周鴻祎：萬物互聯(lián)時代到來 安全挑戰(zhàn)前所未有(3)

第三個問題，大數(shù)據(jù)污染，就是大數(shù)據(jù)中如果被人人為加入了這種不好的數(shù)據(jù)，人為操作和注入修改虛假信息，在數(shù)據(jù)傳輸存儲過程中出現(xiàn)了問題，你根據(jù)大數(shù)據(jù)做一些行業(yè)的指導(dǎo)和趨勢的分析，可能會出問題，這個問題今后會詳細(xì)嘗試。

但我認(rèn)為還是有三個最重要的問題。第一個是這種智能設(shè)備IoT被控制之后的這種災(zāi)難或者危害會比電腦手機(jī)大。因為過去大家記得嗎，你的電腦中毒了，有問題了，大家最多覺得說今天給老板交的報告寫不出來了，所以我電腦中毒了經(jīng)常成為工作完不成的一個借口。手機(jī)出問題了呢，無非你們看到最近多了很多眼照，不小心照片上傳了，當(dāng)然今天手機(jī)和支付系統(tǒng)連在一起，可能當(dāng)你的通信錄被盜用了，就會收到一些詐騙短信。包括前面講到的那個木馬之所以會得逞，就是因為它盜用了你的通信錄的地址本，熟人發(fā)來的短信，大家都會連接。但I(xiàn)oT是可被控制的，不是一個單純的網(wǎng)絡(luò)，這個被控制了帶來的風(fēng)險就大了。

前段時間中國人崇拜完喬布斯之后，因為中國的假喬布斯太多了，他們又開始崇拜美國另外一個人，號稱鋼鐵俠，他造了一部汽車叫做特斯拉，他上次來中國的時候，我有幸和他們大家一起吃了晚餐。我問了一個他很惱怒的問題，我說你的汽車會被人駭客嗎？他說不會，我們所有的應(yīng)用都是自己寫的，我們不會安裝任何第三方應(yīng)用，所以不會有任何問題。我就提了兩個問題，第一個你的汽車是有Wi-Fi和藍(lán)牙，我可能駭客不了你的汽車，但你用手機(jī)接入的話，我可以駭客你的手機(jī)，我一樣可以通過手機(jī)駭客這個汽車。自然你是一個智能汽車它就像一個大手機(jī)一樣，一定要和云端通信，所以如果有人下發(fā)了你的通信協(xié)議或者破解了你的云端的網(wǎng)絡(luò)，我一樣可以控制你的汽車。我們后來在全國征得了很多有識之士，有人成功破解了對特斯拉的協(xié)議，成功實現(xiàn)了對汽車的控制。所以，中國汽車廠要生產(chǎn)智能汽車，我給他們說對重要的不是邊開汽車邊看互聯(lián)網(wǎng)影視，最重要的是老百姓敢不敢看你的車，如果半路上突然死機(jī)了，突然欄屏了，突然彈出一個大窗口說你必須下載一個什么玩意兒，這樣的汽車不會有人開的，一旦出現(xiàn)問題就會非常的嚴(yán)重。

所以，這是我講的在IoT時代一旦網(wǎng)絡(luò)被人控制不可設(shè)想。我是一個電影迷，我家里有很多好萊塢電影，很多都是網(wǎng)上下的，我記得布魯斯威利斯在虎膽龍威里說的，說恐怖分子控制了美國的電廠，控制了大壩，控制了交通信號燈，當(dāng)時我看的時候覺得匪夷所思，他們怎么這么傻，這都是專用系統(tǒng)干嗎要接入互聯(lián)網(wǎng)呢？但到了IoT時代，你發(fā)現(xiàn)所有的設(shè)備都希望可以遠(yuǎn)端控制和智能采集數(shù)據(jù)，這些東西都可以接入互聯(lián)網(wǎng)。舉個小例子，當(dāng)一個IT發(fā)燒友把你們家的燈泡、電視、都換成智能的，又裝了一個攝象頭，變成智能攝象頭，如果你們家路由器被人駭客了，我就可以把你家的燈都關(guān)到，還可以裝上一個攝像機(jī)，這何止艷照啊，三級片都出來了。

有很多問題我沒有答案，我只是在安全大會上提出來，我覺得這要靠我們大家共同努力去意識到這些挑戰(zhàn)，同時我們來尋找解決的方法。

還有兩個問題，一個是大數(shù)據(jù)帶來的用戶隱私問題。最近美國機(jī)器人很熱，坦率說我覺得也是代表了一個趨勢，當(dāng)大數(shù)據(jù)產(chǎn)生了人工智能之后很有可能人類技術(shù)發(fā)展會到達(dá)一個新的基點，當(dāng)能夠控制很多設(shè)備的時候，我覺得有兩種可能，一種是我們的家庭生活會變得更加幸福，一種是駭客帝國的時代會來臨。所以下次我的PPT再做可以多用一些電影的劇照，大家更便于理解。

