今年2月,商用Nespresso咖啡机曝出遭黑客入侵的消息,可任意修改购买咖啡的资金额度。Smarter的联网咖啡机在去年9月份也被曝出类似的安全事件,漏洞可以让黑客远程打开咖啡机的加热器、加水、旋转磨豆机甚至显示赎金消息。类似的联网设备安全事件,数不胜数,调侃地说,在IoT时代,咖啡机也不能“幸免”。
通过互联网“顺藤摸瓜”,黑客带走的更多是大家的隐私信息。以前常说的是“入室盗窃”,然而现在,“不入室,也能盗窃”。随着智能家居设备的普及和安全事件的曝出,用户隐私保护越来越为人们重视。安全隐私问题存在于人们生活的方方面面,厂商企业和个人在享受智能设备带来便利的同时,又应该如何去规避隐私泄露的潜在风险?本期的这位专访对象——小米集团信息安全与隐私委员会秘书长宋文宽,或许能给我们答案。
宋文宽,小米集团信息安全与隐私委员会秘书长,IAPP知识社区联合主席。在小米集团负责信息安全与隐私合规工作,拥有十五年的信息安全与隐私保护从业经历,曾就职于联想、万达、平安等多家世界500强企业和金融公司。在信息安全与个人信息保护领域有着丰富的实战经验,带领团队多次完成认证项目和合规性检查,包括支付卡PCI-DSS数据安全认证、ISO 27001安全认证、ISO27018、ISO27701个人数据保护认证、英国Cyber Essential安全认证等。
都说“这是一个最好的时代,也是一个最坏的时代”,在这个IoT时代,“最好”的是科技红利几乎能让所有人过上一种便捷化、智能化的生活,而“最坏”是因为“在最灿烂的光明之下又藏着最深沉的黑暗”,智能设备的普及导致攻击面的扩大,漏洞、APT攻击、病毒等等网络威胁不断蔓延和生长,人们的隐私保护形势从未像今天这样严峻过。
物联网技术的发展,让智能产品遍地开花,这是物联网时代的风口趋势,也是消费者趋向的选择。与此同时,智能产品相关的安全事件让消费者踌躇在“安全”和“便捷”的十字路口。
对于企业来说,他们在尽力维护用户的信息安全,升级产品的安全理念,将安全融入产品设计之初。比如,工信部就《物联网基础安全标准体系建设指南》(征求意见稿)公开征求意见,其中提出到2022年初步建立物联网基础安全标准体系;小米MIUI12隐私保护能力重点突破,获得用户和国家机构的高度认可,近期还发布了《消费级物联网安全基线》,提供了IoT产品安全设计和开发的方案。
宋文宽表示:“智能产品的用户体验提升依赖于用户使用行为数据的收集和分析,厂商企业在收集数据前需要获得用户的同意,数据在存储和分析过程中需要充分保护以避免信息泄露。产品的隐私政策是厂商获得用户关于处理数据知情同意的有效方式,也是监管机构检查和约束厂商行为的一种手段,随着法规的细化与用户隐私保护意识的提升,隐私政策的内容也更加详尽和透明。”
如今,各种产品在提供服务之前,会让用户先了解隐私政策,这是厂商企业在隐私保护上的一种努力,用户可以通过阅读隐私政策并作出明确的同意操作,可是IoT产品的产品形态和应用场景让用户的充分告知非常困难。
例如,智能设备的屏幕限制很难让用户阅读几十页的隐私政策,甚至用户同意的交互也“选择性”不足。综合考虑用户体验,部分产品的隐私Opt in(选择性加入)原则被迫变成了Opt out(选择性退出),因此,IoT产品的隐私保护需要平衡用户体验。
那么,厂商企业应该如何平衡隐私保护和用户体验呢?
