近两年,随着ChatGPT、SORA等一系列模型应用的诞生,人工智能领域火爆异常,应用场景丰富且可用性强,让不少个人与企业趋之若鹜,但从数据安全角度看,却引发了个人的一些思考。
在ChatGPT刚刚兴起时,某些企业员工就将内部资料上传聊天机器人,期望使用其能力提高自身工作效率,但没少听到适得其反的结果报道,这就引发了个人的思考。
期望使用聊天机器人解决具体问题,那就要有具体需求或问题描述,其中,你提出的问题是否涉及敏感信息、是否只能通过上传部分资料,使聊天机器人理解了需求,再出具问题答案?如果期望使用SORA进行图片制作与美化,是否可能用到自己或他人照片?是否会侵犯他人肖像权?若上传了个人正面照片,那面部数据是否有可能泄露?这些信息我们暂时无法得知,只希望大家能在使用新技术的同时,也多一些自我保护意识,这对自身与所在企业,都不是坏事儿。
技术的发展与应用对人们生活娱乐的质量提升是可喜的,但凡事都有两面性,在我国将数据定义为生产要素后,其性质就发生了转变,数据不再是随意传播且无需承担法律风险的“虚拟物品”,相反,它需要受到监管,也不得不监管。
以个人信息为例,贩卖个人信息违法牟利,不得不提。
很多人其实不太会关注自己的信息被用来干嘛了,一个手机号、一个家庭地址,一个身份证号,这些看起来就是几个数字、几段文字的数据,往往十分关键。以电信诈骗中的杀猪盘举例,其损失金额遥遥领先于其他诈骗方式,案件的平均受骗金额超十万元,但杀猪盘的实施也必须要有对象吧,别人是怎么得到你的信息的?又怎么知道你有多少钱可以被骗?这些生活中我们忽略的细节,很可能对自己造成巨大伤害。
其实杀猪盘就是用这些不起眼的信息对诈骗对象进行定制化的剧本编写,陷入杀猪盘的人其实很难逃脱,但个人觉得有个技术思路可以用于防骗,那就是零信任。
杀猪盘的重点在于:没有取得你的信任时,不会实施诈骗。而零信任的核心在于:即便你人是可信的,但行为不一定。只要从“信任人”这样的视角转变为“评估行为、再给予信任”的视角,那是否能帮助我们降低一些被骗的概率呢?
这些年反诈技术与手段在提升,但诈骗手段与技术也在提升,个人信息的泄露是诈骗的源头。我始终坚信自己的信息必然被泄露了,在这样的认知基础上,去面对外界的一切行为,这样不论是什么人、任何事,必然绕不开目的,知道了目的,自然对诈骗也就会有一定的防范意识。
文中图片与数据均来源于微信公众号:桦甸市公安局发布的《2021年电信网络诈骗治理研究报告》,https://mp.weixin.qq.com/s/1XdDhOGWkHaDClxZFO1fYA
除了个人数据,这里也不得不提业务数据、商业数据、机密数据等不同属性类别的数据。目前多数企业都会将数据列为资产,那既然数据是资产了,就意味着可以变现,只是数据的变现途径与常规商品有些差异。
正常商业的数据变现,网络安全行业中购买风险评估服务其实也可以算。评估对象是某业务系统,基础数据来源于业务系统,但评估报告却来源于风险评估人员,在整个评估过程中,数据就已经在流转了。
评估开始时,数据会从持有方(客户)转到使用方(评估人员),使用方根据自身经验与专业方法,对系统进行风险评估后,形成了评估报告(新的数据资产诞生),服务过程中,被评估的系统属于客户方的资产,相关敏感信息其实评估人员是可以接触到并进行一定程度的使用,但目前常用的管控方式就是签署保密协议,并规定数据资料一概不出现场,这种方式只能算降低了风险,但由于我们能选择的保护方式十分有限,当下也只能如此,同时,我们也愿意相信服务人员的职业素养。
在安全工作中,我们常能听到“70%靠管理”这样的话,其实是有道理的,即便我们在技术上能够做到数据可用不可见,但在实际应用中存在不小的范围限制,若所有业务系统与数据都采用这样的方式进行管控,那业务开展必然受到影响。因此,数据应用有个大前提,就是数据的定级与分类,只要在允许范围内,那数据就能够被应用与传播,国家提出的数据分类分级相关标准其实就是画出了这个允许范围,若有数据应用诉求的企事业单位,先参考并实践国家标准,数字化转型中的步伐总归还是会快上几步。
在明确了数据应用的范围后,怎么用,这就需要人来进行控制了,“70%靠管理”,其实控制的就是数据应用的范围与传播程度,这个度,是可以被决策人所决定的。