科學家如何保護研究敏感數據

研究人員面臨保護敏感數據安全問題。

在丟失了自己的電子設備后，美國耶魯大學生物信息學家Mark Gerstein感到十分焦慮，因為設備里有其私人信息和研究數據。

「我非常有安全意識，但也有點健忘。」Gerstein說。

Gerstein回憶起到波士頓的一次旅行，當時他就把手機忘在了計程車上。幸運的是，Gerstein能聯繫到計程車公司，最終回家時，電話已經被裝進了自己的口袋裡。

雖然那次有個愉快的結尾，但大多數時候，在路上丟失的設備就永遠丟失了。而這正是在差旅途中的科學家必須面臨的一個大問題。一旦離開實驗室以及其他網路環境相對安全的場所，數據和設備就易受偷盜、黑客和木馬等因素的威脅。因此，研究人員需要提高警惕，不僅要保護他們的研究，還要保護機密的患者數據或專利。

而在穿越國界時，網路安全問題可能尤其敏感。一些地區黑客「猖獗」，而且也有邊防人員堅持要看電腦中的文件。

那麼，研究人員如何在旅行途中保護自己的數據安全。美國加州初見傳媒安全主管Morgan Marquis-Boire說，這取決於你的數據和所面臨的威脅。他曾幫助政府告密者在旅途中保護數據安全。你擔心的是過分熱情的邊檢人員、投機取巧的扒手還是政府支持的黑客？

這就像和醫生聊天，他說，「如果你問醫生如何保持健康，你會得到一般的建議。但如果你要去叢林，情況就有所不同。」

Marquis-Boire指出，無論如威脅是什麼，數據保護的第一步都是加密，利用電子密鑰將它們變得難以讀懂。雖然這能防範臨時起意的小偷等人，但無力阻擋專門而來的黑客。

「當務之急是，我們必須推動數據加密技術的發展，尤其是全碟加密便攜設備。」英國牛津大學圖書管理員John Southall說。

大多數智能手機默認使用全碟加密，而筆記本電腦的加密術則有許多選擇。尤其敏感的文件能被計算機內置文件保密工具或VeraCrypt等軟體單獨加密。

而研究機構也能提供幫助。例如，牛津大學信息安全部會將研究人員的設備硬體進行加密。「不僅我們知道保護研究數據的必要性，研究人員也了解。」Southall說。

失物煩惱

任何新技術都是一把雙刃劍，互聯網帶來變革的機遇，也帶來更多的風險。2016年9月，雅虎公司因為自身的安全漏洞被網路黑客利用，5億雅虎用戶的信息被泄露。不久前肆虐全球的勒索病毒，是通過互聯網埠輸入病毒程序，對重要文件進行加密然後敲詐，攻擊目標直接鎖定用戶的數據，攻擊手段竟是原本為了保護數據安全的密碼技術，這些都提醒人們保護數據安全刻不容緩。

歐盟委員會於7月26日發布的安全事務進展報告強調應對極端化和網路犯罪等安全威脅。報告提出，為應對不斷變化的安全威脅，歐盟需要調整現有的政策工具和手段。歐盟委員會還表示正考慮成立高級別專家組負責研究應對極端化問題，還將對網路安全戰略進行評估。

除了做好頂層立法和戰略規劃以打擊網路犯罪，Southall補充道，研究人員還必須考慮電子設備本身的安全。「筆記本和其他電子設備都是高價值物件，它們『愛招賊』，因此要確保保存在設備上的任何數據都不是獨一無二的。」

Gerstein表示，一款可以遠程清除丟失的筆記本電腦或手機保存數據的追蹤應用程序，可以確保即使硬體被盜，數據也不會被盜用。

而馬里蘭大學帕克分校網路安全專家Jonathan Katz表示，美國3月21日頒布的一項命令，禁止8個穆斯林為主國家的10個機場直飛美國的航班上攜帶體積大於手機的電子設備，包括筆記本電腦，引發了新併發症。「這增加了筆記本電腦受損、丟失或被盜，以及數據被盜用的風險。」實際上，英國也曾採取類似禁令，但很快就被廢止。

