一旦某个信息入口打开,就意味着多个网站的信息有曝光的可能。
互联网除了将人与人,甚至是人与物、物与物联系起来外,众多的信息也随之暴露在“阳光”之下,而这也给了黑客们可乘之机。《黑镜》第三季第三集中,黑客组织就通过将木马伪装成电脑清理软件,趁机侵入用户电脑,盗取用户的隐私,并以此要挟男主们,让他们听任其摆布去抢劫、杀人。
这是现实生活的影射,而现实恐怕比美剧中的剧情更惨烈,在刚过去不久的9月,就有传出大学生因电信诈骗而自杀的新闻。
黑客们无孔不入肆无忌惮,越来越多的企业触网也正中黑客下怀,毕竟企业的敲诈价值不是个人所能比的。或许企业员工只是下载了一个表格文件,黑客就可能在其毫不知情的情况下,窃取商业信息、通过用户电脑上的摄像头实时监控,甚至是获得对电脑的控制权。
高速增长的信息安全问题
以中国为例,11月29日普华永道发布的第19次《全球信息安全状况调查报告》显示,在过去的12个月中,中国内地及香港企业检测到的信息安全事件平均数量高达2577起,与2014年相比增长近10倍。
这个数字很可能会进一步增加。据普华永道中国网络安全与隐私保护服务合伙人冼嘉乐判断,国内目前信息安全防御才刚刚起步,随着越来越多国内传统企业触网,未来信息安全事件仍会持续攀升。
从企业的角度来说,依据调查反馈,有44%的中国受访企业认为企业内部原因是网络安全最大的威胁。排除企业员工故意贩卖数据的情况,在企业工作场景中,商务邮件首先成为重灾区。处于互联网暗处的黑客们,通过向企业邮箱发送“伪装”后的钓鱼邮件,缺乏网络安全意识的员工很可能受其“迷惑”而误触,或将造成企业商业信息泄漏。
另外,还有像企业的商业合作伙伴等也可能成为公司信息泄露的出口。还有34%的受访企业认为,来自商业竞争对手的攻击也不容忽视。
就在前不久,雅虎主动坦白其至少有5亿用户的帐户信息被黑客盗取,数据包括了用户姓名、电子邮箱、电话号码、出生日期和部分登录密码。泄露事件所波及的用户规模之大,亦创下了互联网史上最大单一网站信息遭窃的纪录。更重要的是,此番雅虎承认的数据泄露发生在两年前,现在再来建议用户“及时”更改密码,只怕也是无力回天。
不过,雅虎也一再强调,此次数据泄露事件未带来“物质性损失”,但也承认正面临至少23项诉讼。而且,雅虎在11月份也公开证实,数据泄露事件可能使其被美国电信巨头威瑞森( Verizon )收购的愿望泡汤,该笔交易价值48亿美元。
不管造成泄露的原因是什么,很多时候普通消费者都成为数据泄露的“背锅者”。
一旦用户某个信息入口打开,就意味着用户多个网站的信息有曝光的可能,比如可能会关联到银行、社交媒体信息、其它金融服务以及用户的亲人、朋友。
而窃取的用户信息则被依据数据的新旧,购买的数量以不同价格售出。北晚新视觉记者调查发现,QQ群中就存在各种进行数据交易的个人和群,从淘宝信息、金融信息、医疗、社保信息到各种保险信息均有涵盖,并以每条0.3元至1元的价格倒卖,5000条或10000条起售。
对用户而言,数据泄露轻则收到各色骚扰短信、电话,重则银行钱款悉数被卷走,甚至可能因此搭上性命。
物联网成为攻击的重点
黑客们的攻击范围正在变得愈来愈广。随着物联网时代的到来,其攻击的对象不再局限于过去的电脑、手机等设备,凡是能联网的设备,都可成为其潜在攻击源。
10月21日 ,Twitter、Paypal、Spotify 等多个美国网站被迫中断服务,其背后的罪魁祸首是一种被称作“物联网破坏者”的Mirai病毒。它就是通过互联网搜索物联网设备来传播病毒,当它扫描到一个物联网设备,比如网络摄像头、智能开关等后,就会尝试使用默认密码进行登陆,该病毒自带60个通用密码。一旦登录成功,这台物联网设备就进入“肉鸡”名单,开始被黑客操控攻击其他网络设备,这次一共有超过百万台参与了DDoS攻击。
中国的物联网也难幸免。在普华永道风险及控制服务高级经理蒋宇寒的眼中,物联网是中国企业最易受到攻击的薄弱点。国内目前的物联网智能设备,由于兴起时间较短,企业出于成本以及便于连接等考虑,安全方面布局较弱;加之设备全天在线的特性,被攻击的机会更多。黑客可远程控制智能设备,向企业发起分布式拒绝服务攻击(DDoS)。
首当其冲的正是消费级物联网。普华永道报告数据显示,在中国内地及香港,消费级信息安全事件数量同比上升18%。其一因为物联网快速发展,智能家居等概念进一步深入人心,消费级物联网设备大幅增加,可攻击范围变广;其二在于消费者对物联网产品缺乏安全意识。最终导致包括网络摄像机、家庭自动化等消费者技术极易成为黑客们所瞄准的目标。
工业物联网是仅次于消费级物联网的易受攻击对象,黑客们能从中捞得更大的收益,因此安全事件增速较猛,今年平均较去年增长约22倍。
让信息安全问题暴露在阳光下
万物互联涉及整个生态链的安全,想要解决物联网时代下的信息安全问题并不容易。可以从国家、企业、个人三个层面考虑。
11月初,国家出台了第一部有关网络安全的法律,是我国信息安全领域的一大进步。但在智能设备厂商众多,各家有各家“标准”的情况下,难免有鱼目混珠者。因此蒋宇寒建议,国家可以制定相关法规来规范智能设备的生产标准。
其次,对企业而言需要不断升级安全方案。普华报告显示,57%的中国内地及香港受访企业正在对物联网安全策略进行投资(全球为46%),并且已有约45%的IT系统是基于云技术运行(全球为48%),可以看出利用云科技来部署企业敏感职能已成为企业探索的主要方向。
另外,企业可以进一步加强对内部员工的安全意识的培养。个人而言,则需要提高对触网的警惕性,对于以“免费”“中奖”等来吸引用户的手段保有戒心。
