6 月 12 日消息 这两天的视频安全领域大事不断。先是 6 月 10 日,《中华人民共和国数据安全法》十三届全国人大正式表决通过,正式公布,确定将于 2021 年 9 月 1 日正式施行。这是我国关于数据安全的首部法律。
紧接着,6 月 11 日,中央网信办、工业和信息化部、公安部、市场监管总局发布关于开展摄像头偷窥等黑产集中治理的公告。上到法律法规,下到部门公告,一前一后,敲起了数据安全启航的锣鼓。雾霾天里,阵阵曙光。
视频安全的雾霾主要在于三个层面:安全问题突出、各界不够重视、法律和制度不够完善。
摄像头相关的安全事件层见迭出,在此不作赘述,重点谈谈后两个方面。
在视频安全领域,无论是国家层面的视频建设,还是社会层面的摄像头产业,视频安全一直是被轻视的圈层。中国政府是有全世界对新技术最包容的国家政府,先引入,再在实践中改进,在过去 70 年中大体如一,大多应用先行、安全为后。也因此,缺乏体系化地规划、部署网络安全,缺乏系统地培养安全管理人才,缺乏视频接入网络流程和制度,摄像头产业的标准和规范。
1994 年中国正式迈入互联网时代以来,中国互联网已有 27 年。
前进的号子震天响,纤绳粗又壮,行业在轨道上飞奔之时,数据安全在后鞭长莫及。
信息化、数字化超级大国背后,信息化和数据安全发展脱节
“从政策上看,等级保护 1.0 是 2014 年才推出,直到 2019 年等保 2.0 推出,才起到关键作用,全行业、全业界才开始真正进行到位的建设和监管力度。”
奇安信华南区技术总监张雄曾强调,两者的脱节,不仅在技术层面,还在体系化、建设思路、战略性等层面。在法律层面,视频安全领域并非无法可依。《民法典》对隐私权的定义和保护作出清晰规定,《网络安全法》也对网络产品、服务提出明确要求。在相关案件中,利用黑客手段破解网络摄像头 IP 并贩卖内容的行为,也属于《刑法》第二百八十五条“非法侵入计算机信息系统罪”等条款。
但直到 2017 年 6 月 1 日,网络安全法才正式实施,与公民最相关的《个人信息保护法》,目前还在制定之中。行业层面,摄像头系统中倒是有标准协议,但对视频的保护规定不足,视频数据完全以明文状态在网络中传输,数据容易被截取。
当然,以上并非谁之过,而是行业发展规律大抵如此。
正如旷视高级副总裁、城市业务事业部总经理陈雪松曾对 AI 掘金志所言:
行业标准化是滞后于技术的,技术永远比标准要快。
市场对 AI、数据安全等新兴的理解和尝试必然经历一个过程,并最终变得更加清晰和聚焦。同理,法律的制定需要时间和过程。
法律不是理论属性,而是实践属性
它通常是在事物有了充分的发展、有了实践的经验、暴露出充分的问题后,相关的法律出台,规范标准、促进事物向前。
而《数据安全法》作为一部专门针对数据安全出台的法律,加之专门的《个人信息保护法》,足以证明国家对此重视。
《数据安全法》中也强调了这一点:
“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。”
这部自 2020 年 6 月 28 日以来,《数据安全法》经历了三次审议与修改,确定将于 2021 年 9 月 1 日正式施行。
这意味着,中国在数据安全领域有法可依,为各行业数据安全提供监管依据。中国的数字化转型,在不远处也微微一笑。法律铜墙已出,各部门行动铁壁也逐渐上路。
有法可依前提下,视频数据安全是一项综合性的系统工程,需要各维度不断完善,所以四大部门立马来了。
黑产产业链猖獗如斯:利用黑客技术破解并控制家用及公共场所摄像头,将智能手机、运动手环等改装成偷拍设备,出售破解软件,传授偷拍技术,供客户“偷窥”隐私画面并借此牟利。
中央网信办、工业和信息化部、公安部、市场监管总局决定,自 2021 年 5 月至 8 月,在全国范围组织开展摄像头偷窥黑产集中治理:
一、社交软件、网站、论坛等互联网平台要严格履行信息发布审核的主体责任,全面清理平台上发布的涉摄像头破解教学、漏洞风险利用、破解工具售卖,偷拍设备改装,偷窥偷拍视频交易等摄像头偷窥黑产相关违法有害信息。
二、摄像头生产企业要按照数据安全、信息安全有关规定和标准提升产品安全能力,提供公共服务的视频监控云平台及有关企业要严格履行网络安全主体责任,强化云平台网络安全防护,落实对远程视频监控 App 的数据安全防护责任。
三、电商平台要严格履行主体责任,全面开展排查,对平台上的假冒伪劣摄像头做清理、下架处理。
四、公安机关依法打击提供摄像头破解软件工具、对摄像头设备实施攻击控制、获取买卖公民隐私视频等违法犯罪活动,严惩违法犯罪分子。
五、网信、工信、公安、市场监管等部门加强监管和执法,对于不落实主体责任的社交软件、网站、论坛、视频监控云平台、电商平台等互联网平台和企业,依法依规严厉进行处罚。
四部门的 5 条公告,涵盖了互联网平台信息发布、摄像头生产企业、电商平台、公安局和犯罪分子、各部门自身各大主体,国家从各维度细化行动的,可得一见。
我们也相信,这将是一个开始,更多的规章制度已经在路上。
视频安全的雾霾天里,迎来了阵阵曙光。
视频企业能做什么?
