信息化觀察網(wǎng)

本文來自微信公眾號“數(shù)世咨詢”，作者/nana。

隨著生成模型，尤其是大模型（LLM）的出現(xiàn)，以及ChatGPT的迅速躥紅，人們再次呼吁加強(qiáng)安全監(jiān)管。

01

安全不是靠監(jiān)管出來的

不出所料，面對未經(jīng)詳細(xì)研究的新技術(shù)，人們的第一反應(yīng)就是恐懼，而恐懼可能會造成過度監(jiān)管。盡管安全監(jiān)管有其可取之處，但我們必須謹(jǐn)記，監(jiān)管并不總能帶來安全改善。安全相關(guān)法規(guī)好心辦壞事的例子并不少見。

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI-DSS）適用于想要刷客戶卡的任何人，或者，說得更專業(yè)一點，適用于存儲、處理和/或傳輸持卡人數(shù)據(jù)的任何人。該標(biāo)準(zhǔn)1.1版于2006年制定，要求密碼長度至少為七個字符。就當(dāng)時而言，不少于七個字符的密碼已經(jīng)夠強(qiáng)了，但今天的普通硬件都能在幾天乃至不到一秒的時間內(nèi)破解此類密碼。

2022年3月，該標(biāo)準(zhǔn)更新為密碼長度至少12個字符（如果系統(tǒng)不支持12個字符，那至少八個字符）。即便如此，在2025年3月31日具有法規(guī)約束力之前，該要求只是個推薦采用的最佳實踐而已。而且，雖然12個字符的長度已經(jīng)優(yōu)于七個字符，但未來幾年里也會變得很容易破解。

安全法規(guī)越具體，就越容易過時。

02

安全不是靠監(jiān)管出來的

1通用監(jiān)管的缺點

具體的另一面，也就是法規(guī)過于籠統(tǒng)，也會對安全造成不利影響。歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）就是現(xiàn)成的例子。GDPR旨在保護(hù)個人信息。該條例中規(guī)定，個人數(shù)據(jù)指的是與身份已識別或可識別的自然人相關(guān)的任何信息。但個人數(shù)據(jù)的這個定義非常寬泛，包羅萬象。歐盟法院已經(jīng)裁定，IP地址屬于用戶的個人數(shù)據(jù)。那就難怪安全部門老是跟法律部門糾纏自己到底可以收集哪些日志來保護(hù)組織安全的問題了。

正如藍(lán)隊專業(yè)人士所言，日志在提供所保護(hù)環(huán)境的可見性方面非常重要。如果缺乏日志，我們基本上就無法探知網(wǎng)絡(luò)上的各種活動了，無論是良性的還是惡意的。盡管如此，如果日志中會包含員工、客戶和供應(yīng)商的個人信息，那是否值得冒著被罰全球營業(yè)額4%的高昂代價換取更加安全一點呢？很遺憾，由于法規(guī)的寬泛性，組織主要根據(jù)法律部門的保守性來調(diào)整決策。

2法規(guī)問題意見紛呈

最后，任何法規(guī)都是不同利益相關(guān)者、立法者、政治游說團(tuán)體、行業(yè)和利益集團(tuán)之間無休止的爭論和協(xié)商的結(jié)果。因此，最終的法規(guī)草案始終反映的是立法過程中做出的種種妥協(xié)。而在安全領(lǐng)域，任何此類妥協(xié)都會造成次優(yōu)安全和監(jiān)管漏洞，可能被攻擊者利用。

所以，必須謹(jǐn)記，安全與合規(guī)是兩碼事。合規(guī)的組織仍會遭到入侵并不是什么巧合，因為合規(guī)不保證安全。這種局面令人相當(dāng)困擾，因為動搖了安全法規(guī)存在的根本理由。如果安全法規(guī)不是為了確保我們真的安全，那還費那事兒制定法規(guī)干什么呢？

幾年前，幾位研究人員發(fā)表論文分析了強(qiáng)制要求為兒童提供汽車安全座椅的法規(guī)是否有效。論文中稱，1977年以來，美國各州一直在逐步提高兒童使用兒童安全座椅的年齡。因為很多標(biāo)準(zhǔn)尺寸車輛的后排無法容納三個兒童座椅，這些限制法規(guī)大大增加了生第三個孩子的成本。研究人員進(jìn)一步估算，由于這些政策的實施，2017年全美各地死于車禍的兒童減少了57人。但與此同時，這些法規(guī)造成了出生率的長期下降，自1980年以來已導(dǎo)致出生人口減少14.5萬，其中90%發(fā)生在2000年以后。兩相對比，很容易看出良好的監(jiān)管意圖會產(chǎn)生怎樣的負(fù)面影響。

在對組織施加更多安全法規(guī)之前，我們必須問問自己：我們到底是在改善安全，還是單純加強(qiáng)更多監(jiān)管？