Categories
程式開發

《隱藏的行為》:你是否知道自己是誰 | 極客時間領讀


《隱藏的行為》:你是否知道自己是誰 | 極客時間領讀 1
本文轉載自《塑造未來的 7 種無形力量 隱藏的行為》第八章,經中信出版社授權發布。

有一個國家,公民的身份永遠不可改變,同時那也是每個 公民與生俱來的權利。我們先不說這個國家在哪裡,先介紹一 下他們是怎麼做的。

這個國家利用區塊鏈,發展了一套安全的公民身份識別系統,嬰兒一出生就會獲得一個獨一無二的身份。這個身份不同於社會安全號碼,它存儲在區塊鏈中,無法消除也無法變更。這一安全的身份會把一個新生兒加入醫療系統中,用於識別、 存儲所有的醫療、學校等相關的合法記錄。

當孩子長到15 歲時, 他們會獲得一個身份證,用於獲取所有需要身份證明的虛擬服務—— 從去銀行和使用自動取款機,到去醫院看病,簽署法定協議,以及購買火車票等。這一身份認證系統十分有效,法律規定就連政府也只能要求提供一次具體的個人可識別信息。

一個人的納稅、選舉、工作以及婚姻記錄都存儲在這個區塊鏈中, 關於定義此人以及構成其法律意義上人的所有信息都會逐漸累積,並附著於一套永久的區塊鏈交易數據中。

這並不是幻想未來時才有的場景,我們所指的這套系統已經用了將近 10 年,在這期間從來沒有出現過一次差錯,不曾危及任何一個身份。如果身份證丟了,馬上就能重獲一個新的, 但只有這個證還不足以證明身份、授權交易、簽署具有法定約束力的合同。

還需要用到兩個特殊密碼,其中一個用於證實持證人的身份,另一個則用於簽署合同。因為數據都存儲在區塊鏈中,所以從來不會有變更或身份失竊的可能。

《隱藏的行為》:你是否知道自己是誰 | 極客時間領讀 2

因為每一個政府部門的流程都是數字化的,借助這種數字自我,從訴訟到報稅等事務所需時間可縮短至一天,而非一周或一個月,這種顛覆簡直是空前的。但這些都只是冰山一角,這個國家是第一個提供“線上居留項目”的國家,世界上所有人都可以通過此項目建立身份,讓他們能夠創業,在全球開展金融業務,獲得成千上萬的商業和個人服務。

這個國家並非某個超級大國,實際上它是一個鮮為人知的波羅的海國家 —— 愛沙尼亞。該國曾建立了堪稱全球最複雜的政府數字生態系統。

很諷刺的是,愛沙尼亞的數字化轉型源於一次據稱是史上最嚴重的網絡襲擊。 2007 年 4 月底到 5 月初,愛沙尼亞遭受了一次網絡襲擊,其國防部發言人認為那次襲擊的嚴重性堪比美國的“9·11”事件。愛沙尼亞要把蘇聯時代的一個戰爭紀念碑從首都塔林遷走,這一決定引發了黑客襲擊。

襲擊者利用分佈式拒絕服務(DDoS)讓該國的網站、銀行、報紙及互聯網全面癱瘓,那看似來自俄羅斯政府的服務器以及全球100 多萬的公共IP(網絡協議)地址,多數都是被黑客操縱的“殭屍” 電腦。

那時,愛沙尼亞對“歐洲最奇怪的國家之一”這個封號很是自豪。但無論是出於什麼目的或意圖,這次襲擊讓愛沙尼亞徹底斷網,一下子回到了 20 年前。該國98% 的銀行交易都在線上進行,無法上網導致整個國家近乎崩潰,這就是後來被稱為第一次網絡大戰(Web War I)的序幕,這也是第一次因網絡襲擊置一整個國家於癱瘓的境地。在那次網絡大戰中,愛沙尼亞輸得一敗塗地。

愛沙尼亞和北大西洋公約組織這才意識到,面對資金充裕、政府授權,或由成千上萬帶著復仇目的的個人協調組織的大規模全球襲擊,單個國家是多麼不堪一擊。國家需要加強自身的防衛,同時找 到方法為關鍵應用和交易提供更強大的安全保障。

而事實是,我們才剛剛開始體驗到潛在的網絡風險。我們預計,如果人類還停留在當前的軌跡上,在不到5 年的時間內就會遭遇毀滅性的全球網絡事故,猶如當頭一棒,向大多數公司及所有人發出最後的預警—— 一次會給全球經濟帶來重創的“9·11”事件式的網絡安全襲擊,會讓愛沙尼亞的遭遇都顯得微不足道。

