【热点追踪】

◎本报记者 王姗姗

前不久，甘肃省兰州市一女子称，家中安装了宽带公司赠送的监控设备后，突然听到监控传出陌生人喊话“转过来”，且喊话声不断重复。事后，她立即关闭监控设备并报警。

这不是家用监控设备第一次“喊话”，此前有不少类似案例，引发公众对个人隐私安全的担忧。那么，家用监控设备为何会突然“喊话”？如何才能有效防范个人隐私泄露？前不久科技日报记者就此采访了相关专家。

攻击者获权限后可远程操控

“监控‘喊话’是因为设备被黑客等外部攻击者入侵。”北京信息科技大学计算机学院信息安全系主任、网络空间安全学科副教授刘慧勇在接受科技日报记者采访时说，部分消费者在安装新购入的监控设备时，未修改设置简单的初始密码，导致外部攻击者轻易破解设备密码。外部攻击者在获得监控设备的网络权限后，就可以进行“喊话”、转动摄像头等远程操控。如果家用监控设备端口不慎暴露在公共网络中，就如同在自家大门上留下了一把未拔出的钥匙，为不法分子大开方便之门。外部攻击者可以借助各类功能强大的扫描工具，快速获取端口信息。一旦得逞，他们就能够潜入监控系统，窃取监控视频中的敏感信息。

“就算消费者修改了监控设备的初始密码，也不是高枕无忧。家用监控设备一般与路由器连接，如果路由器没有防火墙、加密传输等功能，外部攻击者就可通过控制路由器间接控制监控设备。”刘慧勇介绍，目前家用监控设备出厂标准尚不完善，没有强制要求增加加密传输等功能。

多管齐下系紧安全绳

浙江省杭州市中级人民法院民事审判第一庭法官孔文超在接受科技日报记者采访时说，监控设备所拍摄或存储的信息不仅包括肖像、声音等个人信息，还可能包含面部生物识别特征、银行账号、医疗健康信息等私密信息。这些信息一旦泄露，很可能对人们的正常社会交往造成负面影响。

孔文超介绍，我国法律对个人信息予以严格保护。《中华人民共和国个人信息保护法》第二条规定，个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。《中华人民共和国民法典》也规定，任何组织或个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。

“任何非法入侵监控设备、获取他人隐私信息的行为，都需要承担侵权责任。情节严重的，还可能构成侵犯公民个人信息罪，依法应承担相应的刑事责任。”孔文超认为，个人信息保护需要行政部门、司法机关、生产企业、相关社会组织以及公众协同合作。监控设备生产企业应建立信息风险内部控制制度、信息风险评估机制和信息安全事件应急处理机制，充分履行事前预防和事后及时补救、报告等职能。行政部门应加强对个人信息从业主体的监管。

除此之外，孔文超建议，应尽快建立相关行业协会、制定行业准则、推广风险评估服务以及开展各类信息保护认证方式，以加强行业自律，构建个人信息保护的社会服务体系。

刘慧勇建议，消费者在购买家用监控设备时，应优先选择正规品牌且支持加密协议的产品。在安装设备时，消费者要及时修改用户名、设置强密码，并启用家用路由器防火墙。使用期间，用户要定期检查设备是否处在异常状态、及时升级系统补丁。除此之外，用户还可以为监控设备设置独立网络系统，使其与家庭其他电子产品所在网络隔离开。例如，可以用具备双频段或多频段功能的无线路由器，将其中一个频段专供监控设备使用，另一个频段则供家庭其他电子产品使用；或者单独购置一台小型路由器，为监控设备构建独立的局域网络。

“一些消费者习惯将监控录像信息储存在生产商的云端服务器中。如果设备与云端服务器之间的通信协议被破解，攻击者就能直接或间接远程控制该厂商的大部分监控设备，而消费者可能对此毫不知情。”刘慧勇建议，消费者尽量本地保存监控录像，避免监控摄像头正对卧室等隐私区域。(科技日报)