编者按

美国陆军网络研究所信息战研究小组负责人杰西卡·道森及R街研究院网络安全和新兴威胁团队高级研究员兼政策顾问布兰登·普联合撰文指出,俄乌冲突凸显美军数据隐私漏洞。

文章称,除炮击和装甲攻击中,俄乌冲突的其他方面也需要密切关注,包括有针对性的网络钓鱼和恶意数据挖掘;俄罗斯操作人员及其支持者向乌克兰目标发送大量附有恶意软件的电子邮件,尤其是针对乌克兰军人和警察,旨在散布虚假信息和收集个人数据;上述安全风险并非乌克兰独有,美国领导人也必须采取措施加强美国并保护美军免遭类似策略的侵害;军人和退伍军人被视为信息战中的高价值目标已成为新常态,俄罗斯虚假信息活动已经针对美国人采取了一些策略,例如在社交媒体上创建退伍军人个人和退伍军人服务机构的虚假账户;威胁不仅限于社交媒体,针对性广告所收集数据对军事行动构成重大风险,军人已经成为目标并面临数字隐私问题;上述数据可用于传递错误信息和虚假信息,如果不良行为者购买或访问数据并将其武器化,甚至可以放大宣传;将生物特征数据以及公开可用信息与军事数据联系起来,为希望识别和攻击军人及其家属的恶意行为者创造了机会目标;大多数军人无法使用政府颁发设备,导致军人越来越多地违反国防部政策利用商业应用程序发送工作内容,这给作战安全带来了风险。

文章提出,美国必须采取三项提高安全性和隐私性的步骤:一是国会采取行动就保护军事成员数据进行立法,规范民用公司如何收集和出售有关军人及其直系亲属的信息,从而为统一数据隐私和安全措施奠定基础;二是军方更好地教育部队了解社交媒体的风险,限制在国防部网络上对用户的跟踪,并与收集和出售军人数据的公司合作提升安全性;三是国防部必须将隐私作为国家安全的优先事项,开发军队专用安全消息传递应用程序,并更好地保护个人身份信息外的隐私。

奇安网情局编译有关情况,供读者参考。

在炮击和装甲攻击中,俄罗斯在乌克兰军事行动的几个比较安静的方面需要密切关注,包括有针对性的网络钓鱼和恶意数据挖掘。

俄罗斯操作人员,或者至少是他们的支持者,已经用载满恶意软件的电子邮件淹没了乌克兰人的收件箱,尤其是军人的收件箱。这种策略可用于散布虚假信息和收集个人数据,以进一步努力编制被拘留和伤害的乌克兰人名单。同样,据报道,数千条短信已发送给当地警察和军人。这种风险并非乌克兰独有,美国领导人现在必须采取措施加强美国并保护其军人免受类似策略的侵害。

军人和退伍军人被视为信息战中的高价值目标已成为新常态。俄罗斯虚假信息活动已经针对美国人采取了一些策略,例如在社交媒体上为退伍军人个人和服务机构(例如美国越战退伍军人协会)创建虚假账户。但威胁不仅限于社交媒体。由于为有针对性广告收集的数据,军事行动存在重大风险。这些数据可用于传递错误信息和虚假信息,如果不良行为者购买或访问数据并将其武器化,甚至可以放大宣传。

根据某些法律,名称、服务标识符和地址可能会作为个人身份信息(PII)涵盖,从而可能缓解此问题。但是很容易通过手机中的简单信息来识别人们,无论是来自广告标识符还是电话号码本身。广告标识符可以与从在线广告商到数据经纪人等众多实体的其他跟踪信息汇总,以揭示日常生活模式,例如某人的居住地及其政治偏好。如果这只是关于卖运动鞋,那风险就小了。但是,当这些数据成为攻击和骚扰个人的载体时,就会涉及国家安全问题。

当针对军队时,其影响是严重的。这不是假设——军队成员已经成为目标并面临数字隐私问题。例如,在新冠疫情爆发开始时,一名军队人员被错误地识别为零号病人,这导致网上针对她的大量攻击。

当像ID.me这样销售有针对性广告的公司收集军人和退伍军人名单时,威胁就会扩大。军人通常会出示他们的身份证以获得军事折扣,但现在一些公司要求通过ID.me注册,而不是出示实物身份证。围绕ID.me数据准确性和面部识别问题的争议已经导致一个美国联邦机构撤回了使用它访问政府服务的要求。

将生物特征数据甚至公开可用的信息与服役数据联系起来,为希望识别和攻击军人及其家属的恶意行为者创造了机会目标。即使各军事机构仍然迟疑是否需要解决该问题,军人正在意识到这种威胁。尽管违反了美国防部政策,但军人越来越多地使用Signal等应用程序发送有关工作的短信。但使用商用应用程序意味着信任应用程序开发人员,这给作战安全带来了风险,正如对俄罗斯在乌克兰的军事活动的跟踪所表明的那样。美国防部关于人员应使用经批准方法的回应忽略了大多数军人无法使用政府颁发设备的事实。

为了提高安全性和隐私性,必须采取三个步骤。

首先,美国国会应该对专门保护军人数据的联邦数据安全和隐私立法采取行动,或者通过独立立法。数据隐私立法已搁置多年,但乌克兰的冲突表明,当全面敌对行动开始时,保护个人成为国家安全问题。立法至少应规范民用公司如何收集和出售有关军人及其直系亲属的信息。这可能成为所有美国人统一数据隐私和安全措施的基础。

其次,美军还需要更好地教育部队了解社交媒体的风险以及公司如何收集军人数据。例如,TikTok已经被政府设备禁止使用,但无数军人在他们的个人设备上使用它——有时他们身着军装展示自己。TikTok的隐私政策规定可以保留语音和其他生物特征信息,并使用广告标识符和位置信息。虽然这来自一家中国公司,但美国公司也存在风险,因为可以从数据中收集敏感信息。为了解决这个问题,军方应该限制在国防部网络上对用户的跟踪,并与收集和出售军人数据的公司合作,共同提高安全性。

最后,美国防部必须将隐私作为国家安全的优先事项。应该开发新技术,这样就不需要纯粹的民用产品来弥补国防部的空白。像经过批准的安全消息传递应用程序这样可以在个人设备上轻松使用的简单的东西会有所帮助。国防部需要确保没有任何军人无法访问必要的系统,这可能会使他们得不到保护,并且应该提高产品的可用性,以避免使用不太安全的商业替代品。军方总体需要对PII之外的隐私采取更广泛的看法,尽管有单调乏味的培训要求,但通常没有得到很好的保护。

美国现在应该采取行动,更好地保护美军及其家属、退伍军人和国家安全。正如俄乌战争所表明的那样,信息战领域存在的威胁只会扩大。

声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。