這種脆弱性的根源在於,大多數個人、組織以及國家政府, 都還在固守已經過時的思維模式,把“防線”防守作為保衛組織的唯一手段。利用防線防守,繞著需要保護的資產劃一道防線,這是曾經的戰斗方式,為了保衛我們的皇冠寶石跟敵人 抗爭。

這正是愛沙尼亞一開始無法控制分佈式拒絕服務襲擊時採取的辦法,他們切斷了愛沙尼亞與所有國外電腦的關聯, 但任何一套基於電腦的系統和任何一個國家均無法長期與世 界隔絕。

這是標準的軍事反應,從英國溫莎城堡到北美空防司令部(NORAD)的夏延山脈,再到諾克斯堡,外界均是這樣回應,無論要保護的區域多大,到底還是由一道圍牆和防衛形成一道防線;無論是邊界、堡壘還是護城河,只要你沿防線佈置護衛者,你就是安全的。

但在當今世界,採用這種方式只有一個問題,即沒有防線。

嘗試定義一道網絡防線,就如同跟恐怖分子作戰,無論是圍繞硬件的實際防線,還是圍繞軟件和數字的數字化防線,我們都可以封鎖自己的邊界,用分析工具來查出破壞分子,然後把他們遣送回家,但最終這只能阻止一小部分威脅。

殺毒軟件、防火牆、密碼,所有幾乎我們能想到的對抗網絡威脅的最後一道防線,都只能抵禦以前的敵人。今天的敵人利用的是社會工程、人類的弱點、國家級玩家的資源,以及延展性極強的數字生態圈來輕鬆進入你的防線。

例如,臭名遠揚的大盒子零售商塔吉特,據粗略估計,其數據洩露事件讓該公司損失了將近 5 億美元,原因竟在於其 HVAC(供熱通風與空調)供應商存在缺陷。這是生態圈的危險之處,它所造成的脆弱性是你在自我防禦過程中永遠也想不 到的。

所以,出路何在?在於看待生態圈時剔除防線、去除集中 化管理的理念。

生態圈本質上就是一個不斷進化的複雜網絡,組成生態圈的合夥人、過程以及個人往往處於不斷的變化中,無法形成界限清晰的防線。這種情況固有的好處我們在第五章已經說過了,那就是整個生態圈清晰可見,但這也意味著它依賴的數據不是集中式的,而是存在於所有生態圈中。

此外,很多集中系統的複雜性及規模使其極難承受人類的錯誤。

比如,2017 年,信用報告機構 Equifax(艾貴發)違約, 造成 1.43 億美國人的信息洩露,網絡竊賊獲取了用戶的信用歷史和個人身份識別核心信息,即 9 位數的社會安全號碼。這樣一種大規模的盜竊是怎麼發生的?很簡單,Equifax 一個已知的漏洞安裝補丁過期了兩個月。

同時,人們都同意相關企業的服務條款,並在此前提下讓 其獲取我們的數​​字自我信息。當你在臉書上發信息時,你已經同意了其將近 6 000 字的服務條款,包括但不限於以下條款:

對於知識產權所涵蓋的內容,如照片和視頻(IP 內容),根據您的隱私和應用程序設置,明確授予我們以下權限:您授予我們非獨家、可轉讓、可再轉讓、免版稅、 全球許可的權利,以使用您在臉書或與臉書相關的媒介上發布的任何內容(IP 許可),當您刪除IP 內容或賬戶時, 此IP 許可將終止,除非您的內容已與他人共享,並且他們尚未將其刪除。

我們在第三章中曾經指出,嘗試讀完每一個你使用的應用所附帶的服務條款簡直不切實際,但我們根本沒有理解這種挑戰的難度。隨著聯網的傳感器在我們的家中、車輛、穿戴設備以及工作場所【經常被稱為物聯網(Internet of Things)或IoT】中越來越流行,我們會看到所有這些應用的服務條款中強制性條款的數量大幅增加,而且會愈演愈烈。

但即便如此,相較於我們很快要通過服務分享的東西,這還算以小見大,這些服務獲取了我們的生物識別數據、生理數據及基因組數據。其中有一部分是受保護的,即與醫療記錄或醫療服務提供者相關的部分,但也不盡然。