比如說你以后設(shè)想看到的機(jī)器人和智能汽車，我有一個斷言，它未必是由這個設(shè)備里的智能系統(tǒng)單獨做智能判斷，它一定是和云端一個更大的智能系統(tǒng)相連，比如在你真正的智能駕駛，你何止需要這一部汽車的數(shù)據(jù)才能做判斷，你可能需要路邊很多傳感器和很多其他汽車發(fā)來來的信息，你需要在云端進(jìn)行高速的分析，再反饋過去。所以，將來有一天可能不僅僅是這臺車上的電腦在指揮，很有可能是云端的一個東西在指揮，所以你看到各種各樣無論是專用機(jī)器人還是通用機(jī)器人，我相信在幾年以后也會越來越普及，它都會和互聯(lián)網(wǎng)相連，這樣當(dāng)真正云端安全出現(xiàn)問題以后，這些自動駕駛汽車，包括有些人覺得說變形金剛這個電影完全是瞎扯，我不這么看，比如現(xiàn)在很多人在研究無人機(jī)，亞馬遜用無人機(jī)送貨，無人機(jī)加上智能傳感器的判斷，無人機(jī)就是飛機(jī)人，所以，機(jī)器智能帶來的轉(zhuǎn)換這是我們下一個五到十年所謂做網(wǎng)絡(luò)安全的人需要考慮的問題。

最重要的一個挑戰(zhàn)是用戶隱私的挑戰(zhàn)，在這樣一個IoT和大數(shù)據(jù)的時代，我們每個人的數(shù)據(jù)，實際上只要你用網(wǎng)絡(luò)服務(wù)就會被傳到云端，就會被儲存到各個提供互聯(lián)網(wǎng)的，不一定是互聯(lián)網(wǎng)公司，可能是所有的公司都有它的云端數(shù)據(jù)的收集，每個人會變得更加透明。這時候我覺得法律和規(guī)則的制定是落后的，有很多問題是不清楚的，怎樣在這種情況下更好的去保護(hù)我們個人的隱私，我可以舉兩個例子，比如對很多公司來講，大數(shù)據(jù)時代是他們夢寐以求的最好的黃金時期，過去做廣告都不知道你是誰，不知道你喜歡什么，當(dāng)然所有的廣告效果都很難評估，但今天有了大數(shù)據(jù)，可以7×24小時的不斷的采集，這些在云端，當(dāng)這些數(shù)據(jù)看起來是碎片，再把它匯總起來，你會發(fā)現(xiàn)說可能我們每個人就變成了透明人，我們每個人在干什么，在想什么，可能這時候云端全部都知道，在這種情況下，除非你不用任何先進(jìn)的設(shè)備，除非你不用網(wǎng)絡(luò)，除非你不用手機(jī)，否則的話你怎樣解決在這種情況下對個人隱私數(shù)據(jù)的保護(hù)。

比如我們推出了兒童手環(huán)，我們第一版做得不是很完美，后來我要求改版，要求他們一定要做到表袋足夠短，一定成年人戴不上，因為很多媽媽聽說這個消息以后，他們覺得非常興奮，覺得終于有了保護(hù)自己家庭的利器了，他們買了兩個，一個給孩子戴，一個給老公戴。所以，在大數(shù)據(jù)時代，個人隱私的這種挑戰(zhàn)空前大。

包括美國有一家公司，他說你只要給他的試管吐一口吐沫，就可以免費測出你的基因組。我相信未來測基因一定會成本很低，如果有這樣一家免費測基因的公司，他就拿到了大家最隱私的數(shù)據(jù)，過了二十年以后，他就上門來找你了，說從你的基因看，你就會得老年癡呆癥，所以我們給你賣藥，他掌握了你很多的最隱私的信息，所有的商業(yè)模式就會建立起來，這對公司是一個黃金時代，但對我們個人來說可能每個人都會覺得自己很脆弱。所以我提出了一個新的想法，在大數(shù)據(jù)時代，我提出了如何保護(hù)用戶隱私的三原則。

第一，雖然這些信息儲存在不同的服務(wù)器上，但你們覺得這些數(shù)據(jù)的擁有權(quán)究竟屬于這些公司還是屬于用戶自己？我的答案是這些數(shù)據(jù)應(yīng)該是用戶的資產(chǎn)，這是必須明確的，我希望將來在打很多官司的時候會出來，關(guān)于財產(chǎn)所有權(quán)一樣，以后這種個人隱私數(shù)據(jù)也會有一個所有權(quán)，我希望我們的立法專家能夠考慮這個所有權(quán)應(yīng)該屬于用戶所有，這是第一個原則。

