“我至今不用指纹解锁,也不用人脸解锁,手机设置密码保护。密码丢了可以换,但生物信息是不可再生,一旦泄露,你不可能再有第二张脸了。”

——全国政协委员

上海众人网络安全技术有限公司创始人谈剑锋

谈剑锋有两部手机,一部用来上网,一部只用来接电话。对于人们常用的指纹识别、人脸识别,他似乎有种深深的不安全感。

今年2月,国内人脸识别公司深圳市深网视界科技有限公司发生大规模数据泄露事件。超过250万人的数据可被获取,680万条记录泄露。

采用生物特征认证,就一定会有特征数据库,所有的数据只要进入电脑,就会被转换成机器代码,只要是代码就可以被截获、重放、重构。

生物识别信息也许是比身份证号码、手机号更重要的个人隐私,但问题是这些被采集并运用的个人生物信息得到有效的保护了吗?

黑客终于能掌握你的一切

每一次数据库的泄露总是如此“耀眼”,因为其量之大。以深网视界为例,此次泄露事件主要涉及到深网视界内部的一个MongoDB数据库,除了身份证、照片、工作信息之外,该数据库还可动态记录个人位置信息,有媒体报道,仅2月12日至2月13日的24小时,就有超过680万个地点被记录在案。所以,也无法估量到底有多少人的隐私被“窥视”了。

和这些基础数据相比,在业内人士看来,个人生物信息最为独特的是其不可再生性,手机号泄露了,可以再换一个,人脸、指纹天生就一个。谈剑锋忧虑的是,服务器端存储的大量用户特征数据,一旦被黑客或犯罪分子获取并利用,后果无法挽回,而作为生物信息主体的你我他,只能眼睁睁看着信息被盗取而无能为力。

如此,个人信息安全便被推入到了更大的不确定风险中,比如指纹、虹膜、人脸等信息被传至云端,云服务器被黑,黑客拿到生物数据再和真实身份匹配,身份证号码、银行卡号、密码、人脸、指纹都有了,就等于敞开了家里的智能锁、保险柜、银行卡……

尽管风险巨大,但生物信息识别所带来的便利性使得人们难以拒绝这种技术,生物识别技术领域强劲增长的潜力也让很多企业看到了市场。

以人脸识别为例,其技术的发展带动了相关设备市场的迅猛增长。调研机构Gen Market Insights发布的数据显示,2017年全球人脸识别设备市场价值为10.7亿美元,而到2025年底将达到71.7亿美元,在2018年至2025年期间将以年均26.8%的速度增长。

存在数据库里的“脸”没有被加密

上海敏识科技公司是一家专做人脸识别方案的创业企业,成立于2014年。日前,《IT时报》记者以自己供职的单位想安装人脸识别门禁系统为由,联系上了该公司的销售人员。销售人员表示,其人脸识别系统捕捉人像的识别准确率为99.9%,2秒便完成从抓拍到考勤结果通知,单个终端可存十万级人像库。

据记者了解,要为企业安装人脸识别门禁系统,必须采集员工的人脸信息,当门禁系统开始工作时,便可从数据库中进行比对。而对于采集到的员工人脸信息的存储和保护措施,销售人员表示,存储分为两种方式,可以存放在本地,也可以存放在云端,“我推荐存放在本地,因为性价比比较高,对于人脸信息数据的保护,主要是靠你们自己,因为是存放在你们的服务器上,但是我们会提供维护以及软件升级加固等。”

根据该企业提供的截图,其门禁以及抓拍机捕捉到了进出该公司的人脸照片、地点、时间,而在其考勤系统中则显示了该公司员工的姓名、工号、部门以及上下班时间等,值得注意的是,记者看到的所有信息均为明文显示,并没有马赛克或者打*号处理。“有的企业如果需要录入员工的身份证号、车牌号等信息,也可以显示出来。”销售人员表示。

碁震安全研究团队安全人员宋宇昊告诉《IT时报》记者,从理论上来说,企业为存储在本地的客户提供软件升级、加固等措施并没有问题,“很多企业不喜欢把数据放在云端,但并不是说封闭在企业内部就安全了,在整套系统的设计和实现过程中,也可能发生代码失误等问题造成数据库被攻破,数据泄露。”

