用戶安全上網的權利和人權一樣,只有讓他們有安全感,覺得自己的隱私得到了保護,他們才會花更多的時間來使用各種互聯網的新技術和新產品。
在2006年的時候,我們就相信網絡安全是用戶的一種基本需求。和搜索、郵件、即時通信一樣,它作為互聯網的基礎服務,就應該是免費的,所以我們創造了一種新的模式,面對中國的六億用戶提供免費的安全服務。
我今天想分享一個觀點,就是在下一個五年,對互聯網、移動互聯網安全最大的威脅和挑戰是什么?
最近大家都在談一個趨勢:IOT(Internet of Things)或者IOE(Internet of Everything)。這個趨勢非常令人激動,它是指所有我們能看到或想象到的硬件都會變成“不像手機的手機”,并實現與網絡的智能化實時對接——無論是汽車、家居、各種可穿戴設備,還是一些工業生產與制造設備。
也有人說,IOT帶來了巨大的機會,它真的能把互聯網和很多on-line(線上)與off-line(線下)的東西聯系在一起。與3D打印機相比,IOT實際上更讓人激動,因為它可能會帶來第四次工業革命。比如,IOT技術可以幫助國內的生產制造業重新發明輪子,也就是說,雖然我們不可能把輪子從圓的變成方的,但可以在輪子里加入各種智能芯片和傳感技術,同時還能改變多企業的商業模式,從單純的一次性賣產品,變成實時與互聯網相連的互聯網服務。
但是,對于安全而言,IOT還帶來了三個巨大的挑戰和威脅。
第一,我們面對各種攻擊的可能性會大大增加。傳統企業在作安全部署的時候,經常說要“把網絡隔離起來”,讓我們在邊界加上防火墻以達到對安全的控制,以為這樣就可以高枕無憂了。事實上,當各種各樣的設備都通過Wi-Fi、藍牙、ZigBee等無處不在的無線協議連接到整個企業網的時候,越多的連接點就意味著越大的受攻擊可能性。
舉個例子,中國有很多廠商要做智能汽車,他們也認為最大的問題并不在于自動駕駛或電機充電,而是如果車開在路上,它的安全和操作控制系統到底會不會被人攻擊。而這一點,也正是許多消費者擔心的。事實上,也有很多廠商認為自己用的系統非常堅固,但我會反復解釋一個道理:當你的汽車上有藍牙或是Wi-Fi,而手機就是控制這一切的“鑰匙”,那么只要有機會,別人就可以先控制你的手機,再進一步去控制整輛汽車。
在國內,已經有不少的黑客試圖用類似的方法去劫持智能汽車(比如特斯拉),可以讓它在行駛的過程中出問題,所以,“邊界安全”的概念在以后將會變得更加模糊。之前我們認為終端安全非常重要,但隨著IOT設備數目的高速增長,攻擊點會越來越多,這對每個安全企業而言都是巨大的挑戰和機會。
第二,我們受到安全攻擊的后果可能會遠比以前嚴重。過去的網絡攻擊,無非是損失一些文件,泄露一些隱私,或是陷入在線欺詐。但一旦普及了IOT,這種安全攻擊可能會帶來巨大的物理傷害或者人身傷害。
舉兩個最典型的例子,一個是汽車,另一個是其他公共或私人場所。如果你的汽車在行駛過程中突然死機,或者在高速公路上突然叫停,后果不堪設想。在很多好萊塢大片中還出現過這樣的場景:恐怖分子可以通過網絡控制工廠、交通信號燈、電梯甚至私人住宅的門鎖。在未來,這恐怕將不再只是電影中的幻想而已,它造成的結果肯定更為嚴重和糟糕。
第三,針對用戶大數據,IOT還會帶來隱私問題。雖然現在都在談大數據,但實際上真正的大數據時代還沒有真正到來,因為目前數據的產生范圍還有限。
首先,這與設備有關。比如,PC只會在工作時間產生一些數據,有了手機之后,除了睡覺時間以外,我們使用APP時都會產生和上傳各種數據,甚至數量要比PC更多。
其次,這與數據量和計算能力有關。IOT設備本身的計算能力比較弱,它一定要把數據傳到云端,并且在將來,IOT設備的數目可能會達到現在的十倍,從而產生更龐大的數據量。目前中國有6億網民,按未來平均每人兩部手機(一部iPhone一部android)算,就是15億部移動設備,非常驚人。何況,以后每個人身上可能至少有5到10個IOT設備,家里可能還有20個(甚至連燈泡和插座都與互聯網連接),所以整個IOT設備的數目會比現在大10~20倍。也就是說,幾年之后,僅僅在中國市場,連接互聯網的智能終端數量就不會是15億,而很有可能是150~200億部,這是一個巨大的數字。
IOT設備(比如現在正在普及的運動手環或智能手表)還有一個特點:你睡覺的時候它也在工作,7×24小時不停歇地傳遞你的私人數據。這在真正產生海量數據的同時,也帶來了一個巨大的挑戰——它把你各個維度的數據都搜集起來,上傳到不同互聯網公司的服務器上,你就會發現在這個時代,個體不再有隱私可言,甚至會變成一個透明的數碼人。
所以,現在很多互聯網企業也非常激動,非常熱衷于交談用戶數據。拿著這么多大數據,這些企業就能知道一些最終的問題:你是誰,你要干什么,你準備干什么?