法律、制度层面的相继出台固然可喜,但视频数据安全是项系统工程,摄像头企业自身的问题不可忽视。
作为产业链中极其重要的一环,视频企业们该从哪些方面入手?
前期植入安全设计、设置技术防范手段。
在 2017 年物联网安全研究报告中,就已经发现物联网的设备暴露在互联网之下,普遍存在被攻击、被利用的风险。其中,路由器和安防设备暴露的数量最多。
2019 年的物联网安全事件中,主要是三类:漏洞和弱口令、准入控制乏力、应用监管不足。
宇视安全 & 网络解决方案总工王连朝告诉 AI 掘金志,其中有一半是漏洞和弱密码造成的。漏洞和弱密码使得设备很容易被控制、被利用,从而造成信息泄露,或引发 DDOS 攻击。
而造成产品本身安全不足的原因有二:
组织管理不足,设计之初未曾考虑安全设计,未曾建立漏洞发现、修复、响应机制等,导致后期难以修复。
技术防范手段不足,存在弱口令,预留后门,或者软件开发本身不规范,缺失认证机制、数据明文传输等。
换句话说,漏洞和弱口令风险说明一个问题:安防产品自身的可靠性是系统安全的根基。
如果自身的安全性得不到保障,仅通过外部防护,很难做到完全的安全。
企业需要从摄像头生产、设计本身出发,在代码防护、身份鉴别、弱口令校验等方面进行安全加深。
技术安全是前提,安全管理是重中之重
安全是三分技术、七分管理。
应用监管不足,视频信息容易被内部人员泄露。
无论是个人使用者还是主管方,对此意识都比较缺乏。
家用摄像头用户对隐私安全常识的缺失,很多人使用类似 123456/888888/666666 的弱口令密码,也加剧被破解的风险。
“企业方面,以视频监控为例,系统从前端接入区到数据汇聚区再到核心应用区,从数据产生、传输、存储、应用、管理等,多个维度每一个环节都存在非常突出的安全问题。”宇视网安总工周欣如曾对 AI 掘金志如此强调。
从硬件终端、硬件与服务器的连接和传输、管理平台、应用四大层面全方位考虑。
智能硬件中,具备算力的终端中除了操作系统,还会用到大量的电子元器件,比如当内存的算法明文保存,黑客就可远程登录,调式硬件,内存条芯片接口就能成为被攻击的入口。
云管端管边的物联网架构造就了万物互联的美好设想,但却忽略了智能硬件在与服务器或云连接与传输过程中,黑客可以通多如网络截取数据包的方式,破解数据包中的所有内容。
在管理平台中,黑客同样可以通过软件的反编译查看到软件漏洞并侵入。万物互联的同时,也拉长了网络攻击的指数和战线,单点防护难以保护整个网络。说白了,安全并非只针对硬件、软件,而是整个系统。
总的来说,用户需要提高网络安全意识,购买正规摄像头设备,设置高级别密码,及时更新摄像头安全防护程序;生产企业需要加强代码防护、身份鉴别、弱口令校验等方面的标准;企业需要完善设计,更新摄像头安全防护程序。
同频道的战友
我们应该意识到,业务在不断变化,AI 等科技的应用下,视频数据安全一定是威胁和风险长期共存,这是一个常态。
还是那句话,隐私保护与数字化发展不是一对“反义词”,而是相辅相成,同频向前的。AI 视觉技术本身,不是原罪。
技术永远只是产业中的一环,没有哪个技术能独立于政策、环境、标准、市场、用户而存在。
好在,威胁长存中,法律一部部出台,监管范围一步步明确,企业们一点点锻造安全能力,用户意识一波波增强,而数字化转型汽笛声,一阵阵响彻云霄。
智慧交通、智慧物流、智慧社区、 智慧港口、智慧医疗、智慧警务......
未来城市,在路上。