被约谈 无数反诈恶战正式打响 背后 阿里云 百度云 (被约谈的后果)
近日,这一则“阿里云、百度云被约谈”的消息引发外界关注:
多位业内人士向强调,在近年来国家大力打击电信网络诈骗的背景下,这一则通报来得并不意外。某种程度上,它可以看作是反诈行动的“多管齐下”。
已经进行多时的“断卡行动”,是从手机卡、银行卡入手,联手电信运营商、银行共同防范。这次通报则意味着,要从另一个源头加强对诈骗团伙的打击,云服务商作为网络服务的主要提供者,更加正式、明确地加入到这场反诈行动的行列中来。
约谈所为何意?
通报中所指的“接入涉诈网站”,其实是指诈骗网站的服务采用了阿里云或百度云的服务,通过这些云厂商注册域名和解析DNS。
“通报的意思是强调云厂商要主动防范查处,严格执行网络审查,不能为非法行为提供服务。”
资深IT咨询顾问阿昆(化名)告诉,这一点和对支付机构的要求很像:如果商户涉嫌非法行为,支付机构没有及时冻结商户和相关交易就会遭到处罚;支付机构需对商户的真实性、合法性严格审核,履行商户审核的主体责任。
据了解,这类云服务提供方承担审查责任的要求,并非如今才有:曾有厂商因向违法者提供云主机,而受到监管层的行政处罚。
英方软件的黄亮也表示,这些非法网站为了逃避审查,披着羊皮卖狗肉,想着法子躲过监管,这需要监管部门、企业及社会共同监督。
一场云厂商与诈骗团伙的无尽对决
“首先要让云厂商检查自己接入的诈骗网站数量,包括为其提供服务和域名解析。其次就是确保接入的不是诈骗网站,进行排查。”
长年从事信息安全行业的老吴(化名)向分析称,诈骗网站通常存在如下特征:
仿域名、仿页面;大量流量集中在获取登录请求和注册请求;含客户数据的信息流量明显大。
相对应的防范措施包括但不限于:
他强调,除了技术防御手段,还有人工核查、解封流程、风控闭环审查等一系列措施。
或许你也意识到,这对云厂商来说,不大轻松。
“如果考虑到这两个顶流云平台的用户接入量,这就像12306一样,工作量会陡增。”老吴说。
阿昆也指出, 不光是要耗费资源审查、担心误伤正常的商户,后续的核实和处置也很复杂;原来其实只要注意服务的稳定性就行,这些额外的工作,成本可想而知。
在防范逐步加强的过程中,还有可能出现“道高一尺魔高一丈”的情况,演变成云厂商和诈骗分子一场无止境的攻防演练。
“(诈骗分子)为了不被发现,就要做伪装,那云服务厂商又要去识别伪装。”
他推测,后续黑产或许会转向境外的公有云服务,如AWS等。境外云厂商的服务获取更为便捷,追查起来会更加麻烦。
至于为什么是阿里云和百度云先接受约谈,阿昆认为,应该是监测到的恶意流量中,这两家厂商的流量相对靠前。
老吴表示,其他厂商也可能遇到类似情况,不排除后续会约谈,但基于监管部门的投诉或一些监控数据维度,先与这两家进行沟通。
也从某头部云厂商处了解到,他们暂时未收到类似的监管通知,尚未发起更进一步、更加严厉的自查。
尽管防范打击诈骗不易,但云厂商未来必然会更频繁、深入地加入到反诈行动当中来。多位受访者都强调,这并非纯粹的技术攻防问题,而是企业的社会责任问题。
“大型云厂商肯定是要设法加强防范;如果是小型云厂商,可能就要关门大吉了。”老吴表示。
若踩红线,重则千万罚款
从法律角度来说,云厂商也要承担相应的义务。
君悦律师事务所的顾问孙明向强调,这些义务包括基本的实名认证、网络安全、数据安全和个人信息保护等。
早些年间,电信运营商逐步落实电话及手机号码实名制后,电信诈骗等非法活动得到一定的扼制。在不少业内人士看来,当下加强对于云服务厂商的监管,与当年异曲同工。
“之前对于云服务厂商监管相对松散,未来云服务厂商在对客户提供基础的域名申请、云服务租用等服务时,应当履行更加严格的、合理审慎的注意义务,防止其用户使用云服务从事违法犯罪活动。
如果云服务厂商故意或重大过失导致其云服务用于违法犯罪活动的,就会违反网络安全法和数据安全法的相关规定,情节严重的可能要承担刑事责任。”
随着今年《数据安全法》《个人信息保护法》等一系列法案的出台,这些义务以及可能出现的处罚都将更加明确。
通报中提到的《网络安全法》,就列明了相关惩罚:
而一旦违反《数据安全法》将受到最高一千万的重罚:
不过孙明也向强调,尽管《数据安全法》与《个人信息保护法》已经出台,但目前缺少执法案例,我们仍要观察监管机构的执法尺度。
原创文章,未经授权禁止转载。详情见 转载须知 。