本文来自微信公众号“数世咨询”,作者/nana。
随着生成模型,尤其是大模型(LLM)的出现,以及ChatGPT的迅速蹿红,人们再次呼吁加强安全监管。
01
安全不是靠监管出来的
不出所料,面对未经详细研究的新技术,人们的第一反应就是恐惧,而恐惧可能会造成过度监管。尽管安全监管有其可取之处,但我们必须谨记,监管并不总能带来安全改善。安全相关法规好心办坏事的例子并不少见。
支付卡行业数据安全标准(PCI-DSS)适用于想要刷客户卡的任何人,或者,说得更专业一点,适用于存储、处理和/或传输持卡人数据的任何人。该标准1.1版于2006年制定,要求密码长度至少为七个字符。就当时而言,不少于七个字符的密码已经够强了,但今天的普通硬件都能在几天乃至不到一秒的时间内破解此类密码。
2022年3月,该标准更新为密码长度至少12个字符(如果系统不支持12个字符,那至少八个字符)。即便如此,在2025年3月31日具有法规约束力之前,该要求只是个推荐采用的最佳实践而已。而且,虽然12个字符的长度已经优于七个字符,但未来几年里也会变得很容易破解。
安全法规越具体,就越容易过时。
02
安全不是靠监管出来的
1通用监管的缺点
具体的另一面,也就是法规过于笼统,也会对安全造成不利影响。欧盟《通用数据保护条例》(GDPR)就是现成的例子。GDPR旨在保护个人信息。该条例中规定,个人数据指的是与身份已识别或可识别的自然人相关的任何信息。但个人数据的这个定义非常宽泛,包罗万象。欧盟法院已经裁定,IP地址属于用户的个人数据。那就难怪安全部门老是跟法律部门纠缠自己到底可以收集哪些日志来保护组织安全的问题了。
正如蓝队专业人士所言,日志在提供所保护环境的可见性方面非常重要。如果缺乏日志,我们基本上就无法探知网络上的各种活动了,无论是良性的还是恶意的。尽管如此,如果日志中会包含员工、客户和供应商的个人信息,那是否值得冒着被罚全球营业额4%的高昂代价换取更加安全一点呢?很遗憾,由于法规的宽泛性,组织主要根据法律部门的保守性来调整决策。
2法规问题意见纷呈
最后,任何法规都是不同利益相关者、立法者、政治游说团体、行业和利益集团之间无休止的争论和协商的结果。因此,最终的法规草案始终反映的是立法过程中做出的种种妥协。而在安全领域,任何此类妥协都会造成次优安全和监管漏洞,可能被攻击者利用。
所以,必须谨记,安全与合规是两码事。合规的组织仍会遭到入侵并不是什么巧合,因为合规不保证安全。这种局面令人相当困扰,因为动摇了安全法规存在的根本理由。如果安全法规不是为了确保我们真的安全,那还费那事儿制定法规干什么呢?
几年前,几位研究人员发表论文分析了强制要求为儿童提供汽车安全座椅的法规是否有效。论文中称,1977年以来,美国各州一直在逐步提高儿童使用儿童安全座椅的年龄。因为很多标准尺寸车辆的后排无法容纳三个儿童座椅,这些限制法规大大增加了生第三个孩子的成本。研究人员进一步估算,由于这些政策的实施,2017年全美各地死于车祸的儿童减少了57人。但与此同时,这些法规造成了出生率的长期下降,自1980年以来已导致出生人口减少14.5万,其中90%发生在2000年以后。两相对比,很容易看出良好的监管意图会产生怎样的负面影响。
在对组织施加更多安全法规之前,我们必须问问自己:我们到底是在改善安全,还是单纯加强更多监管?