作为一名安全人员,宋宇昊和团队曾经研究过目前一些人脸识别设备的安全性,也攻破过一些人脸门禁系统,并可以获取并篡改其中的个人信息。在宋宇昊看来,攻破的原因主要是设计或者开发中的疏漏导致产生漏洞,事后可以通过升级补丁来弥补,但有的漏洞比较低级,完全是可以避免的,“虹膜、指纹等也存在类似的漏洞,原理是一样的。”

对于个人生物信息的脱敏,在宋宇昊的几次攻破中,大部分都看到了原图。“在安全界,密码一般通过Hash的方法进行验证,Hash要求和原来的密码是一模一样,比如原密码是123456,验证出的密码也必须是123456。而个人生物信息是对特征的比对,就需要原始数据作为参考,相对于其它交易信息等,生物信息很难脱敏处理。”

社区大妈保管着你的生物信息

都说安全领域是个成本不见底的行业,对数据的保护力度有多大,取决于愿意在安全上投入多少成本。

2018年8月,华住集团被爆出旗下酒店住户5亿条数据被海量泄露,并被黑市叫卖,信息泄露的根源在于,华住内部对数据使用的缺乏有效而严格的管理制度。比如,一些测试人员在测试前会导入真实的用户信息,但在测试结束后很少主动删除。时间一长,就会出现真假难辨的情况。一旦泄露,真实的用户信息也跟着一起流出。

个人生物信息被采集之后,是否也会遇到数据管理粗线条的问题?

一位运营商人士告诉《IT时报》记者,比如现在很多小区安装了摄像头,用于采集进出社区人员的人脸信息。有些摄像头与公安联网,但大多数社区把这些数据都放在本地服务器,也就是由街道或居委会对服务器进行管理,“街道对于服务器的维护能力有限,投入并不高,甚至有的根本不会进行数据保护,也不会实时维护。”该运营商人士透露。

在网络信息规范化管理方面的一个重要指标是中华人民共和国和公安部信息系统安全等级保护,“不存储用户基本信息的基础信息系统只需满足等保二级,比其高一级的等保三级则是对存储关键信息基础设施的要求。”比如由上海电信提供政务云的“一网通办上海政务网”就达到了等保三级标准以及网信办的云安全审查,因为这个网站汇集了上海市各委办局的数据,并且涉及到市民信息。

据《IT时报》记者了解,在个人生物信息领域,很少有企业会进行安全等级认证,基本上如何防护、投入多少都由企业自己决定。

“没有标准的技术可以确保生物信息的安全,信息安全是一个攻防相长的过程,没有解决信息安全问题的‘银弹’。个人生物信息作为个人信息的一部分,包括GDPR在内的一系列法律法规有对这类信息进行保护的要求,要做到信息的相对安全,投入不会很小。”一位360安全人士告诉《IT时报》记者。

以“一网通办上海政务网”为例,成本分为在系统建设时候的设备成本、等保测评的测评费,以及每年都要付出的不菲成本,其中,仅设备部分就包含了物理、网络、主机、应用、数据5个方面,且每个方面各有具体要求。

应把采集生物信息的企业“管起来”

2018年5月1日,《个人信息安全规范》正式实施,《规范》提出,个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等个人生物识别信息属于个人敏感信息,对于这些敏感信息,《规范》必须经过个人信息主体的明示同意方可收集,而在保存方面,要求做到去标识化处理,同时保存时间要遵循所需时间的最短要求,在信息的传输过程中也必须做到高度的安全防范措施。

“在对个人信息的管理和保护过程中,最重要的是企业要有这方面的意识,完善的措施和技术手段对企业来说都需要资金投入,而且可能会对业务开展造成阻碍,企业有可能会因此抵触;此外,对《规范》中要求的正确理解也需要更专业的人才,目前具备这样素质的人员还比较少,很多要求对企业、对行业还都是第一次,整个产业链都缺少经验。”上述360安全人士表示,中国有数十部法律中涉及公民个人信息保护,生物信息做为公民个人信息的一部分,也会得到保护,采集公民生物信息的企业如果被列为关键信息基础设施,也会列入等级保护条例的规范范围。

但是,除了标准、技术这些“预防针”之外,还应该有对信息泄露的追踪溯源,结合法律法规实现惩戒的做法,业界称之为“追杀”,是通过法律的震慑作用,来减少犯罪的发生。

因此,谈剑锋也建议从政府层面制定数据保护清单,严控生物、医药等关键领域的数据在互联网上的应用,切断风险源头,并且要对采集的数据使用加密技术做保护,不能“裸奔”。(潘少颖

图片:东方IC

声明:本文来自IT时报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。