360周鴻祎:IOT時代的信息安全 六挑戰(zhàn)三原則
前一段時間我干了很多和安全關(guān)系不大的事情,看到了很多傳統(tǒng)行業(yè)的老大如何患上“互聯(lián)網(wǎng)焦慮癥”,他們害怕互聯(lián)網(wǎng)成為傳統(tǒng)價值的毀滅者,其實這些是對于互聯(lián)網(wǎng)的一些誤解,所以我還寫了一本書,講我的互聯(lián)網(wǎng)方法論。
很多人問我互聯(lián)網(wǎng)思維是什么?如果用一個詞總結(jié)是什么?我想了想是在過去的20年里互聯(lián)網(wǎng)最大的力量就是實現(xiàn)了“網(wǎng)聚人的力量”,互聯(lián)網(wǎng)把我們很多人連接起來。
在互聯(lián)網(wǎng)第一代的時候是PC互聯(lián)網(wǎng),我們每個人的電腦連接起來,這時候安全問題還OK,當時的防病毒和查殺流氓軟件,以及我們很多邊界和防火墻的防御技術(shù);但到了互聯(lián)網(wǎng)的新階段,我們每個人都用手機了,今天手機已經(jīng)變成我們每個人手上的一個器官,我們每個人有一種新的病,幾分鐘不看手機就覺得心里很失落,手機變成了一個新的連接點。手機打破了我們原來對邊界的定義,手機更多和我們的個人隱私信息聯(lián)接在一起,所以,安全的問題變得更加嚴重。
有一個好消息,也是一個壞消息,手機互聯(lián)網(wǎng)之后,下一個五到十年我們的互聯(lián)網(wǎng)將會往何處去?
其實我覺得一個最重要的時代可能要開始那就是IoT——Internet of Things,萬物互聯(lián)。
美國的硅谷現(xiàn)在非常流行IoT這個詞,Internet of Things,我早些時候提出來有些人質(zhì)疑是“物聯(lián)網(wǎng)”的翻版,但是我認為并不是。物聯(lián)網(wǎng)被翻譯成傳感器網(wǎng)絡(luò),而IoT網(wǎng)絡(luò)是萬物互聯(lián)的。
來IoT時代,所有設(shè)備都將內(nèi)置一個智能芯片和智能OS,所有設(shè)備都能通過各種網(wǎng)絡(luò)協(xié)議進行通信,而且是7 x 24小時的相連,能夠產(chǎn)生真正海量的大數(shù)據(jù);并且,伴隨大數(shù)據(jù)應(yīng)用的逐步升級,也會讓機器變得更加智能,甚至具備自己的意識。我認為,IOT時代的信息安全其實也是大數(shù)據(jù)的安全問題,而且至少要面臨六方面的挑戰(zhàn)。
首先,當所有的設(shè)備都變成智能化,都接入網(wǎng)絡(luò)以后,邊界的概念將會進一步被削弱,也就是說接入點越多,可以被攻破的這種可能的入口就會越多。過去,我們很信奉“隔離”、“切斷”,我們可以把電腦放在一個屋子里,我們可以把一個網(wǎng)絡(luò)進行隔離,但今天你會發(fā)現(xiàn)越來越多的不起眼設(shè)備都支持Wi-Fi和藍牙,這里面有太多可以被別人攻擊的接入點,而且攻擊點越多,對防守的挑戰(zhàn)就會越大。
第二,未來企業(yè)都將成為互聯(lián)網(wǎng)企業(yè),企業(yè)信息安全面臨更大的挑戰(zhàn)。過去我們很多企業(yè)可能不太重視企業(yè)的安全,我們很多時候買防火墻是為了合規(guī),是上級要求和行業(yè)要求。過去我們企業(yè)的發(fā)展,可能把自己割裂在一個安全的孤島上,但你要變成互聯(lián)網(wǎng)企業(yè)之后,你不可避免要把自己的核心業(yè)務(wù)系統(tǒng)接入到互聯(lián)網(wǎng)上。
