印度自2009 年起开始实施名为“Aadhar”的生物身份识别项目,近年来已对印度全国约 12亿人实施生物识别数据采集(包括照片、十指指纹和虹膜扫描),为每位居民提供了唯一的12位身份证明编号。由此,政府可直接向每位公民提供补贴、医疗、社保、培训、就业等服务。但作为目前全球同类生物识别项目中规模最大的一个,该项目关于隐私、安全以及其他方面的争议声可谓是此起彼伏。
如此浩大的项目真的能够保证安全性么?
在此之前,美国安局前雇员爱德华·斯诺登,以及澳大利亚安全专家特洛伊·亨特就已对印度的数据库安全提出质疑。普华永道和Assocham2017年进行的一项研究显示,印度网站的攻击事件在过去四年的时间增长了五倍,印度首都每10分钟发生一次网络犯罪。这也表现出“数字印度”计划在安全方面的花费实际上是微乎其微的。
“数字印度”计划的推行催生出许多重要的数据库,涵盖了每位居民的大量敏感个人信息,包括银行交易记录,税务档案,护照详情,财产所有权,出生证明,照片等。跨系统和机构的数据在这种形式下不断快速增长。印度每月都会有数十万人申请Aadhaar账户,或更新更正个人信息。在数据量爆炸增长的同时,数据库的安全显然也成了风口浪尖的关注话题。简单的说,如果没有足够的防护举措,与Aadhaar系统进行联接必然会对数据的安全性产生风险。这些数据由什么人使用,归什么人保管,这些机构如何使用这些数据?数据的用途好坏各半,但我们却很难发现其中的恶意使用者。
印度政府推行Aadhaar项目后,收获了很大程度上的便利。Aadhaar项目提供的身份证明编号与手机号和银行账户绑定,印度公民可在网上进入数据库进行身份识别和手机“实时”验证,同时还能享受医疗、社保、培训、申请驾照、就业等服务;政府部门也可以有针对性的向居民进行补贴和福利发放,对居民健康情况等进行监测,有效提供医疗和防疫等公共服务,并实现行政流程的实时改进。但是,由于印度的网络基础建设并不稳固,安全风险的问题仍然比较尖锐。加之,许多相关数据库是实时更新的,访问用户也各种各样,也增加了这一方面的挑战。
印度身份证管理局(缩写UIDAI,Aadhaar项目的执行部门)近期向所有用户提供了通过创建虚拟身份来掩盖真实身份证明编号的选择。一位不愿透露姓名的银行首席技术官认为,虽然该举措对于保护身份非常重要,但用户必须懂得合理地使用这一功能,否则只会让别有用心的人乘机钻空子,例如人为因素也会对数据库安全产生影响, 或许已经有心怀不满的员工决定滥用自己的权限盗取敏感信息。
Aadhaar项目现在已经广泛进入印度公民的日常生活当中,但并非所有的机构都在以严格的管控标准对数据进行使用。比如,用户在公共WiFi下读取了自己的信息,但这里的WiFi环境已经被黑客事先做了手脚,相关信息被黑客轻易获得。
大多数公司仍然没有花费足够保护网络资产所需的资金。比如,摩根大通在IT预算和安全领域支出的比例是10:1。印度电子工业和信息技术部2017年9月授权所有政府部门将10%的技术预算用于安全防护。
在经历类似WannaCry这样的攻击之后,在2017年全球网络安全指数中印度在联合国排名第23位。虽然印度在安全方面的表现要优于过去,但并非完全杜绝风险。
网络安全领域是一个永无休止的猫和老鼠的游戏,黑客不断试图攻击和破坏网络。“数字印度”计划的最大威胁可能来自世界任何地方的黑客。20年前,40位加密被认为是高技术加密手段,但在今天几分钟内就可以破解这种加密。目前许多公司早已改用128位和256位加密技术。Aadhaar的数据库应用的便是2048位加密保护手段。即使如此,伴随网络科技的日新月异,只有不断调整和改进防护手段,才能适应网络时代的客观需求。
事实上,印度还没有足够的网络安全人才保护自身网络资产。“数字印度”计划对顶尖专业人士提出了大量的需求,希望能够建立防黑客系统机制,利用区块链和量子计算等技术,以24小时×7天的防御态势确保不受网络威胁影响。根据印度全国软件及服务公司协会(Nasscom)的说法,印度正在努力缩小网络安全专业人才需求与可用人才库之间的差距,但其中的缺口仍然十分巨大。相关专业人才的缺乏同样也是一个全球性问题,即使到2021年,美国也会有50万或更多的网络安全工作空缺。