研究人員需要提高警惕,不僅要保護(hù)他們的研究成果,還要保護(hù)機(jī)密的患者數(shù)據(jù)或?qū)@?/p>
在丟失了自己的電子設(shè)備后,美國耶魯大學(xué)生物信息學(xué)家Mark Gerstein感到十分焦慮,因?yàn)樵O(shè)備里有其私人信息和研究數(shù)據(jù)。
“我非常有安全意識,但也有點(diǎn)健忘。”Gerstein說。
Gerstein回憶起之前到波士頓的一次旅行,當(dāng)時(shí)他就把手機(jī)忘在了出租車上。幸運(yùn)的是,Gerstein能聯(lián)系到出租車公司,最終回家時(shí),手機(jī)已經(jīng)被裝進(jìn)了自己的口袋里。
雖然那次有個(gè)愉快的結(jié)尾,但大多數(shù)時(shí)候,在路上丟失的設(shè)備就永遠(yuǎn)丟失了。而這正是在差旅途中的科學(xué)家必須面臨的一個(gè)大問題。一旦離開實(shí)驗(yàn)室以及其他網(wǎng)絡(luò)環(huán)境相對安全的場所,數(shù)據(jù)和設(shè)備就易受偷盜、黑客和木馬等因素的威脅。因此,研究人員需要提高警惕,不僅要保護(hù)他們的研究成果,還要保護(hù)機(jī)密的患者數(shù)據(jù)或?qū)@?/p>
而在穿越國界時(shí),網(wǎng)絡(luò)安全問題可能尤其敏感。一些地區(qū)黑客“猖獗”,而且也有邊防人員堅(jiān)持要看電腦中的文件。
那么,研究人員如何在旅行途中保護(hù)自己的數(shù)據(jù)安全。美國加州初見傳媒安全主管Morgan Marquis-Boire說,這取決于你的數(shù)據(jù)和所面臨的威脅。他曾幫助政府告密者在旅途中保護(hù)數(shù)據(jù)安全。你擔(dān)心的是過分熱情的邊檢人員、投機(jī)取巧的扒手還是政府支持的黑客?
這就像和醫(yī)生聊天,他說:“如果你問醫(yī)生如何保持健康,你會得到一般的建議。但如果你要去叢林,情況就有所不同。”
Marquis-Boire指出,無論威脅是什么,數(shù)據(jù)保護(hù)的第一步都是加密,利用電子密鑰將它們變得難以讀懂。雖然這能防范臨時(shí)起意的小偷,但無力阻擋專門而來的黑客。
“當(dāng)務(wù)之急是,我們必須推動數(shù)據(jù)加密技術(shù)的發(fā)展,尤其是全碟加密便攜設(shè)備。”英國牛津大學(xué)圖書管理員John Southall說。
大多數(shù)智能手機(jī)默認(rèn)使用全碟加密,而筆記本電腦的加密術(shù)則有許多選擇。尤其敏感的文件能被計(jì)算機(jī)內(nèi)置文件保密工具或VeraCrypt等軟件單獨(dú)加密。
而研究機(jī)構(gòu)也能提供幫助。例如,牛津大學(xué)信息安全部會將研究人員的設(shè)備硬件進(jìn)行加密。“不僅我們知道保護(hù)研究數(shù)據(jù)的必要性,研究人員也了解。”Southall說。
失物煩惱
任何新技術(shù)都是一把雙刃劍,互聯(lián)網(wǎng)帶來變革的機(jī)遇,也帶來更多的風(fēng)險(xiǎn)。2016年9月,雅虎公司因?yàn)樽陨淼陌踩┒幢痪W(wǎng)絡(luò)黑客利用,5億雅虎用戶的信息被泄露。不久前肆虐全球的勒索病毒,是通過互聯(lián)網(wǎng)端口輸入病毒程序,對重要文件進(jìn)行加密然后敲詐,攻擊目標(biāo)直接鎖定用戶的數(shù)據(jù),攻擊手段竟是原本為了保護(hù)數(shù)據(jù)安全的密碼技術(shù),這些都提醒人們保護(hù)數(shù)據(jù)安全刻不容緩。
歐盟委員會于7月26日發(fā)布的安全事務(wù)進(jìn)展報(bào)告強(qiáng)調(diào)了應(yīng)對極端化和網(wǎng)絡(luò)犯罪等安全威脅。報(bào)告提出,為應(yīng)對不斷變化的安全威脅,歐盟需要調(diào)整現(xiàn)有政策工具和手段。歐盟委員會還表示正考慮成立高級別專家組負(fù)責(zé)研究應(yīng)對極端化問題,還將對網(wǎng)絡(luò)安全戰(zhàn)略進(jìn)行評估。
除了做好頂層立法和戰(zhàn)略規(guī)劃以打擊網(wǎng)絡(luò)犯罪,Southall補(bǔ)充道,研究人員還必須考慮電子設(shè)備本身的安全。“筆記本和其他電子設(shè)備都是高價(jià)值物件,它們‘愛招賊’,因此要確保保存在設(shè)備上的任何數(shù)據(jù)都不是獨(dú)一無二的。”
Gerstein表示,一款可以遠(yuǎn)程清除丟失的筆記本電腦或手機(jī)保存數(shù)據(jù)的追蹤應(yīng)用程序,可以確保即使硬件被盜,數(shù)據(jù)也不會被盜用。