但當所有的企業(yè)都變成互聯(lián)網(wǎng)企業(yè)之后,企業(yè)安全一定要提高到一個更重要的優(yōu)先級上,也就是說當你的服務(wù)器或你的網(wǎng)絡(luò)被攻破之后,可能不意味著僅僅是你內(nèi)部數(shù)據(jù)的泄露,可能意味著用戶數(shù)據(jù)的災(zāi)難。
第三個問題,大數(shù)據(jù)污染。就是大數(shù)據(jù)中如果被人為加入了各種無效、錯誤的數(shù)據(jù),人為操作和注入修改虛假信息,在數(shù)據(jù)傳輸存儲過程中出現(xiàn)了問題,那么根據(jù)大數(shù)據(jù)所做的一切行業(yè)指導和趨勢分析,都可能面臨災(zāi)難性的后果。
第四,智能設(shè)備IoT被控制之后的災(zāi)難,這種危害或者會比電腦手機更大。
過去大家都記得,你的電腦中毒了、有問題了,大家最多覺得“今天給老板交的報告寫不出來了”,所以我電腦中毒了經(jīng)常成為工作完不成的一個借口。機出問題了呢,無非你們看到最近多了很多“艷照”,不小心照片上傳了;然今天手機和支付系統(tǒng)連在一起,可能當你的通信錄被盜用了,就會收到一些詐騙短信。包括前面講到的那個木馬之所以會得逞,就是因為它盜用了你的通信錄的地址本,熟人發(fā)來的短信,大家都會連接。
但IoT是可被控制的,不是一個單純的網(wǎng)絡(luò),這個被控制了帶來的風險就大了。
前段時間中國人崇拜完喬布斯之后,因為中國的假喬布斯太多了,他們又開始崇拜美國另外一個人,號稱鋼鐵俠,他造了一部汽車叫做特斯拉,他上次來中國的時候,我有幸和他們大家一起吃了晚餐。我問了一個他很惱怒的問題,我說你的汽車會被人駭客嗎?他說不會,我們所有的應(yīng)用都是自己寫的,我們不會安裝任何第三方應(yīng)用,所以不會有任何問題。我就提了兩個問題,第一個你的汽車是有Wi-Fi和藍牙,我可能駭客不了你的汽車,但你用手機接入的話,我可以駭客你的手機,我一樣可以通過手機駭客這個汽車。自然你是一個智能汽車,它就像一個大手機一樣,一定要和云端通信,所以如果有人下發(fā)了你的通信協(xié)議或者破解了你的云端的網(wǎng)絡(luò),我一樣可以控制你的汽車。
我們后來在全國征得了很多有識之士,有人成功破解了對特斯拉的協(xié)議,成功實現(xiàn)了對汽車的控制。所以,中國汽車廠要生產(chǎn)智能汽車,我給他們說最重要的不是邊開汽車邊看互聯(lián)網(wǎng)影視,最重要的是老百姓敢不敢開你的車,如果半路上突然死機了,突然藍屏了,突然彈出一個大窗口說你必須下載一個什么玩意兒,這樣的汽車不會有人開的,一旦出現(xiàn)問題就會非常的嚴重。
第五個問題,當大數(shù)據(jù)產(chǎn)生了人工智能之后,很可能人類技術(shù)發(fā)展會到達一個新的“奇點”。
比如說以后的機器人和智能汽車,我有一個斷言,它未必是由這個設(shè)備里的智能系統(tǒng)單獨做智能判斷,它一定是和云端一個更大的智能系統(tǒng)相連。
比如真正的智能駕駛,你何止需要這一部汽車的數(shù)據(jù)才能做判斷,可能需要路邊很多傳感器和很多其他汽車發(fā)來的信息,你需要在云端進行高速的分析,再反饋過去。所以,將來有一天可能不僅僅是這臺車上的電腦在指揮,很有可能是云端的一個機器在指揮。
