0
近日,這一則“阿里云、百度云被約談”的消息引發外界關注:
“工信部網絡安全管理局、公安部刑事偵查局聯合約談阿里云、百度云兩家企業相關負責人,通報了近期兩家企業在防范治理電信網絡詐騙工作中存在的接入涉詐網站數量居高不下等問題。
要求兩家企業切實履行網絡與信息安全主體責任,嚴格落實《網絡安全法》等法律法規要求,對相關問題限期予以整改;拒不整改或整改不到位的,將依法依規從嚴懲處。
兩家企業表示將認真落實監管要求,進一步加強網站接入、域名注冊、信息服務等管理,切實防范化解電信網絡詐騙風險。”
多位業內人士向雷峰網(公眾號:雷峰網)強調,在近年來國家大力打擊電信網絡詐騙的背景下,這一則通報來得并不意外。某種程度上,它可以看作是反詐行動的“多管齊下”。
已經進行多時的“斷卡行動”,是從手機卡、銀行卡入手,聯手電信運營商、銀行共同防范。這次通報則意味著,要從另一個源頭加強對詐騙團伙的打擊,云服務商作為網絡服務的主要提供者,更加正式、明確地加入到這場反詐行動的行列中來。
通報中所指的“接入涉詐網站”,其實是指詐騙網站的服務采用了阿里云或百度云的服務,通過這些云廠商注冊域名和解析DNS。
“通報的意思是強調云廠商要主動防范查處,嚴格執行網絡審查,不能為非法行為提供服務。”
資深IT咨詢顧問阿昆(化名)告訴雷峰網,這一點和對支付機構的要求很像:如果商戶涉嫌非法行為,支付機構沒有及時凍結商戶和相關交易就會遭到處罰;支付機構需對商戶的真實性、合法性嚴格審核,履行商戶審核的主體責任。
據雷峰網了解,這類云服務提供方承擔審查責任的要求,并非如今才有:曾有廠商因向違法者提供云主機,而受到監管層的行政處罰。
英方軟件的黃亮也表示,這些非法網站為了逃避審查,披著羊皮賣狗肉,想著法子躲過監管,這需要監管部門、企業及社會共同監督。
“問題在于云廠商是否要下決心斬斷這些收入來源,以及是否能夠通過嚴格的審核機制完全斬斷,這都是非常大的挑戰。”
“首先要讓云廠商檢查自己接入的詐騙網站數量,包括為其提供服務和域名解析。其次就是確保接入的不是詐騙網站,進行排查。”
長年從事信息安全行業的老吳(化名)向雷峰網分析稱,詐騙網站通常存在如下特征:
仿域名、仿頁面;大量流量集中在獲取登錄請求和注冊請求;含客戶數據的信息流量明顯大。
相對應的防范措施包括但不限于:
相似域名解析過濾,需要有受保護域名字典;
頁面快照對比,需要有受保護域名快照留存;
異常流量分析,這一點對資源消耗較大,還要防范過度防御導致正常流量網站無法服務。
他強調,除了技術防御手段,還有人工核查、解封流程、風控閉環審查等一系列措施。
或許你也意識到,這對云廠商來說,不大輕松。
“如果考慮到這兩個頂流云平臺的用戶接入量,這就像12306一樣,工作量會陡增。”老吳說。
阿昆也指出,不光是要耗費資源審查、擔心誤傷正常的商戶,后續的核實和處置也很復雜;原來其實只要注意服務的穩定性就行,這些額外的工作,成本可想而知。
在防范逐步加強的過程中,還有可能出現“道高一尺魔高一丈”的情況,演變成云廠商和詐騙分子一場無止境的攻防演練。
“(詐騙分子)為了不被發現,就要做偽裝,那云服務廠商又要去識別偽裝。”
他推測,后續黑產或許會轉向境外的公有云服務,如AWS等。境外云廠商的服務獲取更為便捷,追查起來會更加麻煩。
至于為什么是阿里云和百度云先接受約談,阿昆認為,應該是監測到的惡意流量中,這兩家廠商的流量相對靠前。
老吳表示,其他廠商也可能遇到類似情況,不排除后續會約談,但基于監管部門的投訴或一些監控數據維度,先與這兩家進行溝通。
雷峰網也從某頭部云廠商處了解到,他們暫時未收到類似的監管通知,尚未發起更進一步、更加嚴厲的自查。
盡管防范打擊詐騙不易,但云廠商未來必然會更頻繁、深入地加入到反詐行動當中來。多位受訪者都強調,這并非純粹的技術攻防問題,而是企業的社會責任問題。
“大型云廠商肯定是要設法加強防范;如果是小型云廠商,可能就要關門大吉了。”老吳表示。
從法律角度來說,云廠商也要承擔相應的義務。
君悅律師事務所的顧問孫明向雷峰網強調,這些義務包括基本的實名認證、網絡安全、數據安全和個人信息保護等。
早些年間,電信運營商逐步落實電話及手機號碼實名制后,電信詐騙等非法活動得到一定的扼制。在不少業內人士看來,當下加強對于云服務廠商的監管,與當年異曲同工。
“之前對于云服務廠商監管相對松散,未來云服務廠商在對客戶提供基礎的域名申請、云服務租用等服務時,應當履行更加嚴格的、合理審慎的注意義務,防止其用戶使用云服務從事違法犯罪活動。
如果云服務廠商故意或重大過失導致其云服務用于違法犯罪活動的,就會違反網絡安全法和數據安全法的相關規定,情節嚴重的可能要承擔刑事責任。”
隨著今年《數據安全法》《個人信息保護法》等一系列法案的出臺,這些義務以及可能出現的處罰都將更加明確。
通報中提到的《網絡安全法》,就列明了相關懲罰:
從事危害網絡安全的活動,或者提供專門用于從事危害網絡安全活動的程序、工具,或者為他人從事危害網絡安全的活動提供技術支持、廣告推廣、支付結算等幫助,尚不構成犯罪的,由公安機關沒收違法所得,處五日以下拘留,可以并處五萬元以上五十萬元以下罰款;情節較重的,處五日以上十五日以下拘留,可以并處十萬元以上一百萬元以下罰款。
受到治安管理處罰的人員,五年內不得從事網絡安全管理和網絡運營關鍵崗位的工作;受到刑事處罰的人員,終身不得從事網絡安全管理和網絡運營關鍵崗位的工作。
而一旦違反《數據安全法》將受到最高一千萬的重罰:
(據數據安全法)第四十五條?……違反國家核心數據管理制度,危害國家主權、安全和發展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。
不過孫明也向雷峰網強調,盡管《數據安全法》與《個人信息保護法》已經出臺,但目前缺少執法案例,我們仍要觀察監管機構的執法尺度。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
