在此次第三屆資安高峰會裡,筆者有機會與LINE資安長暨隱私長,同時擔任資訊保護長的中山剛志進行訪談,針對LINE近期在資安方面的努力,以及在Facebook發生隱私醜聞事件、歐盟即將推動史上最嚴格的資料保護法令GDPR等影響下,LINE方面所做因應措施進行分享,同時也透露未來勢必藉由區塊鏈等新技術確保用戶隱私安全。
對於LINE目前資安防護所做措施,中山剛志說明目前藉由吸收來自全球技術人才,使LINE服務平台的安全性能持續以更快腳步發展,同時也藉由與Intertrust等第三方機構合作,並且透過漏洞獎金計畫等方式吸引更多白帽駭客協助挖掘本身未能即時發現的系統問題,讓LINE的漏洞情況持續減少。
中山剛志表示,LINE本身已經形成相當龐大的服務平台規模,並且持續累積不少用戶人數與隱私資訊,因此自然有更大的社會責任肩負使用者隱私安全,使得本身持續在資安方面技術精進。相比過去幾年的資安技術,中山剛志強調現行LINE所導入防護規格更高,同時也因應使用者使用行為讓個資防護變得更加簡單,例如透過Letter Sealing將聊天訊息加密,或是透過簡單的四位數字密碼確保安全之際,讓使用者能以更簡單方式登入帳號。
不過,即便LINE持續努力推動資安防護技術成長,但免不了還是會面臨使用者對於資安意識不足,例如可能會直接將個人帳號密碼透過LINE傳遞,或是將個人四位數字密碼告知他人,導致個人帳號面臨遭竊風險。
因此在提昇服務安全之餘,LINE其實也同時著重使用者教育活動,例如過去一年在日本地區便總計造訪2500所中、小學及高中等學校機構,向年輕使用族群宣導個人資安保護觀念,同時也會與老師、家長藉由討論方式讓更多人可以知道現在網路安全知識,以及現階段可能面臨問題,透過互動方式更可讓LINE取得更多實際使用反饋意見,進而讓服務更加完善。
而在台灣地區,過去也曾透過網路治理論壇、HITCON駭客年會等活動溝通資安問題,同時也透過與大專院校等單位交流,藉此了解更多實際使用服務時所面臨問題。
在去年10月舉辦的資安大會時,LINE也公布台灣智慧型手機使用者平均會有6-7種常用App,但實際使用密碼最多僅有1-2種組合,意味個人帳號相對容易遭受竊取,甚至有更多年長者擔心遺忘個人帳號密碼,因此經常會將此類資訊告知他人。因此,LINE後續也透過與藝人盧廣仲合作宣導活動,透過一個月在LINE等管道持續宣導,並且以貼圖作為獎勵吸引更多使用者觀看宣導內容,使得後來因為四位數字密碼外洩導致帳號遭竊的比例明顯減少。
配合此類宣導活動與交流互動,LINE認為在持續讓使用體驗最佳化之餘,將能更有效率推動資安防護效果。
以Facebook隱私外洩問題為借鏡,謹慎面對歐盟GDPR法規
而從近期Facebook用戶隱私外洩,以及歐盟即將推動有史以來最嚴格的資安保護法令GDPR,中山剛志表示從LINE本身也是一家「數據公司 (data company)」的立場來看,Facebook近期面臨問題確實成為LINE重要借鏡,畢竟LINE提供服務不僅包含用戶個人隱私、日常對話等內容,甚至也與許多網路服務登入機制綁定,或是涉及與信用卡等資訊的LINE Pay支付功能,因此LINE在此部份處理也格外謹慎。
中山剛志說明,過去網路服務多半會透過冗長的使用說明讓使用者了解個人資訊將被如何使用,但絕大多數的使用者其實並不會有耐性逐一將說明文件看完,通常是很快地將頁面往下捲,並且按下「同意」,因此經常衍生許多問題。而在Facebook近期爆發隱私外洩醜聞後,預期將使更多人對於隱私問題更加謹慎,同時也會讓更多網路服務重視保護用戶隱私,以LINE的立場則是會藉由持續提昇資安防護、使操作介面更容易使用,同時也持續配合與使用者溝通,讓用戶資訊安全能具體提昇。
對於歐盟即將於5月25日推動的資安保護法令GDPR,中山剛志表示LINE在很早之前就已經開始著手研究,同時強調LINE針對不同市場在地法令均會配合遵守,因此在GDPR法令正式來臨之前便持續關注相關細則,同時配合歐洲地區實際使用行為進行調整。
不過,基於LINE本身開拓全球市場發展模式,在這樣的法令調整之下是否會讓服務內容產生不同地區的使用差異,依照中山剛志的看法認為,若是受限於在地法令規範情況,確實有可能發生使用體驗不同情況,但LINE依然會盡可能讓整體使用體驗不會有明顯差異。
同時從過去在日本地區便配合政府機構實施高度個人隱私保護設計,中山剛志認為即便配合GDPR的用戶隱私資訊使用限制,並不會構成LINE服務平台面臨太大改變。
未來將以區塊鏈技術確保用戶隱私安全
對於今年在年度大會中,LINE宣布將投入區塊鏈技術應用,並且將推行自有虛擬貨幣交易所服務,藉此擴展金融科技 (FinTech)技術成長,中山剛志說明公司內部已經成立區塊鏈實驗室,開始著手研究如何將相關技術應用在LINE服務內,雖然目前暫時還沒有具體細節可作說明,但未來預期也會透過區塊鏈技術確保用戶隱私安全。
從目前越來越多服務陸續導入區塊鏈技術,同時透過去中心化、代幣化形式讓用戶隱私比對數據可以安全「存放」個人使用載具內,而非單純透過帳號密碼登入存取放置在雲端伺服器的數據資料,藉此確保個人隱私可以真正實現安全保護效果。
不過,確實去中心化、代幣化的運作模式也面臨全新挑戰,例如使用者隱私資訊如何在裝置間無縫移轉,或是當前使用載具遺失、損毀時,內部存放資訊如何取出、備存,甚至是否能藉由雲端服務同步使用,這些問題都是接下來的技術發展必須考量層面。
而針對目前LINE所完成資安技術建置,中山剛志表示並不會因此滿足,尤其在科技成長快速的當下,認為將以更高規格看待資安問題,並且持續接受挑戰。