因此,各種各樣無論是專用機器人還是通用機器人,在幾年以后也會越來越普及,都會和互聯(lián)網(wǎng)相連,甚至它們再反過來對各種設(shè)備進行反向控制。
這樣,當真正云端安全出現(xiàn)問題以后,機器智能帶來的轉(zhuǎn)換,這是我們下一個五到十年必須要考慮的問題。
第六個問題,也是最重要的一個挑戰(zhàn)就是對用戶隱私的挑戰(zhàn)。
如果說IOT時代,各種傳感器讓每個人的數(shù)據(jù)維度更加豐富了,而且產(chǎn)生的數(shù)據(jù)都記錄在云端,所以IOT時代的大數(shù)據(jù)下每個人都是透明的,一旦出現(xiàn)泄露后果也是極其嚴重的。
而且值得深思的是,在對用戶隱私信息的保護,現(xiàn)行的法律和規(guī)則的制定都是落后的,有很多問題是不清楚的,怎樣在這種情況下更好的去保護我們個人的隱私?除非不用任何先進設(shè)備、不接入網(wǎng)絡(luò),否則用戶的個人隱私信息永遠都是安全挑戰(zhàn)。
就像前幾天我看到美國有一家公司,只要給他的試管吐一口吐沫,就可以免費測出用戶的基因組。未來基因的檢測的成本會更低,而這樣的公司他直接拿到了用戶的最隱秘數(shù)據(jù)——基因。
所以說,IOT時代可以是某些企業(yè)的黃金時代,但同樣對信息安全的保護卻變得無比脆弱。對于這六個方面的挑戰(zhàn),有些已經(jīng)在發(fā)生,有些是即將發(fā)生。在此,我也提出一個新的想法,在大數(shù)據(jù)時代,如何保護用戶信息的三原則。
第一,數(shù)據(jù)應(yīng)該是用戶的資產(chǎn),這是必須明確的。雖然未來將有大量的信息存在互聯(lián)網(wǎng)服務(wù)商的服務(wù)器上,但是用戶數(shù)據(jù)的所有權(quán)必須明確,所有數(shù)據(jù)與信息都是屬于用戶的個人資產(chǎn)。
第二,任何企業(yè)都需要把收集到的用戶數(shù)據(jù)進行安全存儲和安全的傳輸,這是企業(yè)的責任和義務(wù)。
不僅僅是提供互聯(lián)網(wǎng)服務(wù)的公司,包括所有暫時存儲著用戶數(shù)據(jù)的想做互聯(lián)網(wǎng)業(yè)務(wù)的公司,都要提高公司安全能力,都要有加強安全防護水平的責任和義務(wù);既然你們要收集用戶數(shù)據(jù),就必須解決傳輸、存儲的基本安全問題。
第三,用戶信息的使用,一定要保障用戶的知情權(quán)和選擇權(quán),平等交換、授權(quán)使用。
存有用戶數(shù)據(jù)的企業(yè),在使用這些數(shù)據(jù)之前,一定要遵循平等交換,授權(quán)使用的原則,不能未經(jīng)許可采集和濫用。更重要的是,要保障用戶說“不”的權(quán)力:還有很多用戶可以選擇,當不需要某項服務(wù)時,可以把它關(guān)掉,可以拒絕采集數(shù)據(jù),用戶一定要有這種選擇權(quán)。
不論是現(xiàn)在,還是未來,這些數(shù)據(jù)在未經(jīng)用戶授權(quán)的情況下進行了交易牟利,這不僅要被視作不道德的行為,更應(yīng)該視為是非法的。
所以有了這三原則,在我們進入IoT時代時,我們才能讓用戶對下一代互聯(lián)網(wǎng)感覺更放心,才能更好的使用。
只有安全的互聯(lián)網(wǎng)才有美好的互聯(lián)網(wǎng),所以在互聯(lián)網(wǎng)上最重要的就是安全第一。
本文轉(zhuǎn)載自 PMtoo
- 目前還沒評論,等你發(fā)揮!