很顯然,我們為了某種程度的價值而分享這一信息,無論是與朋友分享發布消息的能力還是關於我 們的遺產的信息。

但我們已經看到了,對最終擁有它的人而言, 這一信息有何價值,我們無從知曉。

這裡出現了一個很有意思但不常談起的情況,會增加分享信息的風險。回想一下我們在第一章探討過的,沒有一家公司擁有人們零星散落的數字自我數據,但現在情況發生了變化。幾乎所有收集這一信息的公司,都有跟臉書一樣的條款,聲明你的數據是“可轉讓”的,這意味著如果一家公司被收購了,你的數據就隨著本次收購一起成為交易的一部分。

考慮到大多數小公司最終的結局都是被收購或者變賣資產,你可能永遠都不會知道最終你的數據去了哪裡。這還不算最糟的,最糟的是在獲取數據的同時出現“漏斗效應”,即數據可能與關於你的其他數據實現進一步關聯,每一次新的關聯都會讓其價值增加。

所有這些問題的挑戰在於,人們的數字自我被整合到了廣泛的網絡中,提供了關於你的準確描述,而這是你永遠不會公開同意的。因此,人們根本不可能沿防線建立防禦工事,即圍繞數字自我修建一條“護城河”,從而達到保護這些數據的目的。

無論讓獲取私人信息的路徑如何合法化或如何予以保護, 還是無法做到萬無一失。

保護數字自我的難度已經超出了人們的能力範圍,現在的 挑戰變成你如何追溯並維護個人數據的所有權。這個問題的答 案,在很大程度上是:所有這些與區塊鏈的構建目標相當一致,同樣是讓數據可追溯,有無法消除、永不變更的記錄證明。沒有這些,數字自我既不能追溯,也不能驗證。因此,區塊鏈變成了維護所有權、保護數字自我免受侵害的手段。

我們可以做一個類比,方便說明區塊鏈在根本上同任何一種防線防衛大不相同。區塊鏈相當於抵禦疾病的免疫系統,人的身體有非常強大的防禦系統,但如果不讓所有這些討厭的疾病進入身體,人就無法生存。人的身體通過不斷地與這些入侵者對抗,建立免疫系統,從而戰勝這些經常入侵的疾病。

為達到這個目的,免疫系統採用了所謂分佈式控制系統(Distributed Control System),意味著它不是集中式的,沒有單點故障一說。

不僅免疫系統是非集中式的,人體的每一個細胞都包含全套 DNA(脫氧核糖核酸),如肝臟細胞與眼球細胞的表現形式 雖然不同,但兩者都包含全套 DNA。區塊鍊和 DNA 及免疫系統的工作原理類似,這種類比可以有效地幫助我們理解如何抵禦網絡威脅。

對二者來說,維護 系統完整性所需的數據,均分佈在全部節點或細胞中。攻擊單個節點或細胞或任何群體,都不會影響系統其餘部分的完整性。在這種情境下,數字自我能夠永遠保持與其所有者的關聯,因此總能追溯到其所有者。

保護數字自我的含義如下:

  1. 個人識別信息應總能通過區塊鏈關聯至正確的合法所有者。

  2. 任何時候均可追溯、查看並追回與個人身份相關的數據,無論當前誰在存儲或使用數據。

  3. 個人識別信息應是可稽核的,便於你列出它在哪裡使用及如何使用。

  4. 個人識別信息只能由所有者披露給第三方,第三方不得以任何形式存儲此信息。相反,第三方只能存儲數字自 我的區塊鏈散列。

  5. 使用數字自我的衍生價值取決於個人和數據使用者之間 達成的協議,協議明確規定交換的價值。

  6. 數字自我被視為合法實體,可以獲得授權,代表所有者進行某些交易。

  7. 數字自我作為所有者的財產受到保護。未經授權的使用均應依法——類似於今天的身份盜竊法予以處置。

  8. 建立通用的線上居留系統(類似於愛沙尼亞的線上居 民),任何國家的任一公民均可加入,確保個人擁有永久的身份和不容置疑的財產所有權。

在本書中,我們描述了隨著人類邁入 21 世紀,商業、工廠、 營銷、品牌等工業時代的模式,都已變為無法持續增長和進步的機制。

因此,保護我們自身、組織機構以及國家的理念,無疑也必須要從“明確邊界並防禦”的工業時代模式向“開放的 邊界與防護”模式轉變。最終,它會成為唯一可持續的模式, 不斷增強我們對數據和數字自我所有權的保有能力。