6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式施行。这是我国首部网络安全法,保护个人信息是其重要内容。
近年来,我国个人信息泄露事件频发,窃取个人隐私手段不断翻新,移动互联网以及物联网的快速发展又给网络安全带来新的隐患——《网络安全法》值得你我共同关注。
窃取手段五花八门
点开老同学聚会照片链接,银行账号却被盗
“老同学聚会拍的照片你自己看吧,哈哈,大家没怎么变呢。查看请点开下面链接……”不久前参加过同学聚会的郭先生收到这条短信后,没多想就点了链接,但没看到同学聚会的照片。几天后他用手机登录银行账户时出现异常情况,就到银行柜台询问,结果被告知账号已被盗。
让郭先生中招的是一种名为“相册”的木马病毒,它能在手机中植入窃取信息的恶意程序,手机感染后不仅会造成信息泄露,甚至还可能引发财产损失。不久前,国家互联网应急中心发布的《2016年我国互联网网络安全态势综述》(以下简称《综述》)显示,2016年共发现“相册”类恶意程序47316个,累计感染用户超过101万。
“相册”类木马只是诸多窃取个人信息程序中的一种。在移动互联网时代,不法分子由传统的仿冒网址钓鱼欺诈转变成与短信、欺诈电话、手机木马等手段相结合的复杂欺诈,网民不需要在钓鱼网站上输入个人信息,也可能被不知不觉地窃取信息。
移动互联网应用(APP)也是恶意程序的重要传播载体。一些冒牌应用或带有恶意程序的应用,威胁着个人信息的安全。《综述》显示,2016年,国家互联网应急中心通过自主捕获和厂商交换获得移动互联网恶意程序数量205万余个,近7年来持续保持高速增长的态势。
截至2016年12月,我国网民规模达7.31亿人,手机网民规模达6.95亿人。购物、支付类应用场景的增加,也让个人信息更有牟利价值。在利益驱使下,一些不法分子贩卖个人信息,甚至形成了庞大的灰色产业链。
安全专家、北京天融信科技有限公司副总裁唐宁表示,除了传统病毒木马威胁,近年来勒索软件开始猖獗,成为面向个人信息安全的重要威胁。典型的例子,就是不久前在全球大规模爆发的勒索蠕虫。
另一种对个人信息安全造成威胁的是网络运营平台信息泄露。2013年底,一家为全国4500多家酒店提供网络服务的公司因系统存在安全漏洞,致使全国2000万条宾馆住宿记录泄露,泄露的信息包括用户姓名、证件号、联系方式、住宿时间等等。
国家互联网应急中心运行部高级工程师李佳表示,网站等运营平台的漏洞被攻破,黑客就能入侵并植入后门,造成大面积的海量信息泄露。
李佳说,一些网络运营商、平台服务商、手机应用还会读取、上传用户的通讯录、短信、通话记录等信息,而有时候用户并不知情。
网络安全专家、绿盟科技副总裁李晨说,一些软件也会记录用户上网习惯,收集账号登录信息,甚至捆绑或植入其他软件。他认为,当前黑客技术门槛变低,窃取信息变得更加容易。与此同时,网络犯罪出现职业化的倾向,已经形成网络黑色产业链条,工具开发者、工具应用者和利用工具实施犯罪者都有明确的分工,形成了一套体系。
新技术成为双刃剑
2016年监测发现超过13万个联网摄像头存在漏洞
“因为网络服务升级,您所办理的宽带业务需要更新,收到信息及时联系专线4008162378办理变更申请……”家住北京的梁女士半年前办理了一个宽带套餐,这条信息让她差点信以为真。多亏她留了个心眼,向宽带公司电话咨询后才察觉这是一条诈骗短信。
尽管没有上当,梁女士还是疑惑不解:为什么对方知道我的真实姓名、手机号、家庭住址?这些信息为何被泄露了?
