0
近日,這一則“阿里云、百度云被約談”的消息引發(fā)外界關(guān)注:
“工信部網(wǎng)絡(luò)安全管理局、公安部刑事偵查局聯(lián)合約談阿里云、百度云兩家企業(yè)相關(guān)負(fù)責(zé)人,通報了近期兩家企業(yè)在防范治理電信網(wǎng)絡(luò)詐騙工作中存在的接入涉詐網(wǎng)站數(shù)量居高不下等問題。
要求兩家企業(yè)切實履行網(wǎng)絡(luò)與信息安全主體責(zé)任,嚴(yán)格落實《網(wǎng)絡(luò)安全法》等法律法規(guī)要求,對相關(guān)問題限期予以整改;拒不整改或整改不到位的,將依法依規(guī)從嚴(yán)懲處。
兩家企業(yè)表示將認(rèn)真落實監(jiān)管要求,進(jìn)一步加強網(wǎng)站接入、域名注冊、信息服務(wù)等管理,切實防范化解電信網(wǎng)絡(luò)詐騙風(fēng)險。”
多位業(yè)內(nèi)人士向雷峰網(wǎng)(公眾號:雷峰網(wǎng))強調(diào),在近年來國家大力打擊電信網(wǎng)絡(luò)詐騙的背景下,這一則通報來得并不意外。某種程度上,它可以看作是反詐行動的“多管齊下”。
已經(jīng)進(jìn)行多時的“斷卡行動”,是從手機卡、銀行卡入手,聯(lián)手電信運營商、銀行共同防范。這次通報則意味著,要從另一個源頭加強對詐騙團(tuán)伙的打擊,云服務(wù)商作為網(wǎng)絡(luò)服務(wù)的主要提供者,更加正式、明確地加入到這場反詐行動的行列中來。
通報中所指的“接入涉詐網(wǎng)站”,其實是指詐騙網(wǎng)站的服務(wù)采用了阿里云或百度云的服務(wù),通過這些云廠商注冊域名和解析DNS。
“通報的意思是強調(diào)云廠商要主動防范查處,嚴(yán)格執(zhí)行網(wǎng)絡(luò)審查,不能為非法行為提供服務(wù)。”
資深I(lǐng)T咨詢顧問阿昆(化名)告訴雷峰網(wǎng),這一點和對支付機構(gòu)的要求很像:如果商戶涉嫌非法行為,支付機構(gòu)沒有及時凍結(jié)商戶和相關(guān)交易就會遭到處罰;支付機構(gòu)需對商戶的真實性、合法性嚴(yán)格審核,履行商戶審核的主體責(zé)任。
據(jù)雷峰網(wǎng)了解,這類云服務(wù)提供方承擔(dān)審查責(zé)任的要求,并非如今才有:曾有廠商因向違法者提供云主機,而受到監(jiān)管層的行政處罰。
英方軟件的黃亮也表示,這些非法網(wǎng)站為了逃避審查,披著羊皮賣狗肉,想著法子躲過監(jiān)管,這需要監(jiān)管部門、企業(yè)及社會共同監(jiān)督。
“問題在于云廠商是否要下決心斬斷這些收入來源,以及是否能夠通過嚴(yán)格的審核機制完全斬斷,這都是非常大的挑戰(zhàn)。”
“首先要讓云廠商檢查自己接入的詐騙網(wǎng)站數(shù)量,包括為其提供服務(wù)和域名解析。其次就是確保接入的不是詐騙網(wǎng)站,進(jìn)行排查。”
長年從事信息安全行業(yè)的老吳(化名)向雷峰網(wǎng)分析稱,詐騙網(wǎng)站通常存在如下特征:
仿域名、仿頁面;大量流量集中在獲取登錄請求和注冊請求;含客戶數(shù)據(jù)的信息流量明顯大。
相對應(yīng)的防范措施包括但不限于:
相似域名解析過濾,需要有受保護(hù)域名字典;
頁面快照對比,需要有受保護(hù)域名快照留存;
異常流量分析,這一點對資源消耗較大,還要防范過度防御導(dǎo)致正常流量網(wǎng)站無法服務(wù)。
他強調(diào),除了技術(shù)防御手段,還有人工核查、解封流程、風(fēng)控閉環(huán)審查等一系列措施。
或許你也意識到,這對云廠商來說,不大輕松。
“如果考慮到這兩個頂流云平臺的用戶接入量,這就像12306一樣,工作量會陡增。”老吳說。
阿昆也指出,不光是要耗費資源審查、擔(dān)心誤傷正常的商戶,后續(xù)的核實和處置也很復(fù)雜;原來其實只要注意服務(wù)的穩(wěn)定性就行,這些額外的工作,成本可想而知。
在防范逐步加強的過程中,還有可能出現(xiàn)“道高一尺魔高一丈”的情況,演變成云廠商和詐騙分子一場無止境的攻防演練。
“(詐騙分子)為了不被發(fā)現(xiàn),就要做偽裝,那云服務(wù)廠商又要去識別偽裝。”
