全國政協委員拒用人臉識別,一旦泄露,你無法再有第二張臉

2019年03月15日 人臉識別設備 174 views

作者 | 潘少穎?

來源 | IT時報(ID:vittimes)?

原標題:315專題:政協委員拒用人臉識別,一旦泄露,你無法再有第二張臉

“我至今不用指紋解鎖,也不用人臉解鎖,手機設置密碼保護。密碼丟了可以換,但生物信息是不可再生,一旦泄露,你不可能再有第二張臉了?!?/p>

——全國政協委員

上海眾人網絡安全技術有限公司創始人談劍

談劍鋒有兩部手機,一部用來上網,一部只用來接電話。對于人們常用的指紋識別、人臉識別,他似乎有種深深的不安全感。

今年2月,國內人臉識別公司深圳市深網視界科技有限公司發生大規模數據泄露事件。超過250萬人的數據可被獲取,680萬條記錄泄露。

采用生物特征認證,就一定會有特征數據庫,所有的數據只要進入電腦,就會被轉換成機器代碼,只要是代碼就可以被截獲、重放、重構。

生物識別信息也許是比身份證號碼、手機號更重要的個人隱私,但問題是這些被采集并運用的個人生物信息得到有效的保護了嗎?

黑客終于能掌握你的一切

每一次數據庫的泄露總是如此“耀眼”,因為其量之大。以深網視界為例,此次泄露事件主要涉及到深網視界內部的一個MongoDB數據庫,除了身份證、照片、工作信息之外,該數據庫還可動態記錄個人位置信息,有媒體報道,僅2月12日至2月13日的24小時,就有超過680萬個地點被記錄在案。所以,也無法估量到底有多少人的隱私被“窺視”了。

和這些基礎數據相比,在業內人士看來,個人生物信息最為獨特的是其不可再生性,手機號泄露了,可以再換一個,人臉、指紋天生就一個。談劍鋒憂慮的是,服務器端存儲的大量用戶特征數據,一旦被黑客或犯罪分子獲取并利用,后果無法挽回,而作為生物信息主體的你我他,只能眼睜睜看著信息被盜取而無能為力。

如此,個人信息安全便被推入到了更大的不確定風險中,比如指紋、虹膜、人臉等信息被傳至云端,云服務器被黑,黑客拿到生物數據再和真實身份匹配,身份證號碼、銀行卡號、密碼、人臉、指紋都有了,就等于敞開了家里的智能鎖、保險柜、銀行卡……

盡管風險巨大,但生物信息識別所帶來的便利性使得人們難以拒絕這種技術,生物識別技術領域強勁增長的潛力也讓很多企業看到了市場。

以人臉識別為例,其技術的發展帶動了相關設備市場的迅猛增長。調研機構Gen Market Insights發布的數據顯示,2017年全球人臉識別設備市場價值為10.7億美元,而到2025年底將達到71.7億美元,在2018年至2025年期間將以年均26.8%的速度增長。

存在數據庫里的“臉”沒有被加密

上海敏識科技公司是一家專做人臉識別方案的創業企業,成立于2014年。日前,記者以自己供職的單位想安裝人臉識別門禁系統為由,聯系上了該公司的銷售人員。銷售人員表示,其人臉識別系統捕捉人像的識別準確率為99.9%,2秒便完成從抓拍到考勤結果通知,單個終端可存十萬級人像庫。

據記者了解,要為企業安裝人臉識別門禁系統,必須采集員工的人臉信息,當門禁系統開始工作時,便可從數據庫中進行比對。而對于采集到的員工人臉信息的存儲和保護措施,銷售人員表示,存儲分為兩種方式,可以存放在本地,也可以存放在云端,“我推薦存放在本地,因為性價比比較高,對于人臉信息數據的保護,主要是靠你們自己,因為是存放在你們的服務器上,但是我們會提供維護以及軟件升級加固等?!?/p>

根據該企業提供的截圖,其門禁以及抓拍機捕捉到了進出該公司的人臉照片、地點、時間,而在其考勤系統中則顯示了該公司員工的姓名、工號、部門以及上下班時間等,值得注意的是,記者看到的所有信息均為明文顯示,并沒有馬賽克或者打*號處理?!坝械钠髽I如果需要錄入員工的身份證號、車牌號等信息,也可以顯示出來?!变N售人員表示。

碁震安全研究團隊安全人員宋宇昊告訴記者,從理論上來說,企業為存儲在本地的客戶提供軟件升級、加固等措施并沒有問題,“很多企業不喜歡把數據放在云端,但并不是說封閉在企業內部就安全了,在整套系統的設計和實現過程中,也可能發生代碼失誤等問題造成數據庫被攻破,數據泄露?!?/p>