宋文宽认为可从以下两种方式提升隐私政策的阅读体验,同时给予用户选择权来保护自己的隐私。
1、隐私政策分层展示,隐私政策不仅是为了合规,更是为了让用户了解产品的数据收集和处理目的,通过分层展示引导用户充分了解产品的数据处理目的,给予用户充分的知情权。
比如,可以把隐私政策展示由一级目录向二级目录转变,产品通过一级目录页面展示冗长且详细的政策,为了继续使用产品用户会选择“同意”,可以满足合规要求。从用户侧考虑,用户更关注某几条重点条款,厂商企业可根据不同的产品交互场景,新增一级目录展示,重点突出用户关注的条规,这样隐私政策分层展示,既满足了用户快速获得关键信息的诉求,又满足了合规要求。
2、专业术语和技术措施形象化表达,比如通过动画或者视频等形式帮助用户理解,通过产品网站、交互页面突出隐私保护的要点,同时在产品App中保留隐私保护功能介绍的入口。
比如,以小米某款扫地机器人为例,该扫地机器人配置了摄像头,通过摄像头的视觉识别能力可以减少扫地机机器人与家具的碰撞,但是,另一方面,用户又会担心摄像头泄露个人隐私。产品设计时遵循了用户体验与隐私保护的平衡原则,比如扫地机器人在获取家居实景后仅提取图像特征信息,图像使用后立即删除,即不会存储在设备本地存储,更不会上传云端服务器,从技术上避免用户隐私泄露。 同时,为了高效传达以上隐私保护实践,隐私保护特性被提炼出来展示在产品网站的介绍页面。
在宋文宽看来,在安全建设中减少人工流程的管理环节,利用技术手段来保护安全隐私是未来的趋势之一。
隐私保护技术需要做到隐私保护与数据利用的平衡,一是提供高强度的数据保护能力,抵御外部攻击;二是在保护隐私的同时,最大限度地保留原数据中的有用信息。
差分隐私(Differential Privacy)是Dwork 在2006年针对数据库的隐私泄露问题提出的一种新的隐私定义。主要是通过使用随机噪声来确保查询请求公开可见信息的结果,并不会泄露个体的隐私信息,即提供一种当从统计数据库查询时,最大化数据查询的准确性,同时最大限度减少识别其记录的机会,简单来说,就是保留统计学特征的前提下去除个体特征以保护用户隐私。
以输入法表情图标为例,用户常用的、使用率高的图标动态展示在前面,这并不代表输入法厂商上传了你的输入记录,并依据用户数据进行推送。宋文宽解释道,表情使用推送的方式利用差分隐私技术,则是根据地区统计,而非个体统计,以地区喜好倾向应用于个体。比如笑哭的表情的地区使用率为90%,那个最后的判断结果则是该地区大多数的人都倾向于使用该表情,推送则有一定的价值。
因此,这个技术对用户隐私保护有一定成效,因为获取用户数据的精确度下降,那么数据关联到用户个人身份和隐私泄露的概率就会极大降低。目前,差分隐私技术已经大量应用在互联网产品中。
安全技术是物联网安全建设“三道防线”最重要的一环,从技术到管理,再到审计,宋文宽深以为然。
安全不是一场“打地鼠”式的游戏,在一个个“地鼠”——安全漏洞、安全问题出现之后,进行事后解决或者事后修复,如何在问题源头之初未雨绸缪,防患于未然?答案显而易见,依据安全指导在产品设计之初融入安全理念。
IoT安全问题较为复杂,其原因在于IoT产品的组件较多,包括设备与传感器、云平台、App应用程序,这导致很难兼顾所有这些组件的安全问题。系统的每部分都至关重要,漏洞可能就存在于应用程序、云平台、设备与传感器中。此外,根据中国信通院《物联网白皮书(2020年)》内容显示:预计到2025年,物联网连接数的大部分增长来自产业市场,产业物联网的连接数将占到总体的61.2%。简单来说,攻击面无限扩大。
在攻击面不断扩大的形势之下,国内厂商企业如何在产品安全上下功夫,并且能够切实保护用户的安全隐私,是问题核心。
通过安全人员测试发现产品的安全漏洞是事后补救措施,为了避免问题产品流入市场企业需要在安全基线层面下功夫,依据行业标准生产安全的产品设备,在问题发生之前进行预防。近期小米发布了《消费级物联网安全基线》,提供了IoT产品安全设计和开发的方案,覆盖了主流IoT设备从设计、开发、生产各阶段需要注意的安全问题。
小米发布的物联网安全基线提出,一方面是向用户证明产品自身的安全性,让产品的安全特性深入人心。另一方面,供行业各界参考,面向大众的考验、对比,吸取大众给出的建议,不断完善以提供更全面的安全标准。
“我们提出IoT产品的评测标准、安全基线,公开测试用例、脚本,经过公众的检测、改进后,标准更能被大众所接受。”宋文宽表示,厂商企业内部的安全实践最重要的原则是不要重复造轮子,标准是通用的合规语言,标准是各利益群体达成一致最廉价、最有效的方案。
专访最后,宋文宽还分享了企业安全文化建设的企业实践, “企业做安全需要让所有人都能理解,比如定期开展内部培训、钓鱼邮件演练、攻防比赛,提升员工的安全意识与防护能力等“。