|
编辑 | 于斌
出品 | 潮起网「于见专栏」
以色列软件监控公司NSO前段时间被媒体曝光,原因是该公司出售的“飞马”(Pegasus)手机间谍软件,被一些国家用来监控社会人士与政要,其潜在的监听目的名单竟然包含了5万多个手机号码。
这里面甚至有包括法国总统马克龙、伊拉克总统萨利赫、南非总统拉马福萨、巴基斯坦总理伊姆兰·汗、埃及总理马德布利和摩洛哥首相奥斯曼尼在内的10多名国家领导人。
还有一大批各个国家的王室成员、政府官员、企业高管、著名人士、媒体记者等公众人物,包括中国在内的多国驻印度外交官,这个事情无论是从监听范围,还是从监视对象的身份来看,都是一起性质严重的信息窃听事件。
无形的信息安全危险却无处不在
《卫报》厥后观察称,在对其中60多部手机进行测试后发现,其中20多部已被成功入侵,10多部有被入侵的迹象,剩下的则不能确定是否被入侵。
据报道,监听者使用的“飞马”软件,可以轻松地入侵苹果和安卓手机,在极短的时间内获取手机里的联系方式、短信邮件、聊天记录、数据资料、GPS定位等重要讯息,甚至还可以在后台静静打开麦克风和摄像头进行实时录音。
按照以往的经验,实施手机监听之前,攻击者先要获得系统权限并安装间谍软件,然后才能在远程进行控制与操作,在这个过程中,安装软件的步骤是可能被小心的用户发现或拒绝的,而从目前的报导来看,“飞马”软件的攻击方式很隐蔽,甚至不需要点开“钓鱼”链接手机就中招了。
这让人不禁想起了8年前的“棱镜门”事件,与此类似,美国也是通过“棱镜门”计划,监控并盗取目的人物的敏感信息,从中搜集整理有价值的政治、军事、经济等方面的情报,以便于采取有针对性的应对措施与手段。
苹果公司对此发布声明称,“飞马”不会对大多数用户构成威胁,因为此类网络攻击很复杂,研发成本比较高,需要数百万美元,而且缺陷可以及时被修复,所以漏洞存在的有效期很短,因此这种软件一般是用来针对特定的人物。
即便如其所说只针对少数人,但很显然,如果负责重要部门的人员的手机被监听,那么对这个国家而言,就意味着存在巨大的安全漏洞与隐患,更况且假如已经存在而我们尚未可知,或者以后能研发出针对所有人的网络攻击手段,那又当怎样呢?美国的“棱镜门”事件就是一个很好的例子。
在这方面俄罗斯的做法就很值得借鉴,根据俄国家防御指挥中心的数据,近3年俄罗斯遭到的网络攻击或入侵次数呈逐年递增的态势,年均增长率接近15%,“棱镜门”等事件就暴露了美国等西方国家全方位对俄盗取情报的意图。
由于长期面临着西方的各种威胁,俄罗斯非常重视信息安全的全面建设,其《国家安全战略》就把信息安全列为了国家安全战略的优先方向,提出了信息安全防御策略,将信息空间战、信息安全防护、网络舆论斗争等纳入其重点建设的方向。
针对日益复杂的安全威胁,俄罗斯通过美满法律法规、加大信息安全建设力度等方式,不断地提升自身的网络防护能力。
俄联邦安全部门、监管机构和三大网络运营商一方面美满了信息安全方面的法规制度,明确禁止外国资本控制其电信领域,另一方面不断加大对信息基础设施建设的投入力度,开发应对信息安全威胁的预警系统,确保能够及时锁定和阻止威胁来源。
为了在紧急情况下,能够摆脱对国际互联网的依赖,不受国外电信运营商的控制和威胁,俄方还多次进行了全国范围内的“断网”压力测试,并根据测试效果,加快了独立互联网和网络安全设施的建设。
俄罗斯还不断加强在信息安全领域的国际合作,依赖上合组织、集安组织等平台,与友好国家一道,共同做好信息共享、安全防护、追踪溯源等工作,联合对抗西方在网络空间及信息安全领域的打压与遏制。
信息安全事关国家民众的基本利益
信息安全的重要性毋庸置疑,它与小到民众、企业的切身利益,大至社会、国家的安全稳定息息相干,随着科技的飞速进步,在各种终端与网络上,也承载了越来越多的信息与数据,数据正在成为信息时代的核心战略资源。
「于见专栏」认为,任何事情都存在两面性,信息技术一方面给我们的工作生活带来了各种便利,另一方面在数字化转型的浪潮之下,信息技术自身存在的潜在安全风险也是与日俱增,强化信息安全是我们必须要严肃应对的课题。
就危害程度而言,个人信息泄露可能会给个人带来一定的经济损失,整个经济领域的信息安全如果出现问题,则可能给社会及国家的经济、安全、国防、环境等带来无法估量的严重损失。
今年5月,美国最大的成品油运输管道运营商Colonial Pipeline公司,遭到了勒索病毒的攻击,导致5000多英里输油管道被迫关闭,美国东部十多个州进入燃料短缺的紧急状态,让疫情之中的美国雪上加霜,经济损失不计其数,最后公司老老实实交出了500万美元赎金才得以规复运行。
信息安全的威胁除了来自外部环境,也可能存在于内部的某个环节,例如平台的监管漏洞、钓鱼网站盗取、超出授权的数据共享、个人不慎透露等,都有可能导致信息的泄露。
据统计,有近80%的网民存在一项或多项个人信息泄露的情况,如姓名、年龄、身份证号码、人脸信息等,这些都有可能被非法分子所利用,2020年包括公安部在内的有关部门破获电信网络诈骗案件高达30多万起,拦截诈骗电话7亿多次,诈骗短信15亿条以上,挽回经济损失1800多亿元。
