《網絡安全法》正式施行 為個人信息加把“鎖”

喻思孌

2017年06月02日08:29  來源:人民網-人民日報
 

人們在享受智能生活的同時不應忽視潛在的信息泄露風險。
  新華社發

6月1日,《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)正式施行。這是我國首部網絡安全法,保護個人信息是其重要內容。

近年來,我國個人信息泄露事件頻發,竊取個人隱私手段不斷翻新,移動互聯網以及物聯網的快速發展又給網絡安全帶來新的隱患——《網絡安全法》值得你我共同關注。

竊取手段五花八門

點開老同學聚會照片鏈接,銀行賬號卻被盜

“老同學聚會拍的照片你自己看吧,哈哈,大家沒怎麼變呢。查看請點開下面鏈接……”不久前參加過同學聚會的郭先生收到這條短信后,沒多想就點了鏈接,但沒看到同學聚會的照片。幾天后他用手機登錄銀行賬戶時出現異常情況,就到銀行櫃台詢問,結果被告知賬號已被盜。

讓郭先生中招的是一種名為“相冊”的木馬病毒,它能在手機中植入竊取信息的惡意程序,手機感染后不僅會造成信息泄露,甚至還可能引發財產損失。不久前,國家互聯網應急中心發布的《2016年我國互聯網網絡安全態勢綜述》(以下簡稱《綜述》)顯示,2016年共發現“相冊”類惡意程序47316個,累計感染用戶超過101萬。

“相冊”類木馬只是諸多竊取個人信息程序中的一種。在移動互聯網時代,不法分子由傳統的仿冒網址釣魚欺詐轉變成與短信、欺詐電話、手機木馬等手段相結合的復雜欺詐,網民不需要在釣魚網站上輸入個人信息,也可能被不知不覺地竊取信息。

移動互聯網應用(APP)也是惡意程序的重要傳播載體。一些冒牌應用或帶有惡意程序的應用,威脅著個人信息的安全。《綜述》顯示,2016年,國家互聯網應急中心通過自主捕獲和廠商交換獲得移動互聯網惡意程序數量205萬余個,近7年來持續保持高速增長的態勢。

截至2016年12月,我國網民規模達7.31億人,手機網民規模達6.95億人。購物、支付類應用場景的增加,也讓個人信息更有牟利價值。在利益驅使下,一些不法分子販賣個人信息, 甚至形成了龐大的灰色產業鏈。

安全專家、北京天融信科技有限公司副總裁唐寧表示,除了傳統病毒木馬威脅,近年來勒索軟件開始猖獗,成為面向個人信息安全的重要威脅。典型的例子,就是不久前在全球大規模爆發的勒索蠕虫。

另一種對個人信息安全造成威脅的是網絡運營平台信息泄露。2013年底,一家為全國4500多家酒店提供網絡服務的公司因系統存在安全漏洞,致使全國2000萬條賓館住宿記錄泄露,泄露的信息包括用戶姓名、証件號、聯系方式、住宿時間等等。

國家互聯網應急中心運行部高級工程師李佳表示,網站等運營平台的漏洞被攻破,黑客就能入侵並植入后門,造成大面積的海量信息泄露。

李佳說,一些網絡運營商、平台服務商、手機應用還會讀取、上傳用戶的通訊錄、短信、通話記錄等信息,而有時候用戶並不知情。

網絡安全專家、綠盟科技副總裁李晨說,一些軟件也會記錄用戶上網習慣,收集賬號登錄信息,甚至捆綁或植入其他軟件。他認為,當前黑客技術門檻變低,竊取信息變得更加容易。與此同時,網絡犯罪出現職業化的傾向,已經形成網絡黑色產業鏈條,工具開發者、工具應用者和利用工具實施犯罪者都有明確的分工,形成了一套體系。

新技術成為雙刃劍

2016年監測發現超過13萬個聯網攝像頭存在漏洞

“因為網絡服務升級,您所辦理的寬帶業務需要更新,收到信息及時聯系專線4008162378辦理變更申請……”家住北京的梁女士半年前辦理了一個寬帶套餐,這條信息讓她差點信以為真。多虧她留了個心眼,向寬帶公司電話咨詢后才察覺這是一條詐騙短信。

盡管沒有上當,梁女士還是疑惑不解:為什麼對方知道我的真實姓名、手機號、家庭住址?這些信息為何被泄露了?

