360周鸿祎:IOT时代的信息安全 六挑战三原则
360周鸿祎:IOT时代的信息安全 六挑战三原则
前一段时间我干了很多和安全关系不大的事情,看到了很多传统行业的老大如何患上“互联网焦虑症”,他们害怕互联网成为传统价值的毁灭者,其实这些是对于互联网的一些误解,所以我还写了一本书,讲我的互联网方法论。
很多人问我互联网思维是什么?如果用一个词总结是什么?我想了想是在过去的20年里互联网最大的力量就是实现了“网聚人的力量”,互联网把我们很多人连接起来。
在互联网第一代的时候是PC互联网,我们每个人的电脑连接起来,这时候安全问题还OK,当时的防病毒和查杀流氓软件,以及我们很多边界和防火墙的防御技术;但到了互联网的新阶段,我们每个人都用手机了,今天手机已经变成我们每个人手上的一个器官,我们每个人有一种新的病,几分钟不看手机就觉得心里很失落,手机变成了一个新的连接点。手机打破了我们原来对边界的定义,手机更多和我们的个人隐私信息联接在一起,所以,安全的问题变得更加严重。
有一个好消息,也是一个坏消息,手机互联网之后,下一个五到十年我们的互联网将会往何处去?
其实我觉得一个最重要的时代可能要开始那就是IoT——Internet of Things,万物互联。
美国的硅谷现在非常流行IoT这个词,Internet of Things,我早些时候提出来有些人质疑是“物联网”的翻版,但是我认为并不是。物联网被翻译成传感器网络,而IoT网络是万物互联的。
来IoT时代,所有设备都将内置一个智能芯片和智能OS,所有设备都能通过各种网络协议进行通信,而且是7 x 24小时的相连,能够产生真正海量的大数据;并且,伴随大数据应用的逐步升级,也会让机器变得更加智能,甚至具备自己的意识。我认为,IOT时代的信息安全其实也是大数据的安全问题,而且至少要面临六方面的挑战。
首先,当所有的设备都变成智能化,都接入网络以后,边界的概念将会进一步被削弱,也就是说接入点越多,可以被攻破的这种可能的入口就会越多。过去,我们很信奉“隔离”、“切断”,我们可以把电脑放在一个屋子里,我们可以把一个网络进行隔离,但今天你会发现越来越多的不起眼设备都支持Wi-Fi和蓝牙,这里面有太多可以被别人攻击的接入点,而且攻击点越多,对防守的挑战就会越大。
第二,未来企业都将成为互联网企业,企业信息安全面临更大的挑战。过去我们很多企业可能不太重视企业的安全,我们很多时候买防火墙是为了合规,是上级要求和行业要求。过去我们企业的发展,可能把自己割裂在一个安全的孤岛上,但你要变成互联网企业之后,你不可避免要把自己的核心业务系统接入到互联网上。
但当所有的企业都变成互联网企业之后,企业安全一定要提高到一个更重要的优先级上,也就是说当你的服务器或你的网络被攻破之后,可能不意味着仅仅是你内部数据的泄露,可能意味着用户数据的灾难。
第三个问题,大数据污染。就是大数据中如果被人为加入了各种无效、错误的数据,人为操作和注入修改虚假信息,在数据传输存储过程中出现了问题,那么根据大数据所做的一切行业指导和趋势分析,都可能面临灾难性的后果。
第四,智能设备IoT 被控制之后的灾难,这种危害或者会比电脑手机更大。
过去大家都记得,你的电脑中毒了、有问题了,大家最多觉得“今天给老板交的报告写不出来了”,所以我电脑中毒了经常成为工作完不成的一个借口。机出问题了呢,无非你们看到最近多了很多“艳照”,不小心照片上传了;然今天手机和支付系统连在一起,可能当你的通信录被盗用了,就会收到一些诈骗短信。包括前面讲到的那个木马之所以会得逞,就是因为它盗用了你的通信录的地址本,熟人发来的短信,大家都会连接。
但IoT是可被控制的,不是一个单纯的网络,这个被控制了带来的风险就大了。
