1704129410
举个例子,现在有很多厂商想要研发制造智能汽车,我曾经和他们交流过。在他们看来,未来智能汽车存在的最大问题不是自动驾驶,也不是电机充电,而是消费者会担心行驶在路上会不会被人攻击。
1704129411
1704129412
其中,有的厂商认为自己的系统非常坚固,几乎不可能被攻击。然后我给他讲了一个道理:你的智能汽车上有蓝牙、有Wi–Fi,这些可能都需要你用手机来操控。一旦如此,我就可以先控制你的手机,然后进一步控制你的汽车。现在,已经有不少黑客试图用类似的方法去劫持像特斯拉这样的智能汽车,让它在行驶过程中出问题。
1704129413
1704129414
这只是其中的一个例子,其实,以后这种边界安全的概念将会变得非常含糊。过去,我们说终端安全非常重要。进入IOT时代之后,这个终端将会随着IOT设备数目的增长而无限增长,这就带来了无数个攻击点。所以,这对我们每个做安全的企业都是一个巨大的挑战,当然也是一个巨大的机会。
1704129415
1704129416
(2)可能发生的物理伤害和人身伤害
1704129417
1704129418
以往我们所说的网络攻击:如果被攻击的是计算机,那么可能的后果无非就是损失一些文件;如果被攻击的是手机,那么可能会发生隐私泄露的情况,同时可能会出现在线欺诈。但一旦真正进入IOT时代,IOT设备充分普及,那么这种对IOT设备的攻击就非常可能会带来巨大的物理伤害或者人身伤害。
1704129419
1704129420
举个最典型的例子,还是汽车。前面说过,智能汽车存在被攻击的隐患,那么试想一下,如果你的汽车在行驶过程中突然死机,或者突然在高速公路上被叫停会发生什么。恐怕后果会非常严重。这样的情形在美国好莱坞大片中并不少见,比如在布鲁斯·威利斯主演的《虎胆龙威》(第五部)里,恐怖分子通过网络控制了工厂,控制了交通信号灯,控制了电梯甚至控制了别人家的门锁。这种网络攻击的结果自然比信息和个人隐私数据的丢失更为严重。在未来,这将不仅仅发生在一部科幻电影中。
1704129421
1704129422
(3)用户大数据带来的隐私问题
1704129423
1704129424
虽然我们现在都在谈大数据,但实际上,我觉得真正的大数据时代还没有真正到来。PC(个人计算机)时代,我们只有在工作时间才会产生一些数据。到了移动互联网时代,因为智能手机的普及,数据比以前多了很多,除了睡觉,我们都在用手机,各种APP(应用程序)会产生各种数据。但这些相对IOT时代,基本没有可比性。
1704129425
1704129426
进入IOT时代之后,IOT设备的数目会是现在的10倍。现在中国有6.88亿网民[1],假设未来平均一个人用两部手机,一部iPhone(苹果手机)、一部Android(安卓手机),那就是近14亿个移动设备。除了手机之外,我们每个人身上还会有至少5~10个智能设备,家里可能还会有20个左右的智能设备,甚至灯泡、插座这样的小物件都会连到互联网上。所以整个算下来,你会发现未来IOT设备的数目会是现在的10~20倍,也就是说,几年之后仅仅在中国市场,这种智能终端的数量就可能会达到140亿~280亿个,这无疑是一个巨大的数字。
1704129427
1704129428
除了数量众多之外,IOT设备还有一个特点。比如今天的运动手环或者智能手表,我们睡觉的时候它也在工作,它会每天24小时地把我们的数据上传到云端,这就意味着每个人各个维度的数据都会被收集起来,你会发现真到了那个任何个体都没有隐私可言的时代。对科技来说,我们彻底变成了一个透明的数码人,你所有的数据都会被不同的互联网公司拿到它们的服务器上。
1704129429
1704129430
3.用户信息安全三原则
1704129431
1704129432
现在,很多互联网企业非常激动,因为如果大数据收集和应用成为现实,那么它们就会知道很多事实,比如你是谁、你要干什么、你准备干什么等,并且可以借此做更精准的营销、做各种智能推荐。事实上,这已经不仅仅是想象;相反,它正在变成现实。但其中有一个问题需要平衡,就是如何保护用户隐私。
1704129433
1704129434
美国有一个著名的作家叫阿西莫夫,他写了很多经典的科幻小说,我非常喜欢他的作品。为了让机器文明的发展能够不伤害人类,他提出了一个“机器人三大法则”(第一法则:机器人不得伤害人类,或坐视人类受到伤害;第二法则:除非违背第一法则,机器人必须服从人类的命令;第三法则:在不违背第一及第二法则的基础上,机器人必须保护自己)。