李佳說,一些掌握了大量用戶個人信息的傳統公司,如房產、中介、銀行、保險、快遞等,由於內部管理不嚴等原因,個人信息被偷偷售賣。

2015年之后,大數據技術開始進入實戰應用階段,在推進了不少行業和領域變革的同時,也對網絡安全提出了新挑戰。唐寧表示,在大數據、雲計算等信息技術的支撐下,企業收集、保存、處理數據的成本大大降低。包括個人信息在內的數據隻有通過流動、共享甚至交易才能充分發揮其社會價值、經濟價值,而這些數據在流動和交易過程中,又極易產生個人信息擴散、失控的危險,個人隱私泄露的威脅將持續存在。

此外,隨著物聯網的興起,個人在擁抱智能生活、享受便利的同時,也面臨著越來越多的風險。《綜述》顯示,2016年針對物聯網設備的網絡攻擊增多。2016年國家信息安全漏洞共享平台(CNVD)收錄物聯網智能設備漏洞1117個,主要涉及網絡攝像頭、智能路由器、智能網關等設備,漏洞類型主要為權限繞過、信息泄露、命令執行等。

“萬物互聯,使信息暴露更多端點,這就帶來了潛在的隱患。且一些智能設備本身的防護能力比較薄弱,容易被攻擊者利用漏洞獲取設備控制權限,或用於用戶信息數據竊取,或用於控制形成大規模僵尸網絡。”李晨說。

李佳介紹說,國家互聯網應急中心檢測發現,目前物聯網設備中各種智能攝像頭的隱患最為嚴重。2016年,監測發現超過13萬個聯網攝像頭存在漏洞,有被黑客入侵控制的風險。“這些攝像頭未來都會連接互聯網,一旦被黑客入侵,后者就可以遠程查看攝像頭拍攝的視頻,可能導致個人信息的泄露。”

李晨認為,個人信息泄露之所以頻發,很重要的原因是個人信息被暴露的環境和應用場景增加。網絡犯罪是人類社會違法活動的網絡化呈現,隻要有利可圖就難以從根本上杜絕。

劍指信息保護痛點

《網絡安全法》規定,未經被收集者同意,不得向他人提供個人信息

竊取個人信息違法活動屢禁不止、打擊黑客難度大的一個重要原因,是個人信息獲取、存儲和利用的環節更加復雜,線下和線上傳播具有隱蔽性和復雜性。與此同時,追本溯源成本高,發現、查處難度大,處罰、賠償力度小,也使販賣及非法使用個人信息黑灰色產業鏈有了巨大的投機空間。

法律缺失也是個人信息違法活動猖獗的原因之一。在《網絡安全法》出台之前,相關管理部門雖然制定並頒布了多個網絡信息安全的規定和辦法,但立法層級比較低,對一些網絡安全違法行為界定不清晰,處罰力度不夠,缺乏足夠的威懾力。

據介紹,針對個人信息保護的痛點,《網絡安全法》在信息收集使用、網絡運營者應盡的保護義務等方面提出了明確要求。比如,網絡運營者不得泄露、篡改、毀損其收集的個人信息,未經被收集者同意,不得向他人提供個人信息,但是經過處理無法識別特定個人且不能復原的除外。

針對取証難、追責難的困局,《網絡安全法》還明確了網絡信息安全的責任主體,確立了“誰收集,誰負責”的基本原則。

李佳說,保護個人信息,個人用戶也要提高自身安全意識。如非必要,盡量不要在一些網站上提交個人信息﹔要訪問正規的網站,避免被釣魚網站騙取個人信息等。

網絡安全管理部門和產業界則呼吁,建立協同處理安全風險的機制,快速響應並加強對安全態勢的監測和感知。

國家互聯網應急中心副主任劉欣然說,當前我國處理網絡安全面臨的問題主要體現在三方面:第一是注重自己的領域,行業溝通不足﹔第二是系統孤立,技術成果和能力難以共享﹔第三是在機制上缺乏標准,沒有組織化和體系化。他建議,要盡快建立監測、研判、預警、處置和追蹤的網絡安全問題聯合處置機制。

《 人民日報 》( 2017年06月02日 20 版)

(責編:易瀟、楊虞波羅)

推薦閱讀