當這些大數據都被拿到以后,我們就開始渴望利用它來對用戶做更精準的營銷以及各種智能的推薦。在這里確實有一個blance(平衡),就是如何保護用戶的隱私。美國一個著名的科幻作家阿西諾夫寫了很多經典的科幻小說,他定了一個機器人三定律,思考如何能防止機器文明的發展傷害到人類。據此,我們也提出了一個用戶隱私大數據的“三原則”。
第一,用戶數據是屬于用戶的資產。目前,大數據的歸屬權在法律上的定義還非常含糊,雖然用戶在使用智能設備與程序時產生了大量數據,它們被上傳到互聯網公司的云端服務器上,但它們到底是誰的資產?我們旗幟鮮明地認為,這理所當然應該是用戶的資產,只不過是托管在各個互聯網公司的服務器上而已。
并且,從某種意義上說,將來很多傳統企業都會變成互聯網公司,同時也涉及到這一問題。比如,過去賣電視、賣汽車的公司并沒有用戶數據,但將來通過各種IOT系統,它們就能拿到用戶的習慣和各種其他信息。從這個角度來說,這第一個原則對它們而言也非常重要。
第二,用戶對自己的數據享有處理權。用戶之所以心甘情愿地把這些數據交給互聯網公司去使用,一定是因為可以換取免費或有價值的服務,但用戶仍然應有知情權和選擇權。
舉個例子,在使用搜索工具時,因為用戶有需求,才會輸入自己內心的隱私,其搜索請求就會被存在引擎的服務端。再比如,在使用一些手機通訊軟件時,用戶也會上傳自己的聯系人記錄等,這樣系統才能自動匹配,知道誰是你的朋友,誰是你朋友的朋友,你和誰聯系最頻繁。
互聯網公司利用用戶數據牟利,也屬于正當的商業模式,但關鍵在于保證用戶的知情權和選擇權。用戶不能處于被動地位,企業也不能在沒有任何告知的情況下濫用用戶數據,而必須要得到用戶的授權,并以各種服務作為交換。如果有少數用戶確實不愿意把自己的隱私拿來做商業交換,那么我認為他們也有權利把這些數據拿走,或是要求企業銷毀和刪掉。
第三,企業有責任保護用戶的數據安全。最近國內出現了一些例子,由于某些互聯網公司的安全水平不過關,導致服務器被人攻破,很多用戶信息丟失,再加上信息的加密與儲存有問題(使用了明文來儲存信用卡密碼以及三位確認碼),最終某電商網站上所有用戶的信用卡記錄都被拿走了。所以,很多企業應該意識到,當自己興奮地表明想利用IOT技術轉移成互聯網公司時,要捫心自問,自己是否確實有相應的技術能力和產品能力,去確保安全的存儲與傳輸?
當企業在夸耀自己拿到了多少用戶的習慣和數據時,也一定要盡到保護這些用戶數據的責任,因為一旦服務器被攻破,用戶數據被拿走,造成的后果會非常嚴重。很多用戶都用一個密碼“走天下”,無論是在網站還是APP上,所以一旦失守,就可能全線覆沒。
在未來,無論是美國還是中國,無論是做網絡安全還是保護用戶隱私的公司,當然還包括那些傳統的互聯網公司,都不可能無視用戶數據安全的問題。只有讓用戶有安全感,讓他們覺得自己的隱私得到了保護,他們才會花更多的時間來使用各種互聯網的新技術和新產品,這也是我們一直做免費安全的哲學指導。用戶安全上網的權利就像人權一樣,應該作為一個基本點,那樣互聯網才能繁榮。如果互聯網充斥的不是釣魚網站,就是網絡欺詐或數據泄露,那么我們就不可能有一個真正美好的互聯網。
