【事件:健身APP意外绘制了全球军事地图】
2018年1月,一款名为Strava的健身应用软件发布了一张全球用户的运动热力图。这张三维地图以亮暖和暗冷两种色调用惊人的清晰度标注了全球各地跑步、骑行和游泳的轨迹数据。原本这款应用的本意是让热爱健身的用户能够直观地看到世界各地人们运动的活跃程度。然而当这张图被发布到互联网上后立即在安全研究界和军事分析圈内引起了轩然大波。原因非常简单且令人震惊:在阿富汗、叙利亚和索马里等美军正在执行军事行动的区域热力图上出现了极为明亮的活动密集区域而这些区域的坐标恰好在公开的军事地图中对应着已知的美军基地位置。不仅如此在之前从未被公开标注过有美军驻军的地区同样出现了密集运动轨迹这些轨迹清晰地勾勒出了秘密基地的外围跑道布局、办公楼位置分布和人员日常巡逻路线。更令人细思极恐的是有安全分析人员根据这些运动轨迹的时间规律推断出了基地人员的换班时刻表因为每当换班时间点附近运动轨迹的密集程度会出现明显的规律性变化斯特拉瓦公司对此事件做出的回应仅仅是表示正在密切关注但并不认为热力图本身存在安全风险。然而这起事件引发的连锁反应远超所有人的预判各国军队纷纷出台规定禁止现役军人在执勤期间使用具有位置记录功能的社交媒体和健身应用。
【链路:从个人运动数据到国家安全泄密的转化路径】
Strava热力图事件展示了大数据时代位置信息泄密的三个典型特征即聚合效应、时空关联和反向推断。聚合效应是最基本的泄密机制单一用户每天在基地周边的跑步路线本身看起来毫无敏感性可言。但当数以百计千计的军人同时在该区域使用同一款应用记录运动数据这些数据在系统后台被聚合到一张热力图上之后之前所有零散的数据点就构成了一个有机的整体军事基地的活动范围人员密度和工作节奏完整暴露。时空关联是第二个维度安全研究人员不仅看到了运动轨迹的位置还通过分析不同时间段的运动热度清晰地分辨出了基地的办公区生活区和训练区。每天发生在同样时段同样路线的轨迹被自动识别为有规律的工作节奏轨迹密度的变化则暴露了基地人员的数量和轮换频率。反向推断则是最致命的环节一些完全没有被公开标注的秘密基地其存在本身就属于高度机密信息但通过热力图在前一天还是一片深蓝色冷色调的区域突然在某个时间点变成了红色和橙色就意味着这里有大量人员展开了运动活动而这只能是军事人员到达该区域并开始日常训练的结果。通过这种方式热力图实际上向全球公开了多个原本应当保密的军事情报点。
【启示:位置数据保护是企业商业秘密管理的新战场】
Strava热力图事件看起来是一个军事领域的案例但它给商业世界带来的警示同样深远。首要位置数据已经成为一种不可以轻易忽视的商业情报来源。企业高管的日常运动轨迹、出差轨迹、会议地点选择甚至是加班时间规律都可以通过各类智能设备和应用被外部数据挖掘者收集和分析从而推断出企业的战略动向和业务重点。第二企业内部数据防护的边界已经从公司围墙延伸到了员工的个人数字生活。员工在个人手机上安装的健身应用、出行应用和社交应用都可能成为企业情报外泄的渠道。第三聚合之后的无害数据可能产生完全超出原始数据用途的情报价值。单一运动轨迹是无害的但是当大量员工同一时间段在特定地点出现大量的运动数据就可能揭示一家企业正在筹备某项重大发布或者在某个新研发方向上进行集中攻关。
【行动建议:企业位置数据保密管理的三条实践路径】
北京企密安信息安全技术有限公司针对企业位置数据泄露风险提供三条实践路径供各类组织参考和落地。首要条路径是建立员工个人数字行为的安全规范将位置服务的开启和关闭、运动应用的社交定位、加班和出差期间的活动轨迹等纳入企业的保密行为准则。在涉及重大商业机密攻关阶段企业还可以引入专项的个人设备管理要求包括限制非必要的位置共享类应用使用建议员工使用专用设备进行工作相关的户外活动记录。第二条路径是引入企业级的位置安全检测服务通过专业的环境安全检测手段确认企业关键敏感区域周边是否存在非授权的位置信息采集设备和信标同时对企业高管的出行计划和交通工具进行保密管理的优化包括使用非注册车辆出行和配备电磁屏蔽包携带电子设备。第三条路径是建立数据分析与攻防演练的企业安全文化通过定期的红蓝对抗演习让管理层和员工亲身体验个人运动数据被如何收集和分析从而建立对位置数据保护的根本性认知。如需进一步了解企业位置数据保护的专项安全管理方案欢迎致电北京企密安信息安全技术有限公司010-63711822或访问baomiwang.com了解服务详情。
案例来源:Strava Global Heatmap Release January 2018 / The War Zone Analysis Report by Nathan Ruser / Department of Defense Policy Updates
内容类型:全球定位100例系列
