科学家如何保护研究敏感数据
研究人员面临着保护敏感数据的问题。来源:双胞胎项目
在丢失了他的电子设备后,耶鲁大学生物信息学科学家马克·格斯坦感到非常焦虑,因为这些设备包含了他的个人信息和研究数据。
"我很有安全意识,但也有点健忘."格斯坦说。
格斯坦回忆起一次去波士顿的旅行,当时他把手机落在一辆出租车上。幸运的是,格斯坦能够联系到出租车公司,当他最终到家时,电话已经在他的口袋里了。
虽然有一个愉快的结局,但大多数时候,在路上丢失的设备会永远丢失。这正是科学家在旅途中必须面对的一个大问题。一旦您离开实验室和网络环境相对安全的其他地方,您的数据和设备就容易受到盗窃、黑客、特洛伊木马等因素的攻击。因此,研究人员需要保持警惕,不仅要保护他们的研究,还要保护患者的机密数据或专利。
在跨越国界时,网络安全问题可能特别敏感。黑客在一些地区“猖獗”,一些边防人员坚持在电脑上阅读文件。
那么,研究人员在旅行中如何保护他们的数据安全呢?加州媒体安全主管摩根·马奎斯·博伊尔说,这取决于你的数据和你面临的威胁。他曾经帮助*线人在旅行中保护他们的数据。你担心过分热情的边防警卫、机会主义的扒手或*支持的黑客吗?
就像和医生说话一样。他说,“如果你问医生如何保持健康,你会得到一般性的建议。但如果你想去丛林,情况就不同了。”
侯爵-博伊尔指出,不管威胁是什么,数据保护的第一步是加密,这使得使用电子密钥读取数据变得困难。虽然这可以防止偶然的小偷和其他人,但它无法阻止专门来的黑客。
"当务之急是我们必须促进数据加密技术的发展,特别是全磁盘加密便携式设备."英国牛津大学图书管理员约翰·索思豪尔说。
大多数智能手机默认使用全磁盘加密,而笔记本电脑有许多加密选项。特别敏感的文件可以通过计算机内置的文件安全工具或软件(如VeraCrypt)单独加密。
研究机构也可以提供帮助。例如,牛津大学的信息安全部门将对研究人员的设备硬件进行加密。"我们不仅知道需要保护研究数据,研究人员也知道."索索尔说。
财产损失担忧
任何新技术都是一把双刃剑。互联网既带来了变革的机会,也带来了更多的风险。2016年9月,雅虎公司因自身安全漏洞被网络黑客利用,5亿雅虎用户的信息被泄露。不久前,在世界范围内肆虐的讹诈病毒通过互联网端口输入病毒程序,加密重要文件,然后勒索它们。攻击的目标直接锁定用户的数据。攻击方法最初是一种保护数据安全的加密技术。这些都提醒人们保护数据安全的紧迫性。
欧盟委员会7月26日发布的安全事务进展报告强调应对*和网络犯罪等安全威胁。报告指出,为了应对不断变化的安全威胁,欧盟需要调整现有的政策工具和手段。欧盟委员会还表示,正在考虑成立一个高级别专家组,研究和处理*问题,并将评估网络安全战略。
除了打击网络犯罪的*立法和战略规划,索思豪尔补充说,研究人员还必须考虑电子设备本身的安全。“笔记本和其他电子设备都是高价值产品。他们是“小偷”,所以要确保存储在设备上的任何数据都不是唯一的。”
格斯坦说,一个可以远程清理丢失的笔记本电脑或手机以保存数据的跟踪应用程序可以确保即使硬件被盗,数据也不会被盗。
马里兰大学帕克分校的网络安全专家乔纳森·凯兹说,美国3月21日发布的一项命令禁止8个*占主导地位的国家的10个机场在直飞美国的航班上携带比手机更大的电子设备,包括笔记本电脑,这导致了新的复杂情况。"这增加了笔记本电脑损坏、丢失或被盗以及数据被盗的风险."事实上,英国也通过了类似的禁令,但很快就被废除了。
