网络黑产市场达千亿级 业界吁个人信息保护立法
从黯然离世的18岁山东女孩徐玉玉,到震动京城的清华大学教师卖房被卷走1760万……眼下,随着一桩桩令人触目惊心的电信诈骗案的频频曝出,利用伪基站进行的短信、电话、互联网等各类新型诈骗,已然成为中国7亿网民的头号公敌。
而如何确保网络安全,也是当前各国政府及相关业界都在着力解决的问题。也正因此,9月19日至25日,在由中央网信办等六部门主办的国家网络安全宣传周上,如何保障网络安全和个人信息安全,也成为与会各方关注的核心议题。
网络黑产市场规模已达千亿级别
刚刚结束的2016年暑期,给人们记忆中留下的,除了挥之不去的燥热,还有一连串悲情的名字。
9月9日,公安部网站发布了一则消息,徐玉玉、宋振宁、蔡淑妍3起学生遭电信网络诈骗案件,全部告破,28名犯罪嫌疑人落网,案件正在进一步审理中。
短短一个月内,三条年轻生命的相继逝去,在令人们扼腕痛心的同时,也给整个社会敲响了警钟:电信诈骗的危害,已经从窃人钱财上升到取人性命的程度,已严重威胁到社会稳定。
数据为证。据公安机关此前披露,目前传统刑事犯罪案件数量正以每年40%到50%的速度下降,而电信诈骗案件数量却在以每年30%左右的速度大幅攀升。
而电信诈骗案件数量的上升,带来的直接后果是,对我国7.21亿网民的生命财产安全,已形成巨大威胁。
据中国互联网协会发布的《2016年中国网民权益保护与调查报告》统计,仅从2015年下半年到今年上半年一年间,我国网民因垃圾信息、诈骗信息、个人信息泄漏等遭受的经济损失就高达915亿元,黑灰互联网行业已经形成巨大的产业链。
9月20日,在武汉召开的国内首个互联网安全智库“安全课堂”发布会上,湖北省公安厅网安总队队长黄海军介绍说,从目前掌握的情况看,网络黑色链条呈现出分工明确、组织严密的特点,中国网络黑色产业链从业人员已超过150万,市场规模更是达到了千亿级别。
卡巴斯基总裁至今不用智能手机
近年来,湖北省公安厅网安总队一直是全国黑灰产打击先锋。据黄海军介绍,从目前的情况看,此类犯罪主要有网络欺诈、恶意程序和网络谣言三大类。
其中,在网络欺诈方面,主要形式包括利用互联网从事虚假网络购物交易、在网上发布虚假的证婚、招聘、投资、中奖等信息,冒充亲友、政府部门等方式实行网络诈骗,以及网上制假售假等。此外,即时通讯工具发展迅速,截止2016年6月,网民中即时通讯用户规模已经达到6.42亿,产生的QQ诈骗、微信诈骗也呈上升趋势。
在恶意程序和钓鱼网站方面,今年新增钓鱼网站几十万个,不少网民都曾访问过此类网站,违法犯罪分子模仿银行、购物网站等,通过伪基站、短信、即时通讯工具发送网址,或者在用户正常上网时弹出访问页面,诱惑用户访问,从而盗取网民支付信息实施盗窃,或者盗取用户敏感信息实施敲诈勒索,或者利用企业数据进行商业推销或实施电信诈骗。
更为严重的是,如今的网络攻击已经危及到国家安全。在国家网络安全宣传周的网络安全先进典型表彰仪式上,由于保障G20峰会无一起网络安全事故,安恒信息的创始人范渊获得“网络安全优秀人才”荣誉。而据范渊透露,G20峰会期间,相关网络系统曾受到3000万次严重攻击。“这次工作历时300天,投入的专家有300多人,十八般武艺基本上都用上了。”他说。
中国工程院院士、海军计算技术研究所高级工程师沈昌详强调,没有网络安全就没有国家安全,去年年底发生在乌克兰的大面积停电就是一个典型的案例。“现如今,我们所有的基础设施都与网络信息化有关,如果信息化网络一旦受到攻击瘫痪以后,我们就会生活在黑暗之中。”
持这种观点的并非只有沈昌详院士。卡巴斯基实验室CEO尤金·卡巴斯基在此间召开的网络安全技术高峰论坛上,其发表的演讲主题就是网络安全的黑暗时代。在他看来,目前网络安全就正处于一个黑暗时代,未来对基础设施的网络攻击可能会越来越多。而为了确保个人信息安全,尤金·卡巴斯基向记者坦陈,自己至今没有智能手机。