1704129435
1704129436
受此启发,国内很多互联网公司交流之后,提出了一个“用户信息安全三原则”,在此和大家分享一下。
1704129437
1704129438
(1)数据是用户的资产,只不过用户把它托管在了互联网公司的服务器上
1704129439
1704129440
数据资产,目前这个概念在法律上还非常含糊。用户使用智能设备,使用手机上的APP,产生的数据被上传到云端,最后放在互联网公司的云端服务器上。这是数据产品和存储的整个过程。数据到底是谁的资产?目前法律上并没有明确的规定。但是我们觉得应旗帜鲜明地规定这些数据资产是用户的资产,只不过用户把它托管在了各个互联网公司的服务器上。
1704129441
1704129442
当然,其中还有一个概念没有说清楚,那就是IOT时代的互联网公司将不仅仅是我们现在所定义的这些互联网公司,以后很多企业都会变成互联网公司。比如,过去卖电视的人没有用户数据,但有了智能电视之后,用户一旦购买,也就和企业建立了连接;以后卖汽车的企业也至少会有一个云端服务器用来对每辆汽车进行升级和更新。所以,从这个角度来说,以后会有越来越多的企业使用IOT技术,也就会有越来越多我所定义的这种互联网公司。
1704129443
1704129444
(2)用户有知情权和选择权,企业要使用,需要拿到授权
1704129445
1704129446
用户之所以心甘情愿地把数据交给互联网公司使用,一定是他可以通过这种出让行为换取很多免费或者有价值的服务。
1704129447
1704129448
比如,当使用搜索引擎的时候,我们之所以愿意让搜索引擎将自己的搜索请求存储在它的服务端,一定是我们需要搜索结果来解决问题,才会愿意把自己内心非常隐私的东西输入进去。再比如,我们在用APP或者微信这些手机应用或IM(即时通信)软件的时候,之所以愿意把自己的地址本全部上传,是因为只有这样做系统才能帮助我们进行匹配,然后才能知道谁是我们的朋友、谁是我们朋友的朋友、我们和谁联系最频繁。
1704129449
1704129450
互联网公司要利用这些用户数据牟利,这无可厚非,也算是正当的商业模式,但最关键的问题是,我们觉得用户要有知情权和选择权。也就是说,用户不是完全被动的,企业必须通过提供某种免费服务来换取这种授权。如果确实有少数用户不愿意拿自己的隐私去做这种商业上的交换,那么我觉得这些用户有权要求互联网公司销毁和删掉自己的数据或者自己拿走这些数据。
1704129451
1704129452
(3)互联网公司有义务维护用户数据的安全
1704129453
1704129454
当下,存在很多用户信息丢失或者泄露的情况,究其原因,主要还是互联网公司自己的安全水平不过关,最终导致服务器被人攻破,用户信息被窃取,其中甚至包括用户的信用卡信息。归根到底,还是互联网公司的安全意识或者技术能力存在问题,有些网站甚至直接用明文来储存用户信用卡的密码和信用卡的最后三个数字,这些本来都是应该加密的。
1704129455
1704129456
所以,虽然现在很多企业非常兴奋地表示自己也要利用IOT技术,转型成为互联网公司,但我更希望它们能够扪心自问,看看自己是否真的具备了这种安全存储、安全传输的技术能力和产品能力。也就是说,当你在夸耀自己拿到了多少用户数据的同时,必须要尽好保护用户数据的责任。因为一旦有人攻破你的服务器并拿走这些用户数据,造成的后果将不堪设想。现在很多用户为了记忆方便,所有网站和APP上用的都是同一个密码,这就意味着如果其中一个被攻破,那么其他的网站和APP也会受到攻击。
1704129457
1704129458
这就是我们提出的用户信息安全三原则。我们希望,在未来,无论是中国的还是美国的所有做网络安全的公司,包括做用户隐私保护的公司,也包括很多传统的互联网公司,都能以用户数据的安全为己任。在我看来,只有让用户有安全感、让用户觉得自己的隐私得到了保护,用户才会放心地花更多的时间使用各种互联网新技术和新产品;只有这样互联网才能繁荣。这也是我们一直做免费安全的一个哲学。
1704129459
[
上一页 ]
[ :1.70412941e+09 ]
[
下一页 ]