法治周末特约撰稿人 宋木子
近年来,云计算以其高效、便捷的特点,逐渐成为IT产业和互联网时代最重要的应用科技之一,其“无论何时何地,只要能上网就能获取所需服务”理念也深得人心,当云计算深入到人们工作与生活各个层面的同时,安全问题日益凸显。
云服之家,国内最专业的云服务器虚拟主机域名商家信息平台
2015年至今的姐姐云会计数据泄露事件、2016年万豪酒店客人信息泄露事件,以及频繁发生的国内外数据泄露事件一次又一次将云计算安全推向了风口浪尖,这种情况并非危言耸听,一项针对300位企业IT决策者者的调查结果显示,高达81%的受访者认为其云计算提供商至少发生过一次安全事件,数据泄露或丢失事件占据绝大多数。《2016中国云计算安全行业研究报告》也显示,目前超过60%云应用的系统存在安全威胁,其中成立于2015年的两家平台就滥用了1.1亿条账号数据。
虽然省下了大量成本并提升了工作效率,但让人丝毫高兴不起来,在接受记者采访时,有用户表示:“一旦个人隐私和信息安全失去保障,再强大的功能都不过是空中楼阁。”那么云计算本身的“安全防护”能力到底能否让人们安心的使用呢?要说清这件事儿,务必要先了解安全到底是谁的责任。
先定规矩后办事 安全权责先厘清
前段时间,杭州的陈先生为方便照料家里两杯花草,购买了一款智能灌溉设备,按照说明书下载了一款“花草医生”APP,并绑定了该设备,设备安装完成后,APP中要求输入手机号进行注册,其间还关联了陈先生的身份证号及照片等个人信息,短短几天时间,他收到全国各地催债电话、推销电话近30个,事后他发现该APP背后公司通过相关手段将用户的个人信息贩卖给了电话推销公司,据报道,该APP并未在国内几家公司备案,其提供的服务也无法保障用户信息安全,因此被列入网络安全“黑名单”,5年内不得从事网络安全相关服务,而这种游离在监管体系外的服务商就是云服务商领域中的典例。
云服务主要有IaaS、PaaS和SaaS三种基础类型,其中类型不同其承担的安全责任也不同,北京邮电大学教授曾剑秋此前在接受南方日报记者采访时介绍道:“IaaS(基础设施即服务)是云服务的基础层,要求云服务商承担服务器的硬件和软件建设责任;PaaS(平台即服务)则在IaaS的基础上更加强调平台的支撑责任,确保用户可以在平台上进行开发、测试等经济活动;至于SaaS(软件即服务),实际是用户通过与网络服务的连接使用各种应用功能,涉及使用什么软件,如何应用均居于最宽泛的层面。”“规定好各类云服务商的服务范围和责任是厘清安全权责的第一步。”浙江联英律师事务所主任律师李桂香在接受北京青年报记者采访时介绍道:“通常来说大部分云服务商对自己的权限了解得比较清楚,但是谁又能保证服务商背后的服务商在其服务过程中严格规范个人信息安全呢?”既未取得合法资质也未履行告知义务的行为确属侵权,而如果用户在获取服务时对安全条款不加注意则会直接削弱自身维权的基本“筹码”,北京理道律师事务所合伙人王蕊认为,“关于统一安全认证和欠约束下的安全责任问题必须由行业主管部门进行规范”。
《网络安全法》对保护个人信息安全做出了规定:“任何个人和组织不得将自身收集的用户信息用于其他任何用途”,《互联网信息服务管理办法》中也有相关规定要求网信部门备案的互联网信息服务提供者完善相应的基本管理制度等等,避免出现只是为了迎合市场需求随手签约的情况,《2017中国服务商使用图谱报告》中指出要规范用户协议的主要内容:“包括平台产生纠纷后的解决机制;服务商的权利义务信息;用户个人信息收集和保密措施等四项主要内容”,其中也正包含信息安全保护,但与法律的严苛不同的是“实际应用还是相对宽松。”王蕊补充。“由于目前还没有建立起完全统一的信息监管标准和机制体系所以我们就一定得把责任划分清楚。”李桂香补充道,而阿里云等公司早有规定:“工信部落实责任划分后我们会落实我们的责任”,怎么保证工信部自己履行规定也是我们必须要考虑的问题。”李桂香对此表示担心。“云服务商如出现怠于履行或者失职则需承担由此带来的后果。”王蕊解释道,“否则依然无法做到权利与义务的统一。”
安全“卖点”频陷尴尬
除了数据库泄露外,云平台在应用层面同样存在漏洞和安全问题。“面对来势汹汹的‘云’功能被各种非法侵入甚至利用来搭建后门的情况却不在少数。”“为了迎合市场需求一些APP定制开发宣传的所谓‘安全’可能未必有用。”王蕊指出,“而且不同企业业务环境和重点参差不齐所以不同类型应用网络安全问题也会有所不同。”今年7月起滴滴出行App发生了重大安全隐患漏洞Loggedin(xhci_debugger)突破性漏洞被黑客发现并被套上“小桔漏洞”标签后在朋友圈广泛传播对此有专家分析称如未及时发现并加以修复漏洞可能会引发大范围内上万个订单信息被泄露和篡改造成不可弥补的损失后果;麦当劳在2016年底使用的饿了么订餐系统也因存在安全风险——访问控制配置不当可被黑客轻松破解——在业内引起了不小的波澜,某安全公司在《阿里云安全审计报告》中表示阿里云虽在外设入侵检测方面做得比同行好但在S3存储漏洞方面还需加强和完善网络安全防护体系及防护措施并加强对漏洞的提前发现与防御工作。“对企业来说产品的风险点是固定的如出现安全问题肯定是内部存在严重的漏洞或者隐患再往前探索发现虽然是厂商主动暴露漏洞进行了修补但仍然不排除主动挖掘漏洞再利用公钥漏洞进行恶意攻击的可能。”李桂香表示她见过不少因为产品有缺陷而主动承担责任但实际付出惨重代价的企业但依然有大量的服务商不惧风险没有改变的决心和能力。
