱,容易被攻擊者利用漏洞獲取裝置控制許可權,或用於使用者資訊資料竊取,或用於控制形成大規模殭屍網路。”李晨說。

李佳介紹說,國家網際網路應急中心檢測發現,目前物聯網裝置中各種智慧攝像頭的隱患最為嚴重。2016年,監測發現超過13萬個聯網攝像頭存在漏洞,有被黑客入侵控制的風險。“這些攝像頭未來都會連線網際網路,一旦被黑客入侵,後者就可以遠端檢視攝像頭拍攝的視訊,可能導致個人資訊的洩露。”

李晨認為,個人資訊洩露之所以頻發,很重要的原因是個人資訊被暴露的環境和應用場景增加。網路犯罪是人類社會違法活動的網路化呈現,只要有利可圖就難以從根本上杜絕。

劍指資訊保護“痛點”

竊取個人資訊違法活動屢禁不止、打擊黑客難度大的一個重要原因,是個人資訊獲取、儲存和利用的環節更加複雜,線下和線上傳播具有隱蔽性和複雜性。與此同時,追本溯源成本高,發現、查處難度大,處罰、賠償力度小,也使販賣及非法使用個人資訊黑灰色產業鏈有了巨大的投機空間。

法律缺失也是個人資訊違法活動猖獗的原因之一。在《網路安全法》出臺之前,相關管理部門雖然制定並頒佈了多個網路資訊保安的規定和辦法,但立法層級比較低,對一些網路安全違法行為界定不清晰,處罰力度不夠,缺乏足夠的威懾力。

據介紹,針對個人資訊保護的“痛點”,《網路安全法》在資訊收集使用、網路運營者應盡的保護義務等方面提出了明確要求。比如,網路運營者不得洩露、篡改、毀損其收集的個人資訊,未經被收集者同意,不得向他人提供個人資訊,但是經過處理無法識別特定個人且不能復原的除外。

針對取證難、追責難的困局,《網路安全法》還明確了網路資訊保安的責任主體,確立了“誰收集,誰負責”的基本原則。

李佳說,保護個人資訊,個人使用者也要提高自身安全意識。如非必要,儘量不要在一些網站上提交個人資訊;要訪問正規的網站,避免被釣魚網站騙取個人資訊等。

網路安全管理部門和產業界則呼籲,建立協同處理安全風險的機制,快速響應並加強對安全態勢的監測和感知。

國家網際網路應急中心副主任劉欣然介紹說,當前我國處理網路安全面臨的問題主要體現在3方面:一是注重自己的領域,行業溝通不足;二是系統孤立,技術成果和能力難以共享;三是在機制上缺乏標準,沒有組織化和體系化。他建議,要儘快建立監測、研判、預警、處置和追蹤的網路安全問題聯合處置機制

本文轉自d1net(轉載)


相關文章