Internet of Things(IOT)时代之后,人类正在进入Internet of Everything(IoE)。无处不在的计算和连接设备正在满足人类的贪婪和懒惰,让人类生活更加舒适的同时却带来的前所未有的安全挑战。正如周鸿祎在2014年互联网安全大会上所描绘的,互联网安全已进入Security of Things(SoT)时代,大数据安全、云端安全、隐私安全和实体世界安全成为重中之重。
比特原子化大潮掀起安全风暴
传统世界由原子组成,信息革命则带来呈现海量爆炸的比特世界。随着互联网纵深发展,两个下沉趋势正在发生,一是互联网下沉到传统行业成为其升级工具;二是互联网下沉到所有设备掀起智能化大潮。正是“比特原子化”的趋势这个大背景,让互联网安全面临全新的挑战。
人类的贪婪懒惰催生了大量改变世界的发明,万物互联很大程度也是这个原因。人们期望汽车自动驾驶、机器人可以做完家务和陪伴孩孩子、尚未到家便可以用手机控制空调提前制冷;政府部门为了提高破案效率和维护社会治安部署着海量的摄像头;商场为了进行精准营销则开始部署近场感应网络……
每个人、每个家庭、每个企业都在拥有着越来越多的具备操作系统和联网能力的设备。每个人所处的环境中的具备感知和计算能力的设备也在曾爆炸式增长之中。周鸿祎估计未来三五年内这些设备数量为达到200亿规模,远远超过地球人之和。海量设备在服务人类的同时却带来更大的安全挑战。
周鸿祎眼中的六大新安全问题
1、边界正在消失,传统手段失效
PC和手机安全在网络和系统层面尚且拥有边界,隔离、切断行之有效。但IoT(Internet of Things)时代,海量设备分散在不同的物理地点又交叉连接、终端必须与云连接以使用其计算、存储和服务能力,未来没有一个设备是单独存在的,而是必须与环境、与周围设备、与云连接在一起。这将暴露出更多的潜在攻击点以及更多漏洞机会,传统的安全边界正在消失,安全手段不再行之有效。
2、企业互联网化,安全亟待恶补
互联网企业正在渗透到每一个行业,传统企业、学校、医院、政府等组织所使用的互联网手段越来越多,部署的连接设备越来越多,因此收集到的用户数据也越来越多,大数据是每个组织的机会,又是每个组织的安全隐患,因为不论是从意识、人才、投入还是技术上看,大多数企业都不具备保护用户隐私数据的能力,譬如一个安全监控摄像头的店铺的网络如若被入侵,黑客就可以追踪一些人的轨迹和习惯。
3、大数据污染,数据决策风险
大数据时代,人类会越来越依赖于基于数据的决策方式,辅助决策也是大数据的核心能力。但倘若数据收集、传输或存储任何一个环节出现纰漏被黑客所攻击,悄无声息地注入垃圾数据,或者说是有意影响分析结果的数据,则会让数据决策适得其反,最终影响企业的运行,这样的数据污染非常难以被监控。
4、信息到设备,安全危害升级
过去是信息安全时代,出现安全问题顶多是导致设备无法运行降低工作效率、隐私信息被泄露或者说财产损失等等。设备安全时代,因为设备与人们的生活已经融为一体了,被攻破后果严重一万倍不止。周鸿祎举例说,智能汽车是人们骑着四个轮子的手机,被攻破了就可以影响驾驶安全。在智能家居这些领域还有更多隐患,譬如门禁被攻破带来家庭财产和人生安全隐患、机器人被攻破可以从朋友变为敌人,摄像头被攻破让人类家庭毫无隐私……倘若上升到社会基础设施那就更不可思议了,智能电网、交通系统哪怕只是红绿灯、广播电视系统,每一个出问题后果都不堪设想。
5、大数据时代,用户隐私难题
无数传感器将会不断收集我们的数据并上传到云端,将所有碎片化的云端数据还原之后汇总起来就可能将我们每个人就变成了透明人。我们每个人在干什么,在想什么,可能这时候云端全部都知道。如果有一个或者几个云端服务商出现了安全问题,或者说本地的设备出现了纰漏,我们的数据被别有用心的人收集到之后,整个人都透明化地呈现在别人面前,隐私暴露比艳照门之类的严重许多。更可怕的是艳照门事件后受害者是知道的,但大数据隐私泄露很可能是一个人一辈子都被监控之中,生活收到影响还浑然不知。
6、法律法规制度的滞后
企业在收集和使用用户数据时的责任和义务,出现问题后应该付出的代价,数据的所有权,攻击者应该付出的代价,都还没有完善的法律法规体系来监督约束。只有法律法规才可以不断督促企业去完善安全防护措施,可以震慑别有用心的攻击者,让整个行业更加安全。
三大原则应对新时代安全问题
周鸿祎是互联网老兵,从PC时代到移动互联网时代都能很好把握住用户痛点做出令人叫绝的产品——尽管一些产品的推广手段有争议但产品本身却很接地气。周鸿祎对用户需求理解很深,安全教父的背景让其站在用户角度对安全形势提出了全面、前瞻和务实的洞察。周鸿祎演讲口才上乘,更是通过各种案例和段子将安全趋势这样的枯燥话题深入浅出地讲述出来。但问题是倘若这些安全问题变为事实,人类的未来就更不乐观了,尤其是隐私几乎是空谈了,如何破?周鸿祎认为有三大原则必须遵守。
1、所有用户数据的所有权必须属于用户。不论存放在哪家服务器上,不论是免费还是收费,它只是暂时存放和托管在企业服务器上,这就意味着用户对数据如何使用、数据是否可被删除等等拥有决定权。欧盟今年要求Google提供支持用户删除关于自己的内容的功能正是印证了这一原则。
2、所有收集和存储用户数据的企业必须具备保护数据的能力,并且为之负责。“你要把你收集到的用户数据进行安全存储和安全的传输,这是企业的责任和义务”。如果这一原则被政府接纳,未来相关法律法规必然会对企业进行资质审核、数据监督以及出现问题后的判罚。企业也必须在安全上投入更多。
3、给予用户知情权和选择权。企业不能未经用户授权就去采集他的信息,采集之后如何使用、何时使用、是否有交给第三方或者出卖给第三方使用,都必须让用户知晓。同时用户应该随时具备停止自己的数据被使用的权利。
三原则落实是否就能让人类没有后顾之忧地拥抱IoT时代呢?答案是否定的。三原则只能是最基础最底层的建议,要让人类在新时代享受真正的大数据安全、隐私安全、设备安全、云安全,还需要更多的原则去遵守,同时,相关法律法规、行业规约、技术手段、物理设施、企业和用户意识都需要配套完善起来才行。尽管互联网下沉给所有传统企业带来机会,给人类描绘了一个全新的未来生活,但安全一定是一直未伴随并且挥之不去的“阴影”,这似乎是在提醒人类在用智慧满足贪婪懒惰的时候,别忘了科技终究还是一把双刃剑,人类应该心存敬畏。