為個人信息加把鎖

竊取手段五花八門

“老同學(xué)聚會拍的照片你自己看吧，哈哈，大家沒怎么變呢。查看請點開下面鏈接……”不久前參加過同學(xué)聚會的郭先生收到這條短信后，沒多想就點了鏈接，但他沒看到同學(xué)聚會的照片。幾天后他用手機(jī)登錄銀行賬戶時出現(xiàn)異常情況，到銀行柜臺詢問時被告知賬號已被盜。

讓郭先生中招的是一種名為“相冊”的木馬病毒，它能在手機(jī)中植入竊取信息的惡意程序，手機(jī)感染后不僅會造成信息泄露，甚至還可能會導(dǎo)致財產(chǎn)損失。不久前，國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2016年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》（以下簡稱《綜述》）顯示，2016年共發(fā)現(xiàn)“相冊”類惡意程序47316個，累計感染用戶超過101萬。

“相冊”類木馬只是諸多竊取個人信息程序中的一種。在移動互聯(lián)網(wǎng)時代，不法分子由傳統(tǒng)的仿冒網(wǎng)址釣魚欺詐轉(zhuǎn)變成與短信、欺詐電話、手機(jī)木馬等手段相結(jié)合的復(fù)雜欺詐，網(wǎng)民不需要在釣魚網(wǎng)站上輸入個人信息，也可能被不知不覺地竊取信息。

移動互聯(lián)網(wǎng)應(yīng)用（APP）也是惡意程序的重要傳播載體。一些冒牌應(yīng)用或帶有惡意程序的應(yīng)用，威脅著個人信息的安全。《綜述》顯示，2016年，國家互聯(lián)網(wǎng)應(yīng)急中心通過自主捕獲和廠商交換獲得移動互聯(lián)網(wǎng)惡意程序數(shù)量205萬余個，近7年來持續(xù)保持高速增長的態(tài)勢。

截至2016年12月，我國網(wǎng)民規(guī)模達(dá)7.31億人，手機(jī)網(wǎng)民規(guī)模達(dá)6.95億人。購物、支付類應(yīng)用場景的增加，也讓個人信息更有牟利價值。在利益驅(qū)使下，一些不法分子販賣個人信息，甚至形成了龐大的灰色產(chǎn)業(yè)鏈。

安全專家、北京天融信科技有限公司副總裁唐寧表示，近年來勒索軟件開始猖獗，并對個人信息安全造成了重大的威脅。典型的例子，就是不久前在全球大規(guī)模爆發(fā)的勒索蠕蟲。

另一種對個人信息安全造成威脅的是網(wǎng)絡(luò)運(yùn)營平臺信息泄露。2013年底，一家為全國4500多家酒店提供網(wǎng)絡(luò)服務(wù)的公司因系統(tǒng)存在安全漏洞，致使全國2000萬條賓館住宿記錄泄露，泄露的信息包括用戶姓名、證件號、聯(lián)系方式、住宿時間等等。

國家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部高級工程師李佳表示，網(wǎng)站等運(yùn)營平臺的漏洞被攻破，黑客就能入侵并植入后門，造成大面積的信息泄露。

李佳說，一些網(wǎng)絡(luò)運(yùn)營商、平臺服務(wù)商、手機(jī)應(yīng)用還會讀取、上傳用戶的通訊錄、短信、通話記錄等信息，而有時候用戶并不知情。

網(wǎng)絡(luò)安全專家、綠盟科技副總裁李晨說，一些軟件也會記錄用戶上網(wǎng)習(xí)慣，收集賬號登錄信息，甚至捆綁或植入其他軟件。他認(rèn)為，當(dāng)前黑客技術(shù)門檻變低，竊取信息變得更加容易。與此同時，網(wǎng)絡(luò)犯罪出現(xiàn)職業(yè)化的傾向，并已經(jīng)形成了網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈條，工具開發(fā)者、工具應(yīng)用者和利用工具實施犯罪者都有明確的分工。

新技術(shù)成為雙刃劍

“因為網(wǎng)絡(luò)服務(wù)升級，您所辦理的寬帶業(yè)務(wù)需要更新，收到信息及時聯(lián)系專線4008162378辦理變更申請……”家住北京的梁女士半年前辦理了一個寬帶套餐，這條信息讓她差點信以為真。多虧她留了個心眼，向?qū)拵Ч倦娫捵稍兒蟛挪煊X這是一條詐騙短信。

盡管沒有上當(dāng)，梁女士還是疑惑不解：“為什么對方知道我的真實姓名、手機(jī)號、家庭住址？這些信息為何被泄露了？”

李佳說，一些掌握了大量用戶個人信息的傳統(tǒng)公司，如房產(chǎn)、中介、銀行、保險、快遞等，由于內(nèi)部管理不嚴(yán)等原因，導(dǎo)致個人信息被偷偷售賣。

2015年之后，大數(shù)據(jù)技術(shù)開始進(jìn)入實戰(zhàn)應(yīng)用階段，在推進(jìn)了不少行業(yè)和領(lǐng)域變革的同時，也對網(wǎng)絡(luò)安全提出了新挑戰(zhàn)。唐寧表示，在大數(shù)據(jù)、云計算等信息技術(shù)的支撐下，企業(yè)收集、保存、處理數(shù)據(jù)的成本大大降低。包括個人信息在內(nèi)的數(shù)據(jù)只有通過流動、共享甚至交易才能充分發(fā)揮其社會價值、經(jīng)濟(jì)價值，而這些數(shù)據(jù)在流動和交易過程中，又極易產(chǎn)生個人信息擴(kuò)散、失控的危險，個人隱私泄露的威脅將持續(xù)存在。