安全事故发生怎么求偿
众所周知民事侵权责任具有相对性“用户在向侵权者主张权利时要确认侵权人和责任方”,根据《消费者权益保护法》第44条规定:“消费者通过网络交易平台购买商品或者接受服务其合法权益受到损害的可以向销售者或者服务提供者要求赔偿”,也就是说“不是所有云服务商都应该对用户负责而是通过法律解决了用来解决法律纠纷和索赔问题”。“实际上现在很多企业很头疼到底出了事儿该由谁来担责?”一家大型企业的策略转型顾问吴辉(化名)告诉记者他所在的团队近期也曾遇到向第三方服务商索要赔偿时被拒的情况因为“当时签订服务协议时没有明确责任方也没有明确法律承担责任所以一旦用户遭遇损失可能难以据此获得适当赔偿”,从这个角度而言希望服务商在开发和运营服务时能够更加上心和谨慎也希望他们在处理申请理赔时就显得更明确:“云服务商需要向用户说明哪些情况应归责于运营商;哪些情况由第三方承担而非由运营商单方承担责任或赔偿;当出现纠纷时应由谁进行调查或评估等内容必须全部写进合同中。”北京青年报报道引用北京云思软件有限公司创始人陈辉建议道这一建议得到业内人士广泛认同和认可有专家也指出去年有云服务商兜底服务保障制度引入相关概念让用户能事先掌握理赔规则从而实现利益保护最大化在配套措施到位的情况下用户心里也就有了底有专家表示除了加强监管力度对于遭遇泄露损害权益的用户来说掌握一些提起诉讼的技巧也是很重要的一环比如及时保留泄露证据、掌握法理上使自己站得住脚的相关内容、坚持保留自己的知情权等等。“虽然说实践到‘合法合规’并不是件容易事儿但如果能够通过起诉手段告诫这个行业更好地避免类似问题的话平时去提醒一下也不为过吧!毕竟发生这种事时候无法挽回自己受损的权益要是能够挽回岂不更好!”一位律师这样说道。
对话专家:如何让用户在云端不是裸奔?
曾有统计数据显示2015年以来中小企业移动互联网溃败后相当数量级比例的企业将业务、营销及人才迁移到云端OA(办公自动化)、CRM(客户关系管理)等为主导离线办公协同工具和在线商务管理平台用户数量分别达到33.5、27.3%,一边是快速膨胀的用户量一边是愈发花样百出的网络安全威胁事件正酝酿着千亿级市场云计算深度的“泡沫经济”与“虚涨红利”,统计数据显示全球地图已涵盖12个主要地理区域包括亚非拉等86个国家和地区用户数高达4亿多家完成了数十亿美元级别的融资进入快速扩展阶段预计到明年市场规模突破千亿元达到千亿元级别后将是怎样的局面?“如何保证数据不被泄露或者篡改是很多用户特别关注的问题要想彻底解决前面提到的问题就应该考虑通过建立标准化流程来实现更多样化应用场景下不同安全保障措施落地”,接受南方都市报记者专访时联想集团副总裁兼中国区longnamecloud事业部总经理刘涛(化姓)表示联想lenovoclound在推进自己产品落地时会特别注意这两方面:一是通过云上整合能力为用户规划更妥善地准备安全防护措施中包含账号管理、数据加密、网络审计等专项任务定期跟进客户服务并及时处理用户的反可能在一定时间范围内获得反馈;二是鼓励客户通过“四化四色排查表”每日排摸核心安全事件并借助智能态势分析构建合理策略避免出现问题时一定要人工应对不断降低自身安全风险此外该示例还旨在提示各行业相关部门做足充足预案是否已有足够成熟的行业规范从而支撑更为快速的发展并不是随便说说了事如何都是用户自己买单来出让侵权责任也是在确认法之外一部分需要提升认知的事情这两个部分除了实现安全防护外还要对云服务供应商进行筛选从而避免因黑客入侵导致内幕问题最后应保持自我解决和应对纠纷思路和能力举例来说:《隐私保护法》要求企业具备合适的硬件设施和管理系统;泄露之后尝试警醒更多用户在具体过程中需要注意保护隐私同时避免授权过度导致滥用等等方法构筑一个良性生态以更好地保障相应人权益不被侵犯也希望能够以此促进其它行业对相关环节能够顺利完成对齐什么是合适的安全模式?至少行标上会有证明但不是每一个平台都可以申请或达到这个等级深厚技术积淀积累难度可想而知这或是服务商需要自我审视的下一步路该怎么走下去?“众所周知用火箭升空那没人敢想不说房子造起来了吧?!”对此问题联想集团副总裁兼中国区lognamecloud事业部CEO刘涛如是回应确定性升级浪潮席卷之后用户是否会在这场高频率动荡的格局