前段时间中国人崇拜完乔布斯之后,因为中国的假乔布斯太多了,他们又开始崇拜美国另外一个人,号称钢铁侠,他造了一部汽车叫做特斯拉,他上次来中国的时候,我有幸和他们大家一起吃了晚餐。我问了一个他很恼怒的问题,我说你的汽车会被人骇客吗?他说不会,我们所有的应用都是自己写的,我们不会安装任何第三方应用,所以不会有任何问题。我就提了两个问题,第一个你的汽车是有Wi-Fi和蓝牙,我可能骇客不了你的汽车,但你用手机接入的话,我可以骇客你的手机,我一样可以通过手机骇客这个汽车。自然你是一个智能汽车,它就像一个大手机一样,一定要和云端通信,所以如果有人下发了你的通信协议或者破解了你的云端的网络,我一样可以控制你的汽车。
我们后来在全国征得了很多有识之士,有人成功破解了对特斯拉的协议,成功实现了对汽车的控制。所以,中国汽车厂要生产智能汽车,我给他们说最重要的不是边开汽车边看互联网影视,最重要的是老百姓敢不敢开你的车,如果半路上突然死机了,突然蓝屏了,突然弹出一个大窗口说你必须下载一个什么玩意儿,这样的汽车不会有人开的,一旦出现问题就会非常的严重。
第五个问题,当大数据产生了人工智能之后,很可能人类技术发展会到达一个新的“奇点”。
比如说以后的机器人和智能汽车,我有一个断言,它未必是由这个设备里的智能系统单独做智能判断,它一定是和云端一个更大的智能系统相连。
比如真正的智能驾驶,你何止需要这一部汽车的数据才能做判断,可能需要路边很多传感器和很多其他汽车发来的信息,你需要在云端进行高速的分析,再反馈过去。所以,将来有一天可能不仅仅是这台车上的电脑在指挥,很有可能是云端的一个机器在指挥。
因此,各种各样无论是专用机器人还是通用机器人,在几年以后也会越来越普及,都会和互联网相连,甚至它们再反过来对各种设备进行反向控制。
这样,当真正云端安全出现问题以后,机器智能带来的转换,这是我们下一个五到十年必须要考虑的问题。
第六个问题,也是最重要的一个挑战就是对用户隐私的挑战。
如果说IOT时代,各种传感器让每个人的数据维度更加丰富了,而且产生的数据都记录在云端,所以IOT时代的大数据下每个人都是透明的,一旦出现泄露后果也是极其严重的。
而且值得深思的是,在对用户隐私信息的保护,现行的法律和规则的制定都是落后的,有很多问题是不清楚的,怎样在这种情况下更好的去保护我们个人的隐私?除非不用任何先进设备、不接入网络,否则用户的个人隐私信息永远都是安全挑战。
就像前几天我看到美国有一家公司,只要给他的试管吐一口吐沫,就可以免费测出用户的基因组。未来基因的检测的成本会更低,而这样的公司他直接拿到了用户的最隐秘数据——基因。
所以说,IOT时代可以是某些企业的黄金时代,但同样对信息安全的保护却变得无比脆弱。对于这六个方面的挑战,有些已经在发生,有些是即将发生。在此, 我也提出一个新的想法,在大数据时代,如何保护用户信息的三原则。
第一,数据应该是用户的资产,这是必须明确的。虽然未来将有大量的信息存在互联网服务商的服务器上,但是用户数据的所有权必须明确,所有数据与信息都是属于用户的个人资产。
第二,任何企业都需要把收集到的用户数据进行安全存储和安全的传输,这是企业的责任和义务。
不仅仅是提供互联网服务的公司,包括所有暂时存储着用户数据的想做互联网业务的公司,都要提高公司安全能力,都要有加强安全防护水平的责任和义务;既然你们要收集用户数据,就必须解决传输、存储的基本安全问题。
第三,用户信息的使用,一定要保障用户的知情权和选择权,平等交换、授权使用。
存有用户数据的企业,在使用这些数据之前,一定要遵循平等交换,授权使用的原则,不能未经许可采集和滥用。更重要的是,要保障用户说“不”的权力:还有很多用户可以选择,当不需要某项服务时,可以把它关掉,可以拒绝采集数据,用户一定要有这种选择权。
不论是现在,还是未来,这些数据在未经用户授权的情况下进行了交易牟利,这不仅要被视作不道德的行为,更应该视为是非法的。
所以有了这三原则,在我们进入IoT时代时,我们才能让用户对下一代互联网感觉更放心,才能更好的使用。
只有安全的互联网才有美好的互联网,所以在互联网上最重要的就是安全第一。