而馬里蘭大學(xué)帕克分校網(wǎng)絡(luò)安全專家Jonathan Katz表示,美國3月21日頒布的一項(xiàng)命令,禁止幾個(gè)中東國家直飛美國的航班上攜帶體積大于手機(jī)的電子設(shè)備,包括筆記本電腦。“這增加了筆記本電腦受損、丟失或被盜,以及數(shù)據(jù)被盜用的風(fēng)險(xiǎn)。”實(shí)際上,英國也曾采取類似禁令,但很快就被廢止。
Katz很快會去中東工作。他不會帶任何敏感物品登機(jī)。Katz計(jì)劃通過聯(lián)邦快遞船只將電腦送到中東,而不是放到自己的行李里。
云中安全
在很多情況下,技術(shù)精湛的研究人員可以不攜帶數(shù)據(jù)出門。數(shù)據(jù)能被存儲在Dropbox或Google Drive云服務(wù)器上,并能被研究人員自由取出。盡管這些服務(wù)是加密且相對安全,研究人員也能在上傳前將數(shù)據(jù)加密,以免服務(wù)器被黑客攻擊,或賬戶密碼被盜。(雙重身份驗(yàn)證,即在訪問賬戶時(shí)同時(shí)需要密碼和移動電話生成的密鑰,也增加了額外的安全保護(hù))
但由于這些服務(wù)器通常都能自動訪問,Marquis-Boire建議研究人員在跨國旅行前刪掉相關(guān)應(yīng)用程序、退出服務(wù)和消除瀏覽記錄等。
Southall指出,研究人員還可以考慮使用虛擬專用網(wǎng)絡(luò)(VPN)。這些都允許用戶在不安全的網(wǎng)絡(luò)連接環(huán)境中建立安全網(wǎng)絡(luò)通信。例如,IPVanish VPN和NordVPN等服務(wù)器,或一些機(jī)構(gòu)也提供類似支持。
Gerstein表示其經(jīng)常在旅行中使用VPN訪問自己的數(shù)據(jù),甚至在不離開美國本土?xí)r也是如此。在大多數(shù)地方,VPN十分簡便易用,但在一些政府會嚴(yán)密監(jiān)管互聯(lián)網(wǎng)的國家就比較復(fù)雜了。盡管VPN在那里是合法的,但由于當(dāng)?shù)胤梢?guī)定所有VPN程序必須獲得政府批準(zhǔn),蘋果公司等不得不取消幾十個(gè)相關(guān)應(yīng)用程序的下載。
目前人們尚不清楚這些管制是否影響外來研究人員使用VPN。但俄羅斯總統(tǒng)普京于7月30日簽署了一項(xiàng)法律,將從11月1日起,在該國禁止使用允許用戶匿名訪問網(wǎng)頁的VPNs和其他技術(shù)。
對于許多科學(xué)家而言,這就需要他們采取額外的防范措施。加州圣迭戈Rady兒童基因組醫(yī)學(xué)研究所所長Stephen Kingsmore表示,他的一些同事在前往這些地區(qū)時(shí)使用了“燃燒器”筆記本和低成本、一次性手機(jī)等設(shè)備。
邊檢麻煩
去年,旅行者的數(shù)據(jù)安全開始面臨新麻煩。當(dāng)時(shí)美國總統(tǒng)唐納德·特朗普收緊了美國邊境,以抵御潛在恐怖分子。有時(shí),邊檢機(jī)構(gòu)會要求旅行者在入境時(shí)提供其便攜設(shè)備和密碼,以便檢查,而這類檢查目前不斷增加。全美公共廣播電臺報(bào)道稱,2016年美國邊檢機(jī)構(gòu)檢查了2.4萬臺設(shè)備,相比之下,2015年僅抽查了8500臺。
研究人員也不能得到豁免。美國公民、宇航局(NASA)噴氣式推進(jìn)實(shí)驗(yàn)室(JPL)工程師Sidd Bikkannavar在南美私人旅行后回國,在休斯敦機(jī)場被扣留。他被迫向海關(guān)及邊境巡查局提供其個(gè)人手機(jī)及PIN碼。
由于這是一部屬于NASA的手機(jī),里邊可能含有一些敏感信息,一開始Bikkannavar表示拒絕,但最終還是無奈地給了。他的手機(jī)被取走30分鐘,并被復(fù)制了數(shù)據(jù)。回到JPL,NASA不得不對Bikkannavar的設(shè)備進(jìn)行司法檢測,以確定哪些數(shù)據(jù)被拿走以及是否被安裝了其他東西。
而為了應(yīng)對這些檢查,試圖隱藏信息或使用“脅迫密碼”之類的技術(shù)手段是很有誘惑力的。例如,如果使用的是“脅迫密碼”,在解鎖設(shè)備時(shí),會隱藏部分?jǐn)?shù)據(jù)并加密。不過,斯坦福大學(xué)網(wǎng)絡(luò)安全法律專家Jennifer Granick警告稱,不要使用這些手段。“你不要想對政府撒謊,這會構(gòu)成犯罪。”
而且,邊境人員不太可能贊同這樣的觀點(diǎn),即研究人員有法律責(zé)任阻止任何人看到機(jī)密數(shù)據(jù)。
“對于醫(yī)療記錄、交易機(jī)密等很多數(shù)據(jù),你都有法律責(zé)任為其保密。但邊檢人員并不是這方面的專家,他們不會關(guān)心這個(gè)。”Granick說,“所以,你必須想的是如何保護(hù)數(shù)據(jù)。”