信息化觀察網(wǎng)

2022年開局，幾乎是各種負(fù)面新聞和疫情反復(fù)的錘煉，很多“心大”的朋友都開始變得焦灼，紛紛表示“蚌埠住了”。疫情第三年，大家的情緒似乎都抵達(dá)了一個(gè)臨界點(diǎn)。

然而，越是令人身心疲憊的危機(jī)時(shí)刻，越要穿好健康和安全的鎧甲，妥善照顧好自己的生活。

除了物理世界需要注意身心安全之外，在大眾逐漸適應(yīng)數(shù)字化的工作和生活方式之后，對(duì)于數(shù)字世界新出現(xiàn)的安全威脅，很多人可能都沒什么概念。

所以，我們?cè)诒疚闹袊L試預(yù)測(cè)一下，接下來可能增多的安全威脅，希望大家能夠預(yù)先采取行動(dòng)，防患于未然，增強(qiáng)自己在數(shù)字世界的“抗體”。

請(qǐng)相信，我們正穿行在一條幽暗的隧道里，已經(jīng)徒步走了這么遠(yuǎn)，盡頭的光明一定是真實(shí)存在的。哪有勝利可言，挺住就是一切。

威脅一：成規(guī)模的網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊對(duì)于企業(yè)、政府機(jī)構(gòu)等來說都并不陌生，往往有IT工程人員兢兢業(yè)業(yè)地防守著。而隨著很多人在疫情之后轉(zhuǎn)向長(zhǎng)期數(shù)字生活，也給網(wǎng)絡(luò)攻擊帶來了一些新的變化。

一是網(wǎng)絡(luò)攻擊的收益顯著提升。

在很多地區(qū)，互聯(lián)網(wǎng)服務(wù)的使用率比疫情前提高了一倍以上，在線辦公、視頻會(huì)議、網(wǎng)絡(luò)課程、移動(dòng)支付等也快速在全球范圍內(nèi)普及開來。這就使得黑客的移動(dòng)攻擊面急劇擴(kuò)大，網(wǎng)絡(luò)攻擊如個(gè)人信息泄露、移動(dòng)錢包電子支付被盜、威脅勒索等等，所獲得的收益也就更大了。2021年5月，一家美國(guó)保險(xiǎn)巨頭就向REvil勒索團(tuán)伙支付了4000萬美元的贖金。

高價(jià)值、大范圍的攻擊目標(biāo)，為投資該技術(shù)的犯罪分子提供更大的回報(bào)?？梢灶A(yù)期，勒索軟件和移動(dòng)攻擊的數(shù)量將大幅增加。

（FSB拘留了發(fā)送勒索軟件病毒的黑客）

另一方面，網(wǎng)絡(luò)攻擊規(guī)?；碾y度卻在降低。

很多企業(yè)和職工此前都沒有考慮過長(zhǎng)期在家工作的情況，可能大部分家中的聯(lián)網(wǎng)設(shè)備都不是由企業(yè)來進(jìn)行配置的，安全級(jí)別上與企業(yè)不同。隨著數(shù)字化將業(yè)務(wù)搬遷上云，針對(duì)云服務(wù)提供商（CSP）的大規(guī)模攻擊開始增加，放在云上的文檔中保存著大量組織的敏感數(shù)據(jù)，當(dāng)這些文檔被企業(yè)員工共享出去以便協(xié)作的時(shí)候，如果沒有密碼，或者使用了弱密碼，那么被黑客截獲的可能性也大大增加了。

卡巴斯基的安全專家曾分享過，2019年約有46%的網(wǎng)絡(luò)安全事件，是由粗心大意的員工引起的。而隨著居家辦公的長(zhǎng)期化，對(duì)漏洞和威脅的監(jiān)測(cè)反而沒以前及時(shí)了，這讓情況雪上加霜。

比如此前視頻會(huì)議軟件Zoom就被揭露存在重大缺陷，允許黑客訪問用戶的攝像頭。還有黑客跟蹤麥克風(fēng)的對(duì)話，然后威脅要將它們上傳到社交媒體，除非支付贖金等等。

恐慌毫無意義，回到從前也是天方夜譚。認(rèn)清現(xiàn)實(shí)，接受大規(guī)模遠(yuǎn)程工作所帶來的安全隱患，并開始著手重新建立安全意識(shí)、安全機(jī)制、安全壁壘，才是正事兒。

對(duì)于個(gè)人來說，可以選擇禁用麥克風(fēng)和攝像頭，只在必要的時(shí)候打開它們，能夠有效地保護(hù)居家辦公的隱私信息。

對(duì)于企業(yè)和CSP服務(wù)商來說，需要采取新的工具和安全機(jī)制來測(cè)試漏洞、監(jiān)督訪問控制、密碼管理、端點(diǎn)加密……在風(fēng)險(xiǎn)日益增加的環(huán)境中，在防病毒、反惡意軟件和安全工具上投資是有意義且必不可少的。