尤金·卡巴斯基的这一举动并非毫无根据。据全球最大认证移动手机社区Truecaller的调查显示,2015年,仅在美国就有将近2700万移动用户受到电话诈骗,累计损失金额高达74亿美元。
网络安全建设法律为根技术为基
导致徐玉玉等人悲剧的表面原因,是考试中心的网站被攻破,导致个人信息泄露。而在参加此次网络安全宣传周的诸多业内人士看来,其背后暴露出的更大问题,是当前相关法律法规的欠缺。
360公司董事长周鸿祎提出,电信诈骗为什么会如此容易得手?表面上诈骗是结果,其实背后的原因是个人信息的泄露。据统计,从2010年至2016年,仅北京地区法院确认的被泄露的公民个人信息就超过1.6亿条。
周鸿祎透露,现在越来越多的网站里留有用户的真实数据和信息,而在安全防护方面存在明显漏洞,360过去几年发现了十几万个网站存在明显的漏洞,其中很多一个小黑客就能轻松渗漏出去,拿到用户的数据。他建议,国家在这方面亟待加强立法。
范渊也认为,信息数据的责任主体是清晰的,作为这些数据的搜集者和使用者,对其有保护义务,但是现在的法律法规还不完善。如今包括身份证号在内的各类信息数据泄露的非常严重,现在在地下已经形成了大数据闭环,当不法分子掌握了不同来源的数据后,就是欺诈的水平就会越来越高,所以亟待引起重视,顶层设计刻不容缓。
中国工程院院士、武汉大学副校长李建成则提出,网络安全建设,应当是“法律为根技术为基”。
李建成说,“数据开放”和“信息安全”是一枚硬币的正反两面,大数据驱动时代,新资源、新思维、新技术塑造了新产业、催生了新职业、开创了新时代,但大数据的开启、随时随地发布数据的同时,也可能随时随地受到了黑客的攻击。
对此,李建成给出的建议是:法律为根本,管理和技术为支撑,网络空间安全法亟待出台,网络空间安全管理规章条例也亟待出台,法律和技术在大数据、信息安全方面是同等重要的。他介绍,目前我国有关部门正在加快推动网络安全法立法工作,拟制定一系列的法律保护。
而作为个人信息保护国家标准制定的参与者,据四川大学网络空间安全研究院教授陈兴蜀透露,目前这项工作正在抓紧进行相关研究,很快就会向社会公开征求意见。
电信将推黑白名单打击电信诈骗
徐玉玉等人的悲剧发生后,很多舆论将矛头直指电信部门,认为其实名制落实不力。
就此,中国电信集团公司信息安全部总经理李安民在国家网络安全宣传周活动上表示,针对诈骗电话,中国电信正推出“黑名单”和“白名单”计划。
所谓“黑名单”,是指针对政府部门已认定的诈骗电话、以及用户本人设置的“黑名单”电话号码,电信可将其纳入“黑名单”进行网络拦截;而“白名单”,则是基于实名制,对企事业单位已认证的号码,在其来电时明确显示相关企事业单位信息,漏接也会短信提醒。
李安民介绍,在打击通信诈骗方面,目前多个部委组成了联合专项行动小组,运营商也加入其中。工信部建立的涉违法电话号码关停机制,实施起来要靠运营商。今年以来,仅中国电信配合相关部门关停的号码就有两万多个。
李安民称,中国电信承诺在2016年11月之前,对于没有做到实名制的用户要进行双停(既不能打出电话,也不能接听电话)。
记者获悉,公安部很快将部署下一轮打击。北京10月15日前,所有非实名电话都要停机,全国措施也将陆续出台。
令人欣慰的是,针对当前网络安全的严峻形势,上至国家下到企业都已经行动起来。2016年8月,中央网信办、国家质检总局、国家标准委联合发布了《关于加强网络安全标准化工作的若干意见》,该文件从工作机制、标准体系建设、标准质量和基础能力、国际标准化、人才队伍建设、资金保障等七个方面方面,提出了19条具体措施。
而在网络安全宣传周期间,阿里巴巴旗下的蚂蚁金服也推出了国内首个防骗知识库“安全课堂”,通过阿里的大数据模型帮助网民实现精准防骗。“特别遗憾,如果这个安全课堂能够早一点上线,山东女大学生徐玉玉的悲剧可能就不会发生了。”蚂蚁金服安全管理部总经理邵晓东说。