網路「黑灰產」規模已達千億,阿里放話:讓壞人付出足夠的代價
阿里成立數據安全研究院,要像治理霧霾一樣打擊黑灰產。
文|網商君
最近,一起被稱為「史上最大規模數據盜竊案」引發輿論極大關注。據辦案方浙江紹興越城警方透露,該案涉嫌30億條用戶個人信息被盜,涉及包括BAT在內的96家互聯網公司。作案者為三家關聯公司,實際控制人為同一人,三家公司中的瑞智華勝(872382.OC),為去年12月剛上新三板的上市公司。
「這個案例告訴我們,所有的人、所有互聯網公司、包括運營商在內的網路基礎設施建設者、參與者,如果不聯合剷除這些網路黑灰產,讓他們恣意運作在互聯網中,我們都可能是受害者,」 8月21日,阿里巴巴集團首席風險官鄭俊芳在「2018網路安全生態峰會」上,正式宣布成立阿里巴巴數據安全研究院,願將阿里在數據保護方面的經驗分享出來,為大數據產業和數字經濟的發展獻計獻策,與多方聯合共同提升網路安全水位。
阿里巴巴集團首席風險官鄭俊芳
據了解,阿里數據安全研究院將圍繞DT時代數字經濟的業務特點以及全球化需求和國家戰略,與阿里內部的阿里健康、阿里雲、螞蟻金服、釘釘、阿里研究院等展開合作,也會聯合國內外專家學者、智庫、研究機構、產業實踐代表、高校等機構相關力量,構建起前沿技術、產業實踐和政策法規三方相互促進、支撐的互助機制。
「今天的數據安全已經成為一個獨立而極端重要的領域,在政策法律、產業實踐、前沿技術等方面都急需創新,」阿里巴巴集團首席安全專家、阿里巴巴數據安全研究院負責人杜躍進指出,將持續研究並探索數據安全相關的政策法規、實踐方法和前沿技術,也將持續推廣DSMM (全稱「Data Security capability Maturity Model」,即大數據安全能力成熟度模型),讓更多企業更清楚自身的安全水位,不斷提升,進而有效保護企業數據安全。
阿里巴巴集團首席安全專家杜躍進
中國數據安全的複雜性
「隨著互聯網技術和應用的快速普及,傳統的社會問題向互聯網延伸,網路問題社會化,社會問題網路化;網上網下的問題交織,網路安全問題不但發生著新的變化,也已經成為了互聯網發展的瓶頸。」中國互聯網協會副理事長黃澄清在峰會開幕致辭中說。
研究機構的公開資料也顯示,「黑灰產」規模已達千億,從各個主要國家的統計數據看,各種利用互聯網技術實施偷盜、詐騙、敲詐的案件數每年以超過30%的增速在增長。
圖片來源: 《 2018網路黑灰產治理研究報告》
阿里巴巴集團首席安全專家、阿里巴巴數據安全研究院負責人杜躍進向《天下網商》表示,成立阿里數據安全研究院的想法成型於幾個月前,「就是覺得數據安全問題越來越重要,而且遠比很多人預想的複雜,涉及很多方面。」
杜躍進曾擔任國家網路信息安全技術研究所所長。2014年加入阿里後,就一直在研究安全生態問題,尤其側重在數據安全,網路黑灰產與新型網路犯罪,物聯網安全這三個議題。
網路數據安全和用戶信息保護是全球面臨的一個挑戰。今年3月,美國社交網路巨頭Facebook上超過5000萬用戶信息遭泄露的新聞,引爆了世界輿論。5月25日,歐盟正式實施通用數據保護條例(General Data Protection Regulation,GDPR),面向所有收集、處理、儲存、管理歐盟公民個人數據的企業,該條例通過限制這些企業收集與處理用戶個人信息的許可權,試圖將個人信息的最終控制權交還給用戶本人。企業違規可能會面臨高達2000萬歐元(約合人民幣1.28億元)或企業全球年收入的4%的罰款(取兩者中最高的)。
中國電子技術標準化研究院信息安全研究中心主任劉賢剛認為,中國的數據安全相比其他國家更加複雜,也面臨更加複雜的挑戰,主要基於幾個特點:第一,中國是世界第一網路大國,網民數量眾多,超過第二、第三名的總和;第二,中國已步入成為高度網路化、數據化的發展階段,大量的工作生活依靠網路和數據來實現,一旦出現數據安全問題會產生較大的影響;第三,中國面臨的網路黑灰產、網路詐騙等問題比較凸出。
以上述紹興警方抓獲的「史上最大規模數據盜竊案」為例,作案者為新媒體營銷公司,通過操控用戶賬號進行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、違規推廣,非法獲利,旗下一家公司一年營收就超過3000萬元。具體操作手法,則是與覆蓋十餘省市的運營商簽訂營銷廣告系統服務合同,鑽運營商監管不力的空子,在運營商伺服器中布置惡意採集信息程序,從運營商流量池中非法獲取用戶數據,為逃避監管追查,還將部分數據存儲於日本的伺服器上。
而掌握上述全面的用戶信息,「黑灰產」團伙還可通過對用戶進行「人物畫像」,實施精準的電信詐騙等多種犯罪行為。今年陝西警方抓獲的電信詐騙團伙,僅以更改考試成績為幌子騙錢,就設計了380個劇本,進行精準詐騙。
近年來侵犯公民個人信息案件的高發。去年3月,公安部開展打擊整治黑客攻擊破壞和網路侵犯公民個人信息犯罪專項行動,僅4個月時間就偵破相關案件1800餘起,抓獲犯罪嫌疑人4800餘名,查獲各類公民個人信息500餘億條。