威脅二：以假亂真的在線欺詐

互聯(lián)網(wǎng)服務(wù)以一種自然的、無感的方式嵌入我們的日常生活中，成為必不可少的工具，這意味著人們必須不斷自我學(xué)習(xí)來提升數(shù)字技能。這時(shí)候，很多缺乏數(shù)字技能的人，就可能成為網(wǎng)絡(luò)詐騙的重災(zāi)區(qū)。

一些傳統(tǒng)的網(wǎng)絡(luò)詐騙方式，比如男扮女裝、偽裝警察、線上賣茶、編造諸如你兒子在我手里之類的謊話，公安部門的反詐App已經(jīng)幫咱們科普得明明白白了。但隨著Deepfake技術(shù)的不斷升級(jí)，并且很容易通過開源平臺(tái)獲得，想要區(qū)分真實(shí)信息與虛假信息變得越來越困難了。

目前，這種以假亂真的Deepfake偽造詐騙還很難防范。

2019年，就有一名黑客通過AI語音克隆，偽裝對(duì)方的領(lǐng)導(dǎo)，從阿聯(lián)酋的一家銀行經(jīng)理那里騙走了3500萬美元。2021年，偽造的疫苗接種證書（疫苗護(hù)照）流行起來，這些偽造的接種證書不僅帶有疫苗接種中心的印章和簽名，甚至貼有疫苗編號(hào)標(biāo)簽，與真實(shí)的國(guó)際通用《黃皮書》（國(guó)際預(yù)防接種證書）幾乎沒有區(qū)別，團(tuán)購(gòu)售價(jià)為100-120歐元，讓多個(gè)國(guó)家的疫情防控大受困擾。

面部偽造技術(shù)也越來越逼真，以前用來識(shí)別的耳朵邊緣瑕疵也近乎消除。前不久的美版抖音TikTok上，利用Deepfake把湯姆·克魯斯（Tom Cruise）的臉復(fù)制到自己身上并生成視頻，也引發(fā)了病毒式傳播，并且愚弄了很多人?？雌饋硎窃趭蕵?，可是一旦被用在詆毀公眾人物，或者在視頻通話中冒充他人來籌集資金，會(huì)導(dǎo)致人們對(duì)音頻和視頻內(nèi)容的廣泛不信任，這本身就是一種社會(huì)危害。

如果沖浪達(dá)人都可能上當(dāng)受騙，無法區(qū)分真實(shí)視頻與虛假視頻，那么要求老年人、新觸網(wǎng)群體完全靠自己來規(guī)避這種風(fēng)險(xiǎn)，顯然是強(qiáng)人所難了。

總的來說，目前已知的Deepfake偽造技術(shù)攻擊，包括幽靈欺詐（犯罪分子竊取死者的身份進(jìn)行詐騙），身份模仿（如前面提到的語音克隆案例），虛擬身份欺詐（犯罪分子通過組合來自多個(gè)人的信息和圖像來為自己“創(chuàng)建”新身份）。

防范這種網(wǎng)絡(luò)威脅，大致可以分為三種層級(jí)：

首先，個(gè)人要對(duì)一切網(wǎng)絡(luò)上發(fā)生的交易活動(dòng)保持“零信任”。沒錯(cuò)，在不確定對(duì)方毫無威脅之前，都先判定是有威脅的，直到它證明自己。加州大學(xué)伯克利分校（University of California，Berkeley）教授、數(shù)字取證專家哈尼·法里德（Hany Farid）也呼吁，對(duì)你所看到的、聽到的和讀到的東西保持懷疑，是應(yīng)對(duì)Deepfakes非常強(qiáng)大的武器。

無論對(duì)方是發(fā)信息，還是用語音甚至視頻要求你轉(zhuǎn)賬或分享數(shù)據(jù)，全部要求用其他方式進(jìn)行額外驗(yàn)證，比如再發(fā)送電子郵件、給你的社交媒體留言等等。沒有任何一個(gè)辦法能夠保證你識(shí)別出Deepfake，因?yàn)榧夹g(shù)一直在進(jìn)步，關(guān)鍵是改變你的安全意識(shí)，用“零信任”來增加犯罪分子的成本和難度。一般情況下，這些詐騙信息都是自動(dòng)化發(fā)送的，可能多要求對(duì)方驗(yàn)證幾次就不攻自破了。

其次，企業(yè)和互聯(lián)網(wǎng)平臺(tái)有責(zé)任必要的技術(shù)來應(yīng)對(duì)威脅，審查可能被偽造的身份和內(nèi)容。比如有黑客運(yùn)用一些個(gè)人信息來開設(shè)賬戶，向金融平臺(tái)貸款，從而導(dǎo)致真人莫名其妙地背上了債務(wù)，金融機(jī)構(gòu)也將遭受直接的損失。目前，微軟和Facebook等一些頂級(jí)科技公司正在開發(fā)自動(dòng)化軟件來標(biāo)記Deepfake內(nèi)容，比如YouTube就在前不久刪除了烏總統(tǒng)Volodymyr Zelensky的Deepfake視頻。

只能依靠企業(yè)自身提升安全級(jí)別，在驗(yàn)證身份信息時(shí)，引入虹膜、DNA、靜脈等生物識(shí)別手段，或者采用更高精度的3D人臉識(shí)別，開發(fā)AI算法來研判圖片資料是否有PS偽造痕跡等等。一般情況下，犯罪分子都需要提交身份證件和自拍，而大多數(shù)不愿意使用自己本人的面部照片進(jìn)行欺詐，這就與偽造的身份證件有沖突，這種交叉驗(yàn)證很容易暴露身份偽造。

而保底的方案，則是將火眼金睛的人類員工作為最后一道防線，來協(xié)助安全技術(shù)儀器工作，因?yàn)闄C(jī)器視覺在識(shí)別紙質(zhì)身份證中的欺詐行為方面，魯棒性還是達(dá)不到人眼的水平。一旦光照、環(huán)境發(fā)生變化，效果就未必理想。培訓(xùn)人類員工來把關(guān)，與數(shù)字技術(shù)構(gòu)成一個(gè)強(qiáng)大的人機(jī)協(xié)作系統(tǒng)，才能對(duì)抗Deepfake技術(shù)日益嚴(yán)重的威脅。

威脅三：零工時(shí)代的勞工困境

如果說前面兩種威脅都是實(shí)打?qū)嵉呢?cái)產(chǎn)或信息損失，可以通過有力的政策和技術(shù)工具來規(guī)避，那么有一種威脅可能是悄無聲息、但傷筋動(dòng)骨的，那就是零工經(jīng)濟(jì)引發(fā)的勞工問題。

零工經(jīng)濟(jì)，以前是個(gè)很時(shí)髦的詞，是由在線平臺(tái)推動(dòng)的，以臨時(shí)合同和非正式身份雇傭員工。uber、Airbnb以及印度的Ola和Swiggy都是這類模式。疫情之后，不確定的外部環(huán)境推動(dòng)了零工經(jīng)濟(jì)規(guī)模的擴(kuò)大，一些停滯或縮減的行業(yè)職員都有可能流動(dòng)到零工崗位上去，也給零工群體蒙上了一層無奈的陰影。此前，國(guó)內(nèi)某商超就曾暫時(shí)接收過其他O2O平臺(tái)的配送員。

隨著疫情威脅的消退，以及遠(yuǎn)程辦公、數(shù)字游民成為趨勢(shì)，零工人員數(shù)量可能還會(huì)迎來大規(guī)模的增加，并從出租、配送、代駕等領(lǐng)域，擴(kuò)展到設(shè)計(jì)、新媒體等白領(lǐng)崗位。

（歐盟遠(yuǎn)程辦公工作的員工比例）

這種“分布式”新組織結(jié)構(gòu)，確實(shí)具備更高的靈活性，同時(shí)也存在“黑暗面”，那就是企業(yè)承擔(dān)了更少的保障義務(wù)，零工群體的抗風(fēng)險(xiǎn)能力也不如以往，進(jìn)而驅(qū)動(dòng)遠(yuǎn)程協(xié)作的激勵(lì)體系重新設(shè)計(jì)。

同時(shí)，因?yàn)榭梢噪S時(shí)工作，員工很容易超負(fù)荷，而且必須學(xué)習(xí)使用數(shù)字設(shè)備的新技能，以及處理多線程任務(wù)的能力，自己平衡壓力并持續(xù)學(xué)習(xí)……這些都對(duì)零工人口提出了新的工作挑戰(zhàn)。如果你是一個(gè)開著網(wǎng)約車的前程序員，或者改為線上接單的設(shè)計(jì)師，就需要努力地適應(yīng)變化，并妥善考慮自身的財(cái)務(wù)抗風(fēng)險(xiǎn)能力和長(zhǎng)期保障規(guī)劃。

對(duì)于政府來說，面對(duì)零工經(jīng)濟(jì)、遠(yuǎn)程協(xié)作的趨勢(shì)，提高學(xué)習(xí)的節(jié)奏并加速相應(yīng)政策法規(guī)的出臺(tái)，或許會(huì)讓風(fēng)雨飄搖中的零工們少一點(diǎn)難題。

在人類歷史中，最大的突破往往也來自最具破壞性的危機(jī)時(shí)期。關(guān)注并超越危機(jī)，能夠確保我們?cè)谝咔橹蟮臄?shù)字未來里比以前更加自由、更加強(qiáng)大。

那些殺不死我們的，一定會(huì)讓我們更加堅(jiān)強(qiáng)，與君共勉。