卡茨将很快去中东工作。他不会把任何敏感的东西带上飞机。卡茨计划通过联邦快递船把电脑送到中东,而不是放在他的行李里。
云安全
在许多情况下,技术熟练的研究人员可以在完全没有数据的情况下外出。这些数据可以存储在Dropbox或谷歌驱动云服务器上,研究人员可以*检索。尽管这些服务是加密的并且相对安全,但是研究人员可以在上传之前对数据进行加密,以防止服务器被黑客攻击或者账户密码被盗。(双重身份验证需要密码和手机在访问帐户时生成的密钥,这也增加了额外的安全性。)
然而,由于这些服务器通常可以自动访问,马奎斯-博伊尔建议研究人员在跨国旅行前删除相关应用程序、退出服务并删除浏览记录。
索索尔指出,研究人员也可以考虑使用虚拟专用网络。这些都允许用户在不安全的网络连接环境中建立安全的网络通信。例如,IPVanish VPN和NordVPN等服务器或一些组织提供类似的支持。
格斯坦说,他经常在旅行时使用虚拟专用网来访问他的数据,即使他没有离开美国本土。虚拟专用网在大多数地方都非常简单易用,但在一些*将密切监控互联网的国家,它就更加复杂了。尽管虚拟专用网在那里是合法的,但苹果和其他公司不得不取消几十个相关应用的下载,因为当地法律要求所有的虚拟专用网程序都必须得到*的批准。
目前,尚不清楚这些规定是否会影响外国研究人员使用虚拟专用网络。但是俄罗斯总统普京在7月30日签署了一项法律,禁止虚拟专用网络和其他允许用户从11月1日起匿名访问该国网页的技术。
对许多科学家来说,这需要他们采取额外的预防措施。加利福尼亚州圣迭戈的拉迪儿童基因组医学研究所所长斯蒂芬·金斯莫尔(Stephen Kingsmore)说,他的一些同事在去这些地区时使用了“刻录机”笔记本和低成本的一次性手机及其他设备。
边境检查麻烦
去年,旅行者的数据安全开始面临新的问题。当时,美国总统唐纳德·特朗普(Donald Trump)收紧了美国边境,以抵御潜在的*。有时,边境检查机构会要求旅行者在入境检查时提供他们的便携式设备和密码,而且这种检查不断增加。国家公共电台报道称,2016年,美国边境管制机构检查了24,000个单位,而2015年为8,500个单位。
研究人员不能被豁免。美国公民、美国国家航空航天局喷气推进实验室(JPL)的工程师西德·比克卡纳瓦尔(Sidd Bikkannavar)从南美的私人旅行中回到家中,被扣留在休斯顿机场。他*要求向海关和边境巡逻局提供他的个人手机和个人识别码。
由于这是一部美国国家航空航天局的手机,其中可能包含一些敏感信息,比克卡纳娃起初拒绝了,但最终还是勉强给了它。他的手机被拍了30分钟,数据被复制了。回到JPL,美国国家航空航天局必须对比克卡纳瓦尔的设备进行司法测试,以确定哪些数据已经被获取,以及是否安装了其他设备。
为了应对这些检查,人们很容易试图隐藏信息或使用“强制密码”等技术手段。例如,如果使用“强制密码”,某些数据将在解锁设备时被隐藏和加密。然而,斯坦福大学网络安全法律专家詹妮弗·格拉尼克警告不要使用这些方法。“你不想对*撒谎,那会构成犯罪。”
此外,边境人员不太可能同意研究人员有法律责任防止任何人看到机密数据的观点。
“对于医疗记录和商业秘密等许多数据,你有法律责任对其保密。但是边防军不是这方面的专家。他们不会在乎这个。”格兰尼克说,“所以,你要考虑的是如何保护数据。”(张张编)
阅读更多
《自然》杂志的相关报道