科学家如何保护研究敏感数据

科学家如何保护研究敏感数据

研究人员面临保护敏感数据安全问题。图片来源:project twins

在丢失了自己的电子设备后,美国耶鲁大学生物信息学家Mark Gerstein感到十分焦虑,因为设备里有其私人信息和研究数据。

“我非常有安全意识,但也有点健忘。”Gerstein说。

Gerstein回忆起到波士顿的一次旅行,当时他就把手机忘在了出租车上。幸运的是,Gerstein能联系到出租车公司,最终回家时,电话已经被装进了自己的口袋里。

虽然那次有个愉快的结尾,但大多数时候,在路上丢失的设备就永远丢失了。而这正是在差旅途中的科学家必须面临的一个大问题。一旦离开实验室以及其他网络环境相对安全的场所,数据和设备就易受偷盗、黑客和木马等因素的威胁。因此,研究人员需要提高警惕,不仅要保护他们的研究,还要保护机密的患者数据或专利。

而在穿越国界时,网络安全问题可能尤其敏感。一些地区黑客“猖獗”,而且也有边防人员坚持要看电脑中的文件。

那么,研究人员如何在旅行途中保护自己的数据安全。美国加州初见传媒安全主管Morgan Marquis-Boire说,这取决于你的数据和所面临的威胁。他曾帮助政府告密者在旅途中保护数据安全。你担心的是过分热情的边检人员、投机取巧的扒手还是政府支持的黑客?

这就像和医生聊天,他说,“如果你问医生如何保持健康,你会得到一般的建议。但如果你要去丛林,情况就有所不同。”

Marquis-Boire指出,无论如威胁是什么,数据保护的第一步都是加密,利用电子密钥将它们变得难以读懂。虽然这能防范临时起意的小偷等人,但无力阻挡专门而来的黑客。

“当务之急是,我们必须推动数据加密技术的发展,尤其是全碟加密便携设备。”英国牛津大学图书管理员John Southall说。

大多数智能手机默认使用全碟加密,而笔记本电脑的加密术则有许多选择。尤其敏感的文件能被计算机内置文件保密工具或VeraCrypt等软件单独加密。

而研究机构也能提供帮助。例如,牛津大学信息安全部会将研究人员的设备硬件进行加密。“不仅我们知道保护研究数据的必要性,研究人员也了解。”Southall说。

失物烦恼

任何新技术都是一把双刃剑,互联网带来变革的机遇,也带来更多的风险。2016年9月,雅虎公司因为自身的安全漏洞被网络黑客利用,5亿雅虎用户的信息被泄露。不久前肆虐全球的勒索病毒,是通过互联网端口输入病毒程序,对重要文件进行加密然后敲诈,攻击目标直接锁定用户的数据,攻击手段竟是原本为了保护数据安全的密码技术,这些都提醒人们保护数据安全刻不容缓。

欧盟委员会于7月26日发布的安全事务进展报告强调应对极端化和网络犯罪等安全威胁。报告提出,为应对不断变化的安全威胁,欧盟需要调整现有的政策工具和手段。欧盟委员会还表示正考虑成立高级别专家组负责研究应对极端化问题,还将对网络安全战略进行评估。

除了做好顶层立法和战略规划以打击网络犯罪,Southall补充道,研究人员还必须考虑电子设备本身的安全。“笔记本和其他电子设备都是高价值物件,它们‘爱招贼’,因此要确保保存在设备上的任何数据都不是独一无二的。”

Gerstein表示,一款可以远程清除丢失的笔记本电脑或手机保存数据的追踪应用程序,可以确保即使硬件被盗,数据也不会被盗用。

而马里兰大学帕克分校网络安全专家Jonathan Katz表示,美国3月21日颁布的一项命令,禁止8个穆斯林为主国家的10个机场直飞美国的航班上携带体积大于手机的电子设备,包括笔记本电脑,引发了新并发症。“这增加了笔记本电脑受损、丢失或被盗,以及数据被盗用的风险。”实际上,英国也曾采取类似禁令,但很快就被废止。

Katz很快会去中东工作。他不会带任何敏感事物登机。Katz计划通过联邦快用船只将电脑送到中东,而不是放到自己的行李里。

云中安全

在很多情况下,技术精湛的研究人员能压根不携带数据出门。数据能被存储在Dropbox或Google Drive云服务器上,并能被研究人员自由取出。尽管这些服务是被加密且相对安全的,研究人员也能在上传前将数据加密,以免服务器被黑客攻击,或账户密码被盗。(双重身份验证,即在访问账户时同时需要密码和移动电话生成的密钥,也增加了额外的安全保护。)

但由于这些服务器通常都能自动访问,Marquis-Boire建议研究人员在跨国旅行前删掉相关应用程序、退出服务和消除浏览记录等。

Southall指出,研究人员还可以考虑使用虚拟专用网络(VPN)。这些都允许用户在不安全的网络连接环境中建立安全网络通信。例如,IPVanish VPN和 NordVPN等服务器,或一些机构也提供类似支持。

Gerstein表示其经常在旅行中使用VPN访问自己的数据,甚至在不离开美国本土时也是如此。在大多数地方,VPN十分简便易用,但在一些政府会严密监管互联网的国家这就比较复杂了。尽管VPN在那里是合法的,由于当地法律规定所有VPN程序必须获得政府批准,苹果公司等不得不取消几十个相关应用程序的下载。

目前人们尚不清楚这些管制是否影响外来研究人员使用VPN。但俄罗斯总统普京于7月30日签署了一项法律,将从11月1日起,在该国禁止使用允许用户匿名访问网页的VPNs和其他技术。

对于许多科学家而言,这就需要他们采取额外的防范措施。加州圣迭戈Rady儿童基因组医学研究所所长Stephen Kingsmore表示,他的一些同事在前往这些地区时使用了“燃烧器”笔记本和低成本、一次性手机等设备。

边检麻烦

去年,旅行者的数据安全开始面临新麻烦。当时美国总统唐纳德·特朗普收紧了美国边境,以抵御潜在恐怖分子。有时,边检机构会要求旅行者在入境时提供其便携设备和密码,以便检查,而这类检查目前不断增加。全国公共广播电台报道称,2016年美国边检机构检查了2.4万台设备,相比之下2015年仅抽查了8500台。

研究人员也不能得到豁免。美国公民、宇航局(NASA)喷气式推进实验室(JPL)工程师Sidd Bikkannavar在南美私人旅行后回国,在休斯敦机场被扣留。他被迫要求向海关及边境巡查局提供其个人手机及PIN码。

由于这是一部属于NASA的手机,里边可能含有一些敏感信息,一开始Bikkannavar表示拒绝,但最终还是无奈地给了。他的手机被取走30分钟,并被复制了数据。回到JPL,NASA不得不对Bikkannavar的设备进行司法检测,以确定哪些数据被拿走以及是否被安装了其他东西。

而为了应对这些检查,试图隐藏信息或使用“胁迫密码”之类的技术手段是很有诱惑力的。例如,如果使用的是“胁迫密码”,在解锁设备时,会隐藏部分数据并加密。不过,斯坦福大学网络安全法律专家Jennifer Granick警告称,不用使用这些手段。“你不要想对政府撒谎,这能构成犯罪。”

而且,边境人员不太可能赞同这样的观点,即研究人员有法律责任阻止任何人看到机密数据。

“对于医疗记录、交易机密等很多数据,你都有法律责任为其保密。但边检人员并不是这方面的专家,他们不会关心这个。”Granick说,“所以,你必须想的是如何保护数据。”(张章编译)

《自然》相关报道(英文)

;