3月15日晚间,央视“315”点名电信诈骗,警示不法分子通过盗取个人信息实施诈骗等行为。同日,上海市经济和信息化委员会副主任傅新华在“3.15上海金融信息安全论坛”表示,由于信息安全的威胁来源和攻击手段不断变化,网络安全风险不断攀升,仅2016年遭遇网络信息安全问题的用户就占整体网民的七成以上。
三成网民个人信息遭泄露
傅新华在会上公布了一组上海信息产业的数据:2016年,上海软件和信息服务业实现营业收入6904.35亿元,比上年同期增长14.1%;占第三产业比重达到10.1%,占全市国内生产总值的比重达到7.1%。其中,互联网金融经营收入达到496亿元,比上年同期增长28.8%;其中第三方支付收入达到350亿元;重点跟踪的17家网络信贷企业交易额达到200.35亿元,经营收入达到17.68亿元。
虽然各项数据增长幅度较高,但是由于互联网自身的开放性、企业防护机制不成熟、信息安全运维能力的薄弱等原因,信息安全问题阻碍了行业发展,损害了消费者的权益。傅新华举例称,截至2016年12月,网民规模达7.31亿,其中仅2016年遭遇网络信息安全问题的用户就占整体网民的70.5%,中病毒或木马发生比例占36.2%,账号或密码被盗发生比例占33.8%,个人信息泄露发生比例占32.9%。
上海市经信委信息安全处副处长刘山泉进一步举例道,2016年全球勒索软件感染率在8个月内增加了500%,而仅通过网页链接(URL)传播的勒索软件数量增长超过60多倍,并已快速成为勒索软件感染严重的10大国家之一,“网络犯罪的门槛正变得越来越低,国内越来越多的用户更容易遭受到犯罪分子的网络威胁。”
当前,受害者受勒索软件感染的途径十分多样,包括电子邮件链接、邮件附件、网站漏洞、社交媒体平台、缺乏抵御能力的业务应用以及用于实现离线感染的USB驱动。刘山泉表示,大规模的电子邮件感染成本低廉、容易操作且被抓住的风险也相对较低,一些公司并未对文件进行加密或者没有做好从攻击中恢复文件的准备,让勒索软件有机可趁。
网络安全损失到底有多严重呢?
根据互联网协会发布的《网民权益保护与调查报告》统计,2015年网民因信息泄露、电信诈骗等现象导致总体损失约为人民币805亿元,2016年为915亿元。蒙受巨大损失的同时,每一天新增钓鱼网站仍有5000-8000个,每半天登陆钓鱼网站的人流量为1亿人次。
手机验证码易被拦截
而对于正常网站经常使用的一些身份验证措施,上海市信息安全行业协会会长谈剑峰表示,手机短信验证码和人脸识别“并不完全靠谱”。
谈剑峰指出,犯罪分子经常会以三种方式获取手机验证码,来盗刷银行卡:种是向受害者手机发送有木马病毒的短信,受害者上当后点开手机中毒,犯罪分子从而拦截验证码短信;第二种是谎称快递地址不清,要求受害者说出地址,然后在受害者所在位置一公里内架设特殊改装设备,对手机信号进行干扰,从而拦截验证码;第三种是窃取受害者在手机制造商、电信运营商等网站或具有短信同步功能的软件上的账号,开通或查询短信自动同步信息,获取验证码。而人脸识别等生物特征信息也可以被不法分子重构,由于这些信息是伴随终身、不可撤销的,负面影响更大。
但是对信息安全产业的投入目前还不够。谈剑峰举出一组数据:2015年网络信息安全投入占信息化发展收入的占比,美国是20%-25%,欧洲是10%-15%,而仅为1%-3%。
互金网络空间须共治共享
除此之外,热火朝天的互联网金融,也是风险隐患的高发区。
据刘山泉介绍,2016年8月,由移动互联网系统与应用安全国家工程实验室组成的专门检测团队,对88个互联网金融类移动APP进行了深入测试,发现了包括信息数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄露、敏感信息泄露等安全隐患。
“条块分割的管理机制难以适应互联网业务监管的新要求,必须倡导网络空间共治共享,特别是加强监管部门、互联网金融企业、科研院所信息汇聚,共建共享网络空间威胁情报分析、安全态势感知、事件预警和应急处置一体化机制,”针对如何改进,刘山泉说道,“必须注重网络安全的攻防兼备,为此安全保障重心应从单纯强调合规性要求转向综合应对信息技术风险,主动应对业务连续性挑战,从运行过程安全(检测与监测)、功能应用(APP)安全(开发与集成)、基础本质安全(自主可控)等层面把握整体安全。”