Katz很快會去中東工作。他不會帶任何敏感事物登機。Katz計劃通過聯邦快用船隻將電腦送到中東，而不是放到自己的行李里。

雲中安全

在很多情況下，技術精湛的研究人員能壓根不攜帶數據出門。數據能被存儲在Dropbox或Google Drive雲伺服器上，並能被研究人員自由取出。儘管這些服務是被加密且相對安全的，研究人員也能在上傳前將數據加密，以免伺服器被黑客攻擊，或賬戶密碼被盜。（雙重身份驗證，即在訪問賬戶時同時需要密碼和行動電話生成的密鑰，也增加了額外的安全保護。）

但由於這些伺服器通常都能自動訪問，Marquis-Boire建議研究人員在跨國旅行前刪掉相關應用程序、退出服務和消除瀏覽記錄等。

Southall指出，研究人員還可以考慮使用虛擬專用網路（VPN）。這些都允許用戶在不安全的網路連接環境中建立安全網路通信。例如，IPVanish VPN和 NordVPN等伺服器，或一些機構也提供類似支持。

Gerstein表示其經常在旅行中使用VPN訪問自己的數據，甚至在不離開美國本土時也是如此。在大多數地方，VPN十分簡便易用，但在一些政府會嚴密監管互聯網的國家這就比較複雜了。儘管VPN在那裡是合法的，由於當地法律規定所有VPN程序必須獲得政府批准，蘋果公司等不得不取消幾十個相關應用程序的下載。

目前人們尚不清楚這些管制是否影響外來研究人員使用VPN。但俄羅斯總統普京於7月30日簽署了一項法律，將從11月1日起，在該國禁止使用允許用戶匿名訪問網頁的VPNs和其他技術。

對於許多科學家而言，這就需要他們採取額外的防範措施。加州聖迭戈Rady兒童基因組醫學研究所所長Stephen Kingsmore表示，他的一些同事在前往這些地區時使用了「燃燒器」筆記本和低成本、一次性手機等設備。

邊檢麻煩

去年，旅行者的數據安全開始面臨新麻煩。當時美國總統唐納德·川普收緊了美國邊境，以抵禦潛在恐怖分子。有時，邊檢機構會要求旅行者在入境時提供其便攜設備和密碼，以便檢查，而這類檢查目前不斷增加。全國公共廣播電台報道稱，2016年美國邊檢機構檢查了2.4萬台設備，相比之下2015年僅抽查了8500台。

研究人員也不能得到豁免。美國公民、宇航局（NASA）噴氣式推進實驗室(JPL)工程師Sidd Bikkannavar在南美私人旅行后回國，在休斯敦機場被扣留。他被迫要求向海關及邊境巡查局提供其個人手機及PIN碼。

由於這是一部屬於NASA的手機，裡邊可能含有一些敏感信息，一開始Bikkannavar表示拒絕，但最終還是無奈地給了。他的手機被取走30分鐘，並被複制了數據。回到JPL，NASA不得不對Bikkannavar的設備進行司法檢測，以確定哪些數據被拿走以及是否被安裝了其他東西。

而為了應對這些檢查，試圖隱藏信息或使用「脅迫密碼」之類的技術手段是很有誘惑力的。例如，如果使用的是「脅迫密碼」，在解鎖設備時，會隱藏部分數據並加密。不過，斯坦福大學網路安全法律專家Jennifer Granick警告稱，不用使用這些手段。「你不要想對政府撒謊，這能構成犯罪。」

而且，邊境人員不太可能贊同這樣的觀點，即研究人員有法律責任阻止任何人看到機密數據。

「對於醫療記錄、交易機密等很多數據，你都有法律責任為其保密。但邊檢人員並不是這方面的專家，他們不會關心這個。」Granick說，「所以，你必須想的是如何保護數據。」