就像當(dāng)年我很愛看科幻小說，有一個小說家叫阿西諾夫，他提出機(jī)器人三原則，他幻想未來機(jī)器人遍地跑的時候，機(jī)器人如何不傷害人類和破壞人類的文明。到IoT時代也需要一個類似的三原則，使得用戶數(shù)據(jù)都在云端的時候，這些公司能夠遵循一些更好的原則，給用戶提供更好隱私的保護(hù)，所以，第一個是個人信息是用戶的資產(chǎn)，它只是暫時托管和存放在各個公司的服務(wù)器上。

第二，不僅是今天的互聯(lián)網(wǎng)公司，更不僅僅是今天的網(wǎng)絡(luò)安全公司，甚至包括很多要進(jìn)入互聯(lián)網(wǎng)要利用IoT技術(shù)，要給用戶提供這些信息服務(wù)的公司來講，你要有相應(yīng)的安全能力，你要把你收集到的用戶數(shù)據(jù)進(jìn)行安全存儲和安全的傳輸，這是企業(yè)的責(zé)任和義務(wù)，如果你這個企業(yè)沒有足夠的安全能力，你收集了用戶的信用卡資料，比如你是一個網(wǎng)店賣東西的，你拿到了用戶的帳號，你這些信息的丟失，都會給整個社會帶來很災(zāi)難的結(jié)果。舉個例子，一家網(wǎng)站被拖庫，所有的用戶口令都要改，因為用戶在很多網(wǎng)站上都用一個用戶名和一個口令。所以我也講，可能未來五到十年網(wǎng)絡(luò)安全的責(zé)任不僅僅是我們今天這些安全從業(yè)人員的責(zé)任，我覺得每一個想做互聯(lián)網(wǎng)業(yè)務(wù)的公司，每一個有用戶資料的公司，每一個要把自己的服務(wù)擺到互聯(lián)網(wǎng)上去的公司，你都要提升你的安全能力，提升你的安全防護(hù)水平，你要收集用戶的數(shù)據(jù)，必須要先解決安全可靠的傳輸存儲的基礎(chǔ)。

第三，所謂你使用用戶的信息，一定你要讓用戶有知情權(quán)，你要讓用戶有選擇權(quán)，所謂叫做平等交換、授權(quán)使用，你不能未經(jīng)用戶的授權(quán)就去采集他的信息。比如今天在手機(jī)上有很多數(shù)據(jù)，有很多應(yīng)用，它根本和短信毫無關(guān)系，它卻要把你的短信記錄傳到網(wǎng)上，這種就沒有讓用戶有知情權(quán)，還有很多用戶可以選擇說，我不需要你提供這個服務(wù)，我可以把它關(guān)掉，我可以拒絕你采集我的數(shù)據(jù)，用戶一定要有這種選擇權(quán)。事實上像今天，我剛才說的手環(huán)業(yè)務(wù)、智能家電業(yè)務(wù)和汽車的業(yè)務(wù)，很多時候用戶沒有選擇，因為當(dāng)你選用了這樣一個智能產(chǎn)品，你在使用它的服務(wù)時，它這個服務(wù)先天功能的設(shè)計就不可避免的把你一些數(shù)據(jù)會上傳，這里面實際上是用戶用自己的數(shù)據(jù)交換了可能對這種服務(wù)的使用，這種數(shù)據(jù)被企業(yè)拿到之后，企業(yè)可以利用他來做一些所謂對用戶的推廣，但一定要獲得用戶的授權(quán)，這種未經(jīng)用戶授權(quán)對用戶數(shù)據(jù)的泄露，把這種數(shù)據(jù)賣給別人利用這種數(shù)據(jù)牟利，我覺得將來不僅要被視作不道德的行為，而且要看成是非法的行為。

所以有了這三原則，在我們進(jìn)入IoT時代，我們才能讓用戶對下一代互聯(lián)網(wǎng)感覺更放心，才能更好的使用。最后的結(jié)束語也是我開頭講的，未來安全的問題不會被徹底解決掉，隨著人類越來越貪婪，越來越懶惰，我們的生活越來越舒服，我們對各種先進(jìn)技術(shù)的使用越來越多，帶來一個負(fù)面就是對安全的挑戰(zhàn)越來越多，這種會解決安全的挑戰(zhàn)，需要我們每個人也需要我們安全行業(yè)的公司，更需要我們安全企業(yè)各方面的支持，我們大家一起攜手未來創(chuàng)造一個安全的互聯(lián)網(wǎng)，只有安全的互聯(lián)網(wǎng)才有美好的互聯(lián)網(wǎng)，所以在互聯(lián)網(wǎng)上最重要的就是安全第一。謝謝大家。