此外，隨著物聯(lián)網(wǎng)的興起，個人在擁抱智能生活、享受便利的同時，也面臨著越來越多的風(fēng)險?！毒C述》顯示，2016年針對物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊增多。2016年國家信息安全漏洞共享平臺（CNVD）收錄物聯(lián)網(wǎng)智能設(shè)備漏洞1117個，主要涉及網(wǎng)絡(luò)攝像頭、智能路由器、智能網(wǎng)關(guān)等設(shè)備，漏洞類型主要為權(quán)限繞過、信息泄露、命令執(zhí)行等。

“萬物互聯(lián)，使信息暴露更多端點，這就帶來了潛在的隱患。且一些智能設(shè)備本身的防護(hù)能力比較薄弱，容易被攻擊者利用漏洞獲取設(shè)備控制權(quán)限，或用于用戶信息數(shù)據(jù)竊取，或用于控制形成大規(guī)模僵尸網(wǎng)絡(luò)?！崩畛空f。

李佳介紹說，國家互聯(lián)網(wǎng)應(yīng)急中心檢測發(fā)現(xiàn)，目前物聯(lián)網(wǎng)設(shè)備中各種智能攝像頭的隱患最為嚴(yán)重。2016年，監(jiān)測發(fā)現(xiàn)超過13萬個聯(lián)網(wǎng)攝像頭存在漏洞，有被黑客人侵控制的風(fēng)險?！斑@些攝像頭未來都會連接互聯(lián)網(wǎng)，一旦被黑客入侵，后者就可以遠(yuǎn)程查看攝像頭拍攝的視頻，這極有可能會導(dǎo)致個人信息的泄露?！?/p>

李晨認(rèn)為，個人信息泄露之所以頻發(fā)，很重要的原因是個人信息被暴露的環(huán)境和應(yīng)用場景的增加。網(wǎng)絡(luò)犯罪是人類社會違法活動的網(wǎng)絡(luò)化呈現(xiàn)，只要有利可圖就難以從根本上杜絕。

6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）正式施行。這是我國首部網(wǎng)絡(luò)安全法，保護(hù)個人信息是其重要內(nèi)容。

近年來，我國個人信息泄露事件頻發(fā)，竊取個人隱私手段不斷翻新，移動互聯(lián)網(wǎng)以及物聯(lián)網(wǎng)的快速發(fā)展又給網(wǎng)絡(luò)安全帶來新的隱患——《網(wǎng)絡(luò)安全法》值得你我共同關(guān)注。

劍指信息保護(hù)痛點

《網(wǎng)絡(luò)安全法》規(guī)定，未經(jīng)被收集者同意，不得向他人提供個人信息。

竊取個人信息違法活動屢禁不止、打擊黑客難度大的一個重要原因，是個人信息獲取、存儲和利用的環(huán)節(jié)更加復(fù)雜，線下和線上傳播具有隱蔽性和復(fù)雜性。與此同時，追本溯源成本高，發(fā)現(xiàn)、查處難度大，處罰、賠償力度小，也使販賣及非法使用個人信息黑灰色產(chǎn)業(yè)鏈有了巨大的投機(jī)空間。

法律缺失也是個人信息違法活動猖獗的原因之一。在《網(wǎng)絡(luò)安全法》出臺之前，相關(guān)管理部門雖然制定并頒布了多個網(wǎng)絡(luò)信息安全的規(guī)定和辦法，但立法層級比較低，對一些網(wǎng)絡(luò)安全違法行為界定不清晰，處罰力度不夠，缺乏足夠的威懾力。

據(jù)介紹，針對個人信息保護(hù)的痛點，《網(wǎng)絡(luò)安全法》在信息收集使用、網(wǎng)絡(luò)運(yùn)營者應(yīng)盡的保護(hù)義務(wù)等方面提出了明確要求。比如，網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的個人信息，未經(jīng)被收集者同意，不得向他人提供個人信息，但是經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。

針對取證難、追責(zé)難的困局，《網(wǎng)絡(luò)安全法》還明確了網(wǎng)絡(luò)信息安全的責(zé)任主體，確立了“誰收集，誰負(fù)責(zé)”的基本原則。

李佳說，保護(hù)個人信息，個人用戶也要提高自身安全意識。如非必要，盡量不要在一些網(wǎng)站上提交個人信息；要訪問正規(guī)的網(wǎng)站，避免被釣魚網(wǎng)站騙取個人信息等。

網(wǎng)絡(luò)安全管理部門和產(chǎn)業(yè)界則呼吁，建立協(xié)同處理安全風(fēng)險的機(jī)制，快速響應(yīng)并加強(qiáng)對安全態(tài)勢的監(jiān)測和感知。

國家互聯(lián)網(wǎng)應(yīng)急中心副主任劉欣然說，當(dāng)前我國處理網(wǎng)絡(luò)安全面臨的問題主要體現(xiàn)在3個方面：第一是注重自己的領(lǐng)域，行業(yè)溝通不足；第二是系統(tǒng)孤立，技術(shù)成果和能力難以共享；第三是在機(jī)制上缺乏標(biāo)準(zhǔn)，沒有組織化和體系化。他建議，要盡快建立監(jiān)測、研判、預(yù)警、處置和追蹤的網(wǎng)絡(luò)安全問題聯(lián)合處置機(jī)制。

（摘自《天津工人報》2017年6月5日）