作為一名安全人員,宋宇昊和團隊曾經研究過目前一些人臉識別設備的安全性,也攻破過一些人臉門禁系統,并可以獲取并篡改其中的個人信息。在宋宇昊看來,攻破的原因主要是設計或者開發中的疏漏導致產生漏洞,事后可以通過升級補丁來彌補,但有的漏洞比較低級,完全是可以避免的,“虹膜、指紋等也存在類似的漏洞,原理是一樣的?!?/p>

社區大媽保管著你的生物信息

都說安全領域是個成本不見底的行業,對數據的保護力度有多大,取決于愿意在安全上投入多少成本。

2018年8月,華住集團被爆出旗下酒店住戶5億條數據被海量泄露,并被黑市叫賣,信息泄露的根源在于,華住內部對數據使用的缺乏有效而嚴格的管理制度。比如,一些測試人員在測試前會導入真實的用戶信息,但在測試結束后很少主動刪除。時間一長,就會出現真假難辨的情況。一旦泄露,真實的用戶信息也跟著一起流出。

個人生物信息被采集之后,是否也會遇到數據管理粗線條的問題?

一位運營商人士告訴記者,比如現在很多小區安裝了攝像頭,用于采集進出社區人員的人臉信息。有些攝像頭與公安聯網,但大多數社區把這些數據都放在本地服務器,也就是由街道或居委會對服務器進行管理,“街道對于服務器的維護能力有限,投入并不高,甚至有的根本不會進行數據保護,也不會實時維護?!痹撨\營商人士透露。

在網絡信息規范化管理方面的一個重要指標是中華人民共和國和公安部信息系統安全等級保護,“不存儲用戶基本信息的基礎信息系統只需滿足等保二級,比其高一級的等保三級則是對存儲關鍵信息基礎設施的要求?!北热缬缮虾k娦盘峁┱赵频摹耙痪W通辦上海政務網”就達到了等保三級標準以及網信辦的云安全審查,因為這個網站匯集了上海市各委辦局的數據,并且涉及到市民信息。

據記者了解,在個人生物信息領域,很少有企業會進行安全等級認證,基本上如何防護、投入多少都由企業自己決定。

“沒有標準的技術可以確保生物信息的安全,信息安全是一個攻防相長的過程,沒有解決信息安全問題的‘銀彈’。個人生物信息作為個人信息的一部分,包括GDPR在內的一系列法律法規有對這類信息進行保護的要求,要做到信息的相對安全,投入不會很小?!币晃?60安全人士告訴記者。

以“一網通辦上海政務網”為例,成本分為在系統建設時候的設備成本、等保測評的測評費,以及每年都要付出的不菲成本,其中,僅設備部分就包含了物理、網絡、主機、應用、數據5個方面,且每個方面各有具體要求。

應把采集生物信息的企業“管起來”

? 2018年5月1日,《個人信息安全規范》正式實施,《規范》提出,個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等個人生物識別信息屬于個人敏感信息,對于這些敏感信息,《規范》必須經過個人信息主體的明示同意方可收集,而在保存方面,要求做到去標識化處理,同時保存時間要遵循所需時間的最短要求,在信息的傳輸過程中也必須做到高度的安全防范措施。

“在對個人信息的管理和保護過程中,最重要的是企業要有這方面的意識,完善的措施和技術手段對企業來說都需要資金投入,而且可能會對業務開展造成阻礙,企業有可能會因此抵觸;此外,對《規范》中要求的正確理解也需要更專業的人才,目前具備這樣素質的人員還比較少,很多要求對企業、對行業還都是第一次,整個產業鏈都缺少經驗?!鄙鲜?60安全人士表示,中國有數十部法律中涉及公民個人信息保護,生物信息做為公民個人信息的一部分,也會得到保護,采集公民生物信息的企業如果被列為關鍵信息基礎設施,也會列入等級保護條例的規范范圍。

但是,除了標準、技術這些“預防針”之外,還應該有對信息泄露的追蹤溯源,結合法律法規實現懲戒的做法,業界稱之為“追殺”,是通過法律的震懾作用,來減少犯罪的發生。

因此,談劍也建議從政府層面制定數據保護清單,嚴控生物、醫藥等關鍵領域的數據在互聯網上的應用,切斷風險源頭,并且要對采集的數據使用加密技術做保護,不能“裸奔”。

發表評論

發表評論:

PHONE
影音先锋色av男人资源网_人人玩人人添人人澡欧美_久久人人97超碰精品