“为了保护网民的信息安全,苹果要求年底前所有的app都要使用https;
为了保护网民的信息安全,网信办发布app管理规定,要求你用真实身份在各个不靠谱的app注册”;
“听网信办的肯定不会错,这个单位背景硬得狠,出了问题有法律给咱扛着。”
鉴于看懂这些调侃需要一定的行业背景,我先翻译一下,就是安全资深人士觉得“不靠谱”。
(注:为了保护各位段子手的隐私,这里不带ID,如有疑问,请提供真实姓名手机号码及身份证号,在确认身份后给你补上版权说明。)
国家网信办今天发布了《移动互联网应用程序信息服务管理规定》,定于8月1日开始实施。本意是解决“少数应用程序被不法分子利用,传播暴力恐怖、淫秽色情及谣言等违法违规信息,有的还存在窃取隐私、恶意扣费、诱骗欺诈等损害用户合法权益的行为,社会反映强烈”的问题。同时提出六大义务,简单来说围绕两大块:
一是为了抓捕传播非法信息的违法分子,你们需要配合收集用户准确身份信息(网络ID到真实身份的对应关系);
二是你们在用户不明确同意的情况下,禁止收集敏感信息和捆绑安装。当从这两点来看,有没有问题?我认为是没有任何问题的,没毛病,切实解决老百姓的实际问题。既然没毛病,那么大家又在吐槽什么呢?
之前在很多次的采访中,记者都会让我提建议,如何解决现有互联网的网民安全问题。我的答案其实很无奈,没有办法根本上解决问题,只能通过类似注册马甲的方式减缓危害。去年我写了《糊涂比清醒更幸福》大意就是表述了这种无奈感。信息泄露问题无处不在,快递,送餐,电商,教育,买车买房贷款等等。你生活的各个方面都有可能被泄露了信息,所以,一些资深的安全技术人员在万不得已的情况下,不会用真实身份注册,跟财产相关的操作在隔离网络运行。另外一般都会选择对应不上真实身份的方法让自己淹没在大量泄漏的数据当中,因为针对性的攻击危害远比泛泛的攻击危害大得多,所以这种伪装无法不让信息泄漏,而是即使泄漏了你也不知道是我。
安全人员两大特性:
一是马甲特别多;
二是金融相关的网络操作特别少。
《规定》一出台,这种马甲的可能性就大大降低了。打击犯罪大家都支持,只不过为了打击万分之一的犯罪情况,顺带把网民被攻击的可能性放大了100倍。这种结果就是大家不愿意见到,但是这种结果基本上又是可以预料到的。
为什么这么说?如果如下几点国内的互联网形式具备了,那么我觉得风险就能减低:
企业方重视安全,在安全能力建设上持续投入,有专业的安全团队,以及每年的投入占比不能低于1%。
只有这样才能满足跟黑客对抗的最起码基础:做好业务系统的安全加固和防护;用户信息进行隔离存储和加密存储;有应急响应的能力。前期的无数次大企业漏洞披露和数据泄漏的血淋淋的事实都证明了:安全事故是无法杜绝的,在利益驱使下,黑客的力量产生的冲击力绝大多数企业根本无法抵抗。目前国内有超过5个专业安全技术人员的独立部门的企业都屈指可数,尤其是初创企业,在业务发展的初期太不可能投入安全了。而不投入就等于把数据送给了黑客。
严格立法要求企业对安全事故负责,尤其是跟隐私相关的数据泄露必须有惩罚和赔偿机制,并且执法必严。
只有这样才能将安全由表面工程落地到实处。不允许企业增加“黑客攻击导致的数据泄漏不承担责任”类似的霸王免责条款。同时,严格管束企业方对数据的利用情况,出一次事处罚一次。
严格立法定义黑客行为,加大黑产打击和处罚力度。
黑客一直猖獗的原因就在于产出高风险小,网络的便利性可以让他们随时“活跃”于全球各地,跨越地域的执法成本很高,执法部门疲于拼命。相关部门投入很大,也产出了很多成绩,客观上来讲,跟黑产的发展成正比,你追我赶的形式一定时间内看不到本质上的变化。