现在是海量数据汇集的互联网时代,企业有了越翔实的数据,就能够提供更精准的服务,从而获取更多的利益,因此规模越大的企业,手中掌握的用户隐私数据就越多。
另外,还有APP应用软件过度索要权限、私下收集个人信息等问题也比较突出,如果不加强对个人信息的有效保护,对这些情况如果不严格地加以监管,就有可能会造成较大规模的用户个人隐私泄露或不合理的使用。
据《2020年度数据泄漏态势分析报告》显示,2020年个人信息泄漏的情况占了全年数据泄漏事件的60%,有鉴于此,引起大家重视、提高全民的信息安全防范意识已经是刻不容缓,所以今年的“315”晚会就把个人信息安全列为曝光问题的首位。
监管部门也在加紧举措,今年以来,国家网信办已完成了对30万款APP的技术检测,对不合要求的1800多款APP进行了通报,要求其运营者限期完成整改,而且下架了100多款不整改的APP。
今年上半年,网信办对违规收集使用个人信息的猎豹清理大师、虎牙直播、Keep等200多款APP进行了通报,7月份,监管部门发布了对“运满满”、“货车帮”、“BOSS直聘”、“滴滴出行”实施网络安全审查的公告,接连打出的重拳也同时敲响了警钟,个人信息的安全问题一时间也引起了大家的广泛关注。
同时根据《网络安全法》、《数据安全法》、《个人信息保护法》等法规,监管部门还将进一步强化对数据信息在境外使用的法律保护,例如在海外上市的公司将碰面临更加细致的数据合规性审核,防止重要的数据非法流出境外,跨国企业在向境内消费者提供商品服务或跨境支付时,也要严格遵守上述法律,避免过度收集和使用个人信息。
这方面国外也有很多先例,2020年,法国国务委员会认为谷歌对安卓用户的数据保护选项的提供“不够清楚和透明”,涉嫌违反了欧盟的《通用数据保护条例》(GDPR),对其进行了五千万欧元的处罚。
信息安全是数字经济健康发展的基石
随着数字化浪潮的兴起,包括云计算、区块链、大数据、AI、物联网、5G等数字化技术与社会经济的深度融合,已经开启了一个全新的数字时代,成为我国实现经济稳健增长的关键动力,2020年在疫情影响和全球经济下行双重影响之下,我国的数字经济依然保持了9.7%的高增长态势。
中国信通院发布的《中国数字经济发展白皮书(2021年)》显示,去年我国数字经济规模近40万亿元,占GDP的比重接近四成,年增速达到了GDP增速的3倍以上。
「于见专栏」认为,今天的数据已成为支撑经济、社会、国防等建设的“液体石油”,智能化与数据分析技术,既提供了无尽的使用便利,也给个人与国家带来了更多的安全风险与不确定性因素。
现在我国对信息安全问题也是越来越重视,相干的法律法规体系也在不断地美满之中,《网络安全法》、《数据安全法》、《个人信息保护法》等法规的颁布与施行,表明围绕网络信息安全与个人隐私保护方面,我国已经拥有了一套比较美满的法律体系,为各项工作的有序开展指明了方向,后续还要进一步美满好配套的制度细则和具体尺度。
从公开的新闻报道中不难看出,几十年来针对我国的网络攻击与渗透,一直就没有停止过,各种探测攻击手段也是层出不穷,而信息数据一旦被泄露或滥用,轻则个人、企业会遭受巨大损失,重则国家的安全也会受到严重的威胁。
所以除了思想上高度重视,对危害国家信息安全的行为保持“零容忍”,采取各种有效的保密加密措施以外,我们还要把信息安全的钥匙攥在自己手中,定期做好信息安全的网络监控、防护评估与应急响应。
既要注重“硬实力”的锻造,也要聚焦“软实力”的打磨,围绕信息在网上的传播途径,加强对密码技术、防火墙、主功防护、入侵检测等技术的研发与应用,要确保技术手段自主可控,能用国产设备构筑起一道信息安全的护城河。
只有自己拥有的才是最好的,对基于网络技术的软硬件,如交换机、路由器、手机电脑的操作系统及硬件等,也要尽量用国产化的设备进行替代,例如可以大力推广华为的鸿蒙手机操作系统。
在积极扶持信息化产业的同时,要依赖国内的大市场,积极构建国产信息安全软件、硬件和网络技术的生态环境,不断地强盛、做强相干的产业链。
这样做有两个好处,一个是核心关键技术自主可控,技术掌握在自己的手中,不用担心用别人的软硬件,会被事先静静地植入后门盗取信息。
另一个是像“飞马”可以突破苹果与安卓的操作系统,说明这两类系统由于应用太广泛,各方面都已经被大家研究得比较透彻了,而用自主的操作系统,对手如果想攻击的话,还需要先花时间对系统进行分析研究,这样我们也能够偶然间从底层架构分析漏洞,及时打牢补丁,如此一来,信息领域的安全系数就可以大为提升了。
「于见专栏」认为,科技实在是一把双刃剑,关键看使用者的目的怎样,在当前的环境下,除了个人需要树立信息的自我保护意识,企业应当知法守法依规经营以外,我们还应当不断地加强对信息威胁及时的发现、预警、阻断与溯源能力,在加强网络安全保护的基础上,加快实现数字经济的发展和建设数据强国的宏伟目的。
结语
魔高一尺,道高一丈,信息安全是关乎国家安全、社会发展与百姓安宁的重大问题,保护信息安全是一项长期的重要工作,只有提升防范意识,抓紧数据安全保护这根弦不放松,做大做强网络信息安全的产业链,使用更多的国产设备与技术,才能更好地为数字化经济的乘风破浪之旅保驾护航。 |
|