李佳说,一些掌握了大量用户个人信息的传统公司,如房产、中介、银行、保险、快递等,由于内部管理不严等原因,个人信息被偷偷售卖。
2015年之后,大数据技术开始进入实战应用阶段,在推进了不少行业和领域变革的同时,也对网络安全提出了新挑战。唐宁表示,在大数据、云计算等信息技术的支撑下,企业收集、保存、处理数据的成本大大降低。包括个人信息在内的数据只有通过流动、共享甚至交易才能充分发挥其社会价值、经济价值,而这些数据在流动和交易过程中,又极易产生个人信息扩散、失控的危险,个人隐私泄露的威胁将持续存在。
此外,随着物联网的兴起,个人在拥抱智能生活、享受便利的同时,也面临着越来越多的风险。《综述》显示,2016年针对物联网设备的网络攻击增多。2016年国家信息安全漏洞共享平台(CNVD)收录物联网智能设备漏洞1117个,主要涉及网络摄像头、智能路由器、智能网关等设备,漏洞类型主要为权限绕过、信息泄露、命令执行等。
“万物互联,使信息暴露更多端点,这就带来了潜在的隐患。且一些智能设备本身的防护能力比较薄弱,容易被攻击者利用漏洞获取设备控制权限,或用于用户信息数据窃取,或用于控制形成大规模僵尸网络。”李晨说。
李佳介绍说,国家互联网应急中心检测发现,目前物联网设备中各种智能摄像头的隐患最为严重。2016年,监测发现超过13万个联网摄像头存在漏洞,有被黑客入侵控制的风险。“这些摄像头未来都会连接互联网,一旦被黑客入侵,后者就可以远程查看摄像头拍摄的视频,可能导致个人信息的泄露。”
李晨认为,个人信息泄露之所以频发,很重要的原因是个人信息被暴露的环境和应用场景增加。网络犯罪是人类社会违法活动的网络化呈现,只要有利可图就难以从根本上杜绝。
剑指信息保护痛点
《网络安全法》规定,未经被收集者同意,不得向他人提供个人信息
窃取个人信息违法活动屡禁不止、打击黑客难度大的一个重要原因,是个人信息获取、存储和利用的环节更加复杂,线下和线上传播具有隐蔽性和复杂性。与此同时,追本溯源成本高,发现、查处难度大,处罚、赔偿力度小,也使贩卖及非法使用个人信息黑灰色产业链有了巨大的投机空间。
法律缺失也是个人信息违法活动猖獗的原因之一。在《网络安全法》出台之前,相关管理部门虽然制定并颁布了多个网络信息安全的规定和办法,但立法层级比较低,对一些网络安全违法行为界定不清晰,处罚力度不够,缺乏足够的威慑力。
据介绍,针对个人信息保护的痛点,《网络安全法》在信息收集使用、网络运营者应尽的保护义务等方面提出了明确要求。比如,网络运营者不得泄露、篡改、毁损其收集的个人信息,未经被收集者同意,不得向他人提供个人信息,但是经过处理无法识别特定个人且不能复原的除外。
针对取证难、追责难的困局,《网络安全法》还明确了网络信息安全的责任主体,确立了“谁收集,谁负责”的基本原则。
李佳说,保护个人信息,个人用户也要提高自身安全意识。如非必要,尽量不要在一些网站上提交个人信息;要访问正规的网站,避免被钓鱼网站骗取个人信息等。
网络安全管理部门和产业界则呼吁,建立协同处理安全风险的机制,快速响应并加强对安全态势的监测和感知。
国家互联网应急中心副主任刘欣然说,当前我国处理网络安全面临的问题主要体现在三方面:第一是注重自己的领域,行业沟通不足;第二是系统孤立,技术成果和能力难以共享;第三是在机制上缺乏标准,没有组织化和体系化。他建议,要尽快建立监测、研判、预警、处置和追踪的网络安全问题联合处置机制。