中央網信辦、工業和信息化部、公安部、市場監管總局發布關于開展攝像頭偷窺等黑產集中治理的公告。上到法律法規,下到部門公告,一前一后,敲起了數據安全啟航的鑼鼓。霧霾天里,陣陣曙光。
視頻安全的霧霾主要在于三個層面:安全問題突出、各界不夠重視、法律和制度不夠完善。
攝像頭相關的安全事件層見迭出,在此不作贅述,重點談談后兩個方面。
在視頻安全領域,無論是國家層面的視頻建設,還是社會層面的攝像頭產業,視頻安全一直是被輕視的圈層。中國政府是有全世界對新技術最包容的國家政府,先引入,再在實踐中改進,在過去 70 年中大體如一,大多應用先行、安全為后。也因此,缺乏體系化地規劃、部署網絡安全,缺乏系統地培養安全管理人才,缺乏視頻接入網絡流程和制度,攝像頭產業的標準和規范。
1994 年中國正式邁入互聯網時代以來,中國互聯網已有 27 年。
前進的號子震天響,纖繩粗又壯,行業在軌道上飛奔之時,數據安全在后鞭長莫及。
信息化、數字化超級大國背后,信息化和數據安全發展脫節
“從政策上看,等級保護 1.0 是 2014 年才推出,直到 2019 年等保 2.0 推出,才起到關鍵作用,全行業、全業界才開始真正進行到位的建設和監管力度。”
正如曠視高級副總裁、城市業務事業部總經理陳雪松曾對 AI 掘金志所言:
行業標準化是滯后于技術的,技術永遠比標準要快。
市場對 AI、數據安全等新興的理解和嘗試必然經歷一個過程,并最終變得更加清晰和聚焦。同理,法律的制定需要時間和過程。
法律不是理論屬性,而是實踐屬性
它通常是在事物有了充分的發展、有了實踐的經驗、暴露出充分的問題后,相關的法律出臺,規范標準、促進事物向前。
而《數據安全法》作為一部專門針對數據安全出臺的法律,加之專門的《個人信息保護法》,足以證明國家對此重視。
《數據安全法》中也強調了這一點:
“關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度。”
這部自 2020 年 6 月 28 日以來,《數據安全法》經歷了三次審議與修改,確定將于 2021 年 9 月 1 日正式施行。
這意味著,中國在數據安全領域有法可依,為各行業數據安全提供監管依據。中國的數字化轉型,在不遠處也微微一笑。法律銅墻已出,各部門行動鐵壁也逐漸上路。
有法可依前提下,視頻數據安全是一項綜合性的系統工程,需要各維度不斷完善,所以四大部門立馬來了。
中央網信辦、工業和信息化部、公安部、市場監管總局決定,自 2021 年 5 月至 8 月,在全國范圍組織開展攝像頭偷窺黑產集中治理:
一、社交軟件、網站、論壇等互聯網平臺要嚴格履行信息發布審核的主體責任,全面清理平臺上發布的涉攝像頭破解教學、漏洞風險利用、破解工具售賣,偷拍設備改裝,偷窺偷拍視頻交易等攝像頭偷窺黑產相關違法有害信息。
二、攝像頭生產企業要按照數據安全、信息安全有關規定和標準提升產品安全能力,提供公共服務的視頻監控云平臺及有關企業要嚴格履行網絡安全主體責任,強化云平臺網絡安全防護,落實對遠程視頻監控 App 的數據安全防護責任。
三、電商平臺要嚴格履行主體責任,全面開展排查,對平臺上的假冒偽劣攝像頭做清理、下架處理。
四、公安機關依法打擊提供攝像頭破解軟件工具、對攝像頭設備實施攻擊控制、獲取買賣公民隱私視頻等違法犯罪活動,嚴懲違法犯罪分子。
五、網信、工信、公安、市場監管等部門加強監管和執法,對于不落實主體責任的社交軟件、網站、論壇、視頻監控云平臺、電商平臺等互聯網平臺和企業,依法依規嚴厲進行處罰。
四部門的 5 條公告,涵蓋了互聯網平臺信息發布、攝像頭生產企業、電商平臺、公安局和犯罪分子、各部門自身各大主體,國家從各維度細化行動的,可得一見。
我們也相信,這將是一個開始,更多的規章制度已經在路上。
視頻安全的霧霾天里,迎來了陣陣曙光。
視頻企業能做什么?
法律、制度層面的相繼出臺固然可喜,但視頻數據安全是項系統工程,攝像頭企業自身的問題不可忽視。
作為產業鏈中極其重要的一環,視頻企業們該從哪些方面入手?
前期植入安全設計、設置技術防范手段。
在 2017 年物聯網安全研究報告中,就已經發現物聯網的設備暴露在互聯網之下,普遍存在被攻擊、被利用的風險。其中,路由器和安防設備暴露的數量最多。
2019 年的物聯網安全事件中,主要是三類:漏洞和弱口令、準入控制乏力、應用監管不足。
宇視安全 & 網絡解決方案總工王連朝告訴 AI 掘金志,其中有一半是漏洞和弱密碼造成的。漏洞和弱密碼使得設備很容易被控制、被利用,從而造成信息泄露,或引發 DDOS 攻擊。
而造成產品本身安全不足的原因有二:
組織管理不足,設計之初未曾考慮安全設計,未曾建立漏洞發現、修復、響應機制等,導致后期難以修復。
技術防范手段不足,存在弱口令,預留后門,或者軟件開發本身不規范,缺失認證機制、數據明文傳輸等。
換句話說,漏洞和弱口令風險說明一個問題:安防產品自身的可靠性是系統安全的根基。
如果自身的安全性得不到保障,僅通過外部防護,很難做到完全的安全。
企業需要從攝像頭生產、設計本身出發,在代碼防護、身份鑒別、弱口令校驗等方面進行安全加深。
技術安全是前提,安全管理是重中之重
安全是三分技術、七分管理。
應用監管不足,視頻信息容易被內部人員泄露。
無論是個人使用者還是主管方,對此意識都比較缺乏。
家用攝像頭用戶對隱私安全常識的缺失,很多人使用類似 123456/888888/666666 的弱口令密碼,也加劇被破解的風險。
“企業方面,以視頻監控為例,系統從前端接入區到數據匯聚區再到核心應用區,從數據產生、傳輸、存儲、應用、管理等,多個維度每一個環節都存在非常突出的安全問題。”宇視網安總工周欣如曾對 AI 掘金志如此強調。
從硬件終端、硬件與服務器的連接和傳輸、管理平臺、應用四大層面全方位考慮。
總的來說,用戶需要提高網絡安全意識,購買正規攝像頭設備,設置高級別密碼,及時更新攝像頭安全防護程序;生產企業需要加強代碼防護、身份鑒別、弱口令校驗等方面的標準;企業需要完善設計,更新攝像頭安全防護程序。
同頻道的戰友
我們應該意識到,業務在不斷變化,AI 等科技的應用下,視頻數據安全一定是威脅和風險長期共存,這是一個常態。
還是那句話,隱私保護與數字化發展不是一對“反義詞”,而是相輔相成,同頻向前的。AI 視覺技術本身,不是原罪。
技術永遠只是產業中的一環,沒有哪個技術能獨立于政策、環境、標準、市場、用戶而存在。
好在,威脅長存中,法律一部部出臺,監管范圍一步步明確,企業們一點點鍛造安全能力,用戶意識一波波增強,而數字化轉型汽笛聲,一陣陣響徹云霄。
智慧交通、智慧物流、智慧社區、智慧港口、智慧醫療、智慧警務......
未來城市,在路上。