他推測,后續(xù)黑產(chǎn)或許會轉(zhuǎn)向境外的公有云服務(wù),如AWS等。境外云廠商的服務(wù)獲取更為便捷,追查起來會更加麻煩。
至于為什么是阿里云和百度云先接受約談,阿昆認(rèn)為,應(yīng)該是監(jiān)測到的惡意流量中,這兩家廠商的流量相對靠前。
老吳表示,其他廠商也可能遇到類似情況,不排除后續(xù)會約談,但基于監(jiān)管部門的投訴或一些監(jiān)控數(shù)據(jù)維度,先與這兩家進(jìn)行溝通。
雷峰網(wǎng)也從某頭部云廠商處了解到,他們暫時未收到類似的監(jiān)管通知,尚未發(fā)起更進(jìn)一步、更加嚴(yán)厲的自查。
盡管防范打擊詐騙不易,但云廠商未來必然會更頻繁、深入地加入到反詐行動當(dāng)中來。多位受訪者都強調(diào),這并非純粹的技術(shù)攻防問題,而是企業(yè)的社會責(zé)任問題。
“大型云廠商肯定是要設(shè)法加強防范;如果是小型云廠商,可能就要關(guān)門大吉了。”老吳表示。
從法律角度來說,云廠商也要承擔(dān)相應(yīng)的義務(wù)。
君悅律師事務(wù)所的顧問孫明向雷峰網(wǎng)強調(diào),這些義務(wù)包括基本的實名認(rèn)證、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個人信息保護(hù)等。
早些年間,電信運營商逐步落實電話及手機號碼實名制后,電信詐騙等非法活動得到一定的扼制。在不少業(yè)內(nèi)人士看來,當(dāng)下加強對于云服務(wù)廠商的監(jiān)管,與當(dāng)年異曲同工。
“之前對于云服務(wù)廠商監(jiān)管相對松散,未來云服務(wù)廠商在對客戶提供基礎(chǔ)的域名申請、云服務(wù)租用等服務(wù)時,應(yīng)當(dāng)履行更加嚴(yán)格的、合理審慎的注意義務(wù),防止其用戶使用云服務(wù)從事違法犯罪活動。
如果云服務(wù)廠商故意或重大過失導(dǎo)致其云服務(wù)用于違法犯罪活動的,就會違反網(wǎng)絡(luò)安全法和數(shù)據(jù)安全法的相關(guān)規(guī)定,情節(jié)嚴(yán)重的可能要承擔(dān)刑事責(zé)任。”
隨著今年《數(shù)據(jù)安全法》《個人信息保護(hù)法》等一系列法案的出臺,這些義務(wù)以及可能出現(xiàn)的處罰都將更加明確。
通報中提到的《網(wǎng)絡(luò)安全法》,就列明了相關(guān)懲罰:
從事危害網(wǎng)絡(luò)安全的活動,或者提供專門用于從事危害網(wǎng)絡(luò)安全活動的程序、工具,或者為他人從事危害網(wǎng)絡(luò)安全的活動提供技術(shù)支持、廣告推廣、支付結(jié)算等幫助,尚不構(gòu)成犯罪的,由公安機關(guān)沒收違法所得,處五日以下拘留,可以并處五萬元以上五十萬元以下罰款;情節(jié)較重的,處五日以上十五日以下拘留,可以并處十萬元以上一百萬元以下罰款。
受到治安管理處罰的人員,五年內(nèi)不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作;受到刑事處罰的人員,終身不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作。
而一旦違反《數(shù)據(jù)安全法》將受到最高一千萬的重罰:
(據(jù)數(shù)據(jù)安全法)第四十五條?……違反國家核心數(shù)據(jù)管理制度,危害國家主權(quán)、安全和發(fā)展利益的,由有關(guān)主管部門處二百萬元以上一千萬元以下罰款,并根據(jù)情況責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照;構(gòu)成犯罪的,依法追究刑事責(zé)任。
不過孫明也向雷峰網(wǎng)強調(diào),盡管《數(shù)據(jù)安全法》與《個人信息保護(hù)法》已經(jīng)出臺,但目前缺少執(zhí)法案例,我們?nèi)砸^察監(jiān)管機構(gòu)的執(zhí)法尺度。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
