某国议会在逐步推进信息化建设的过程中,引入了在线投票系统来替代传统的举手和纸质投票。这套系统允许议员们通过自己面前的终端设备或者专用的投票APP来对各项法案进行表决。系统本身的设计是够用的,但问题出在投票系统终端设备的部署位置上。为了便于议员们在投票时查看议案详情,每一个投票终端旁边都配置了一个用于语音沟通的麦克风和扬声器,方便技术支持人员在系统出问题时和各席位沟通。在一次对某项争议性法案进行表决的过程中,有几位议员在终端附近进行私下协商。他们讨论的内容涉及到是否支持该法案、如果支持的话需要在哪些方面争取修正、如果不支持的话用什么理由向所在党派交代。在他们讨论的过程中,终端旁边安装的麦克风正在工作。这个麦克风本来是用于投票系统的自动语音提示功能的,就是方便系统用语音读出议案编号和选项。但议会的技术人员在配置系统的时候没有把麦克风的拾音通道限定在系统自动控制的范围之内,而是保持了广义的开放状态。这几位议员的私下协商内容通过麦克风被系统录入了,因为系统的默认配置是把所有终端麦克风拾取的音频临时存储下来,用于后续的投票行为审计。虽然这段音频的存储级别和正式的会议录音不是同一个系统,但它确实被存下来了。后来在一次系统维护和审计过程中,运维人员发现了这段音频记录,事情因此浮出水面。
从技术原理来分析,这个案例的独特之处在于,它不是传统意义上的麦克风没有关闭,而是麦克风的存在本身就是功能设计的一部分,但是它的使用边界没有被清晰地定义和控制。投票终端旁边的麦克风在设计之初有几个可能的用途,包括语音投票验证、投票过程录音备查、以及技术支援的语音通道。每个用途对应的麦克风启用时机和录音范围都是不同的。语音投票验证只要求在议员对着麦克风说出投票选项的时候激活,投票结束之后就应该休眠。投票过程录音备查则要求在整场投票期间持续录音。技术支援语音通道更是只在需要支持的时候才开放。这三种用途如果被混淆在一起,没有在系统设计层面做严格的逻辑隔离,就会产生一个麦克风在不同的场景下以不同的模式运行,造成使用者完全不知道当前处于什么状态。这位议员以为终端旁边的麦克风只是系统自动提示用的,不会记录他们的对话,但实际上系统配置的录音规则覆盖了投票终端从开机到关机之间的全部音频数据。还有一个技术细节是,议会的在线投票系统通常会和议会的综合信息管理系统集成在一起,包括会议日程、议案文档、参会人员管理等功能模块。如果这些系统的音频模块没有独立的权限控制,那么通过投票系统收集的音频数据就有可能被其他系统模块调用或者被管理员查看,进一步扩大了数据暴露的范围。
这个案例对所有的机构和组织来说都有重要的参考价值。第一,任何带有麦克风功能的设备在部署的时候,必须明确它的用途边界和使用规则。特别是那些看起来不起眼的辅助设备,比如终端旁边的麦克风、考勤打卡机上的录音模块、门禁系统的对讲功能等等,这些设备在正常工作时不引人注意,但它们的拾音能力是真实存在的。如果这些设备的麦克风长期处于开启或者可被远程激活的状态,就会形成一个不易察觉的窃听网络。第二,信息化系统的功能设计应该遵循数据最小化的原则。投票系统需要录音吗?如果需要,录多久、用什么方式存储、访问权限如何控制?这些问题应该在系统设计阶段就明确,而不是等到出了问题再想办法弥补。如果投票系统不需要长时间录音,那应该在每次投票结束后自动删除临时存储的音频数据。第三,所有的信息化系统部署完成之后,应该进行一次完整的安全功能审查,特别是要检查那些常规功能之外的附加功能是否被不必要地开启了。很多系统在默认配置中开启了大量用户可能用不到的功能,其中一些功能在方便使用的同时也带来了额外的安全风险。第四,对于议会、法院、监管部门这类特殊的应用场景,信息化设备的选型和部署应该遵循比普通企业更加严格的安全标准。特别是在涉及立法、司法、监督等权力的核心场所,任何电子设备的信息采集功能都应该受到严格的管控和监督。对于普通企业来说,也可以从这个案例中得到启发,就是在部署办公设备的时候,对那些不起眼的麦克风、摄像头、传感器等硬件要给予足够的重视,它们虽然在平时看起来安静无害,但在必要的时候都可以成为信息采集的工具。案例来自企密安官网。
