近来,勒索软件、个人信息泄露、物联网攻击、比特币盗窃、电信诈骗,以及国家间的网络间谍战等网络安全事件屡成话题:2017年全球爆发的WannaCry勒索病毒使得150个国家、30万用户中招,造成数十亿美元损失;美国最大征信机构之一Equifax声明由于网站漏洞导致1.43亿消费者信息泄露;雅虎承认30亿账户全部泄露;比特币挖矿平台NiceHash超过4700枚比特币被盗。
严峻的信息安全
据美国在线信任联盟(OTA)的统计,涉及商业攻击的网络安全事件几乎翻番,从2016年的约8.2万起升至2017年的大约16万起事件。报告还称,由于大量安全安全事件从未报告,攻击总数实际上可能高达35万。
美国咨询公司Cybersecurity Ventures称,网络犯罪活动是人类未来二十年将面临的最大挑战之一。据Cybersecurity Ventures预测,从2017年到2021年,未来五年,网络安全产品和服务的全球支出将累计超过1万亿美元。2021年全球因网络犯罪导致的损失达6万亿美元。也难怪汇聚全世界超4.5万安全专家和行业人员的信息安全峰会RSA将今年的主题定为“现在很重要”(Now Matters)。
两周前在美国旧金山闭幕的RSA大会上,美国国土安全部部长尼尔森(Kirstjen Nielsen)说, “数字威胁数倍于我们防护的速度”,“从网络攻击数量上来看,去年是最严重的一年。”她援引Cybersecurity Ventures的数据,到2021年因网络犯罪导致的损失达6万亿美元,这几乎达到世界经济的10%.
据中国国家信息安全研究院2017年发布的报告,全球网络空间安全威胁加剧的表现有几方面,一是针对关键信息基础设施的攻击不断增长;二是利用物联网设备实施的网络攻击事件频发;三是勒索软件病毒呈现爆发性增长态势;四是电子邮件所导致的安全危害愈发严重。
360企业安全集团总裁吴云坤说:“之前我们是旁观者,会认为都是黑客对黑客的行为,现在我们都是受害者。”尤其是一些针对企业或者机构的勒索带来的危害也更具体。比如2月24日湖南省儿童医院信息系统遭受黑客攻击,植入勒索病毒,对医院信息系统服务器文件进行了加密,导致系统大面积瘫痪,院内诊疗流程无法正常运转。
在吴云坤看来,现在的安全分为低位、中位和高位三个层面:高位就是云端层面,中位是操作中心,低位是软件。如果从安全防护角度来看归结起来就是三句话“新战场新打法,比如云安全;老战场新打法,原来的终端还在,用数据分析去解决;三是回归本源,重新梳理IT技术架构”。“360在2015年提出数据驱动安全,致力于用大数据方法解决数字化时代的网络安全和业务安全问题。”
全球协作的可能
面对严峻的信息安全态势,世界各国、各组织和相关企业在探寻全球合作的可能。
美国东西方研究所全球副总裁、原美国国土安全部网络安全部门副部长Bruce W. McConnell说,各国只有协同合作、协同发展,才能共同建立安全的网络空间。
云安全联盟CSA创始人、全球首席执行官吉瑞威(Jim Reavis)告诉记者:“信息安全,尤其是云安全需要各个公司和各个国家合作来推动。”他说,云计算是全球性的计算应用,随着云计算技术的不断成熟,越来越多的业务都在向云上迁移。与此同时,针对云的攻击事件也显著增多。如何加强云安全领域的合作以及建成云安全的行业标准成为各方努力的方向。
微软公司总裁布拉德。史密斯(Brad Smith)在今年的RSA上说:“我们意识到自己生活在一个新时代、一个拥有新式武器的世界中,网络空间成为了新的战场。”2017年发生的影响极坏的多起网络攻击事件给科技公司指明道路——“合作起来采取有效措施来保护全球的消费者”。
在RSA大会期间,包括微软、Facebook、思科、甲骨文及赛门铁克等在内的34家全球技术和安全公司签署了一个集体网络安全技术协议。参与公司承诺:加强对网络攻击的防御,并在全球范围内为每个用户提供保护,无论网上攻击的动机如何;不会帮助政府对无辜公民和企业发起网络攻击,在技术开发、设计和部署的每个阶段防止其产品和服务遭到篡改或利用;为用户提高自我保护能力提供更多帮助,在产品和服务中联合部署新的安全功能;采取集体行动,加强技术合作,协调漏洞披露,分享威胁并最大限度地减少恶意代码引入网络空间的可能性。
如果说这个网络安全技术协议是企业在信息安全方面主动行动的缩影,那么5月25日生效在即的欧盟《通用数据保护条例》(GDPR)则是强制性协作的体现。
GDPR强化了对公民隐私权的保护,明确了公民获取、修改、删除个人信息的权利,并且引入了惩罚机制。关键是,该法规不仅直接适用于全体欧盟成员国,还对所有为欧盟提供服务的企业一视同仁,不论该企业是否设在欧盟境内。正因此,该法规受到了世界互联网企业的普遍关注。
在吴云坤看来,GDPR是国家/国际/国民“三视角理论”的典型体现:国家要保护国民的隐私安全,国际公司要遵循当地的法律,欧盟担心跟美国在数据方面的竞争。他说,全球黑产目前是安全行业共同面对的挑战,其次是国家间的网络战。国际之间既有竞争对抗也需要面对黑产来进行合作。
“三视角理论”由观潮论坛主席、国家创新与发展战略研究会副会长郝叶力提出。她说,国家/国际/国民各行为体都在坚持自身利益的最大化,但网络的开放性和全球性,让后两个行为体的重要性在凸显。郝叶力在RSA大会期间的观潮晚宴上说,“如果我们把人类命运共同体作为新时代、新空间的一个世界观,要使这样世界观落地,一定要有与之相称的方法论。这个方法论应该是三视角下